load file 读取无效时 连接mysql写入: mysql> load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n'; //test 表名 或者 "C:/Windows/win.ini" Qu ...
分类:
数据库 时间:
2020-04-14 00:47:52
阅读次数:
95
1、xss(跨站脚本攻击):富文本、评论 利用站点开放的文本编辑并发布的功能,输入并执行js脚本,窃取cookie等敏感信息。 预防方法: 方法一:cookie添加httpOnly属性,这是使用js是不能读取和操作cookie的。 方法二:在cookie中添加校验信息。 方法三:对用户输入进行编码( ...
分类:
Web程序 时间:
2020-04-12 22:55:30
阅读次数:
147
一、URL重定向 1.概述 不安全的url跳转 不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。 如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话 就可能发生"跳错对象"的问题。 url跳转比较直接的危害是: ...
分类:
其他好文 时间:
2020-04-05 22:10:29
阅读次数:
83
目录遍历漏洞概述在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能变的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“ ...
分类:
其他好文 时间:
2020-04-05 00:13:22
阅读次数:
125
CSRF漏洞概述: 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了,所以CSRF攻击也被称为"one click"攻击。 我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的 ...
分类:
其他好文 时间:
2020-04-03 23:40:32
阅读次数:
78
目录遍历: 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“.. ...
分类:
Web程序 时间:
2020-04-03 21:50:59
阅读次数:
145
目录: 目录遍历 敏感信息泄露 URL重定向 一、目录遍历 概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端 ...
分类:
Web程序 时间:
2020-04-03 21:44:42
阅读次数:
237
GET和POST的区别: get参数通过url传递,post放在request body中。get请求在url中传递的参数是有长度限制的,而post没有。 get比post更不安全,因为参数直接暴露在url中,所以不能用来传递敏感信息。 get请求只能进行url编码,而post支持多种编码方式 ge ...
分类:
其他好文 时间:
2020-03-30 23:15:55
阅读次数:
58
python项目上线配置教程,Django+uWSGI+Nginx,支持邮件预警和敏感信息过滤 ...
分类:
其他好文 时间:
2020-03-07 19:12:03
阅读次数:
70
前言 在动态的、大规模的分布式集群上,管理和分发配置文件也是很重要的工作。传统的配置文件分发方式(如配置文件放入镜像中,设置环境变量,volume 动态挂载等)都降低了镜像的通用性。 Docker 17.06 引入了 Swarm 服务配置,它允许你在服务的镜像或者运行的容器外部存储非敏感信息,比如配 ...
分类:
其他好文 时间:
2020-03-06 23:36:36
阅读次数:
85
