前言 前几天被问起http和https的区别,我发现自己只是表面上知道https比http安全,原理的什么的都不清楚,决定查资料彻底理解他们的含义和区别。 超文本协议http协议被用于在web浏览器和网站服务器之间传递信息,HTTP协议以明文的方式发送内容,不提供任何方式的数据加密,如果攻击者截取浏 ...
分类:
Web程序 时间:
2017-12-08 14:08:21
阅读次数:
198
2017年7月11日,为了修复整数溢出漏洞(CVE-2017-7529), Nginx官方发布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,并且提供了官方patch。 当使用Nginx并且开启缓存功能时,攻击者可以构造特定header头字段,能越界读取到缓 ...
分类:
其他好文 时间:
2017-07-15 16:43:54
阅读次数:
3106
Android常见漏洞 漏洞名称: Log敏感信息泄露 漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露 修改建议: 建议禁止隐私信息的log 漏洞名称: web https校验错误忽略漏洞 漏洞描述: 漏洞可导致中间人攻击 修改建议: 建议不要忽略ssl认证错误 漏洞名称: sql注入漏洞 ...
分类:
移动开发 时间:
2017-07-12 16:19:56
阅读次数:
351
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、 ...
分类:
Web程序 时间:
2017-06-14 14:35:49
阅读次数:
338
概述 MSF的六种模块 Exploit模块 是利用发现的安全漏洞或配置弱点对远程目标系统进行攻击,以植入和运行攻击载荷,从而获得对远程目标系统访问权的代码组件。 形象点来说就是攻击模块 Payload模块 是在渗透成功后促使目标系统运行的一端植入代码,通常作用是为渗透攻击者打开在目标系统上的控制会话 ...
分类:
其他好文 时间:
2017-04-17 23:49:51
阅读次数:
414
提示客户使用较为复杂的密码。 使用邮箱或者手机验证码验证。 复杂的验证码。 密码进行加密算法(如:MD5,AES...)。 限制每日登录的错误次数。 限制异常IP。 系统界面出现异常时显示友好界面,避免敏感信息泄露。 及时释放资源,避免内存溢出。 记录重要信息的操作日志。 避免跨站脚本攻击。 过滤查 ...
分类:
Web程序 时间:
2017-03-30 17:56:09
阅读次数:
159
在过去几年WebView中被披露的重大漏洞包括了任意代码执行漏洞、跨域、密码明文保存等,这些安全问题可以直接导致用户敏感信息泄露,移动终端被恶意攻击者控制。下文将详细介绍这一系列安全问题,罗列相关的一些案列,并提供相应安全开发建议。 ...
分类:
移动开发 时间:
2016-09-05 19:06:53
阅读次数:
223
一、背景介绍 随着网站业务的需求,web脚本可能允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。 二、漏洞成因 文件包含漏洞的产生原因是在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校 ...
分类:
其他好文 时间:
2016-08-31 14:01:44
阅读次数:
264
一、漏洞描述和危害 Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。 如果Redis以root身份运行,黑客可以给r ...
分类:
其他好文 时间:
2016-05-28 19:10:11
阅读次数:
125
Android常见漏洞
漏洞名称: Log敏感信息泄露
漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露
修改建议: 建议禁止隐私信息的log
漏洞名称: web https校验错误忽略漏洞
漏洞描述: 漏洞可导致中间人攻击
修改建议: 建议不要忽略ssl认证错误
漏洞名称: sql注入漏洞
漏洞描述: 漏洞可能导致用户数据...
分类:
移动开发 时间:
2016-05-12 23:58:09
阅读次数:
496
