鲁宁

一、定义与原理 文件上传漏洞是指Web应用程序在处理用户上传的文件时，由于缺乏对上传文件的类型、大小、内容等属性的严格检查和处理，导致攻击者可以上传并执行恶意文件的安全问题...

一、点击劫持的原理 点击劫持攻击主要利用了HTML中的标签的透明属性以及用户对网站的信任。攻击者会创建一个或多个透明的，覆盖在目标网页之上，使用户无法察觉其存在。然后，攻击...

一、日志记录不足的问题 日志缺失或不完整 关键操作未记录：如用户登录、敏感数据访问、系统管理员操作等关键操作未记录在日志中，导致无法追踪和审计这些操作。 日志信息不全：日志...

下面就分别以.NET和Java各分享一个案例。 .NET 案例：XmlSerializer反序列化漏洞 案例描述 在.NET框架中，XmlSerializer类是一个常用的...

默认设置未修改 许多web服务器，数据库和应用程序框架安装时都有默认的用户名，密码和配置设置。如果这些默认设置没有在使用前进行修改，黑客就可以利用这些已知信息轻松地访问系统...

敏感数据泄露漏洞通常包括敏感信息数据库未加密存储，弱密码算法和明文传输漏洞。 敏感信息数据库未加密存储 系统中涉及用户的敏感信息，包括：手机号，身份证号，密码等信息是要做数...

危害 数据泄漏：攻击者可能通过越权访问获取敏感数据，如用户个人信息、财务数据、家庭监控视频等。 数据被恶意篡改：攻击者可能通过越权访问修改数据，如修改账户余额等。 隐私侵犯...

确认用户的身份，身份验证和会话管理非常重要，这些措施可用于将恶意的未经身份验证的攻击者与授权用户分离，如果您的应用程序存在以下问题，那么可能存在身份验证的脆弱性。 一，弱密...

认识XSS攻击 XSS攻击这个名词听起来挺专业的，那么它是如何发生的呢？ 假如某个页面的表单中有下面这样一个textbox value1from是来自用户的输入，如果用户不...

这篇文章我们主要讲SQL注入，SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQ...

CA机构 SSL证书的CA机构，即证书授权机构（Certificate Authority），是一个负责发放和管理数字证书的权威机构。CA机构在网络安全领域扮演着重要的角色...

SSL的功能主要依赖于三类加密算法，散列函数，对称加密和非对称加密。 HASH算法 HASH算法也称为散列函数，包括MD5，SHA1和SHA256。 1，MD5 MD5加密...

某些Web页面只想让特定的人浏览，或者干脆仅本人可见，为达到这个目标，必不可少的就是认证功能。 何为认证 计算机本身无法判断坐在显示器前的使用者的身份。进一步说，也无法确认...

HTTP加上加密处理和认证以及完整性保护后即是HTTPS 如果在HTTP协议通信过程中使用未经加密的明文，比如在Web页面中输入信用卡号，如果这条通信线路遭到窃听，那么信用...

窃听风险 由于HTTP本身不具备加密的功能，所以也无法做到对通信内容进行加密，即HTTP报文是使用明文方式发送的。 如果要问为什么通信时不加密是一个缺点，这是因为，HTTP...

使用HTTP协议访问Web 你知道当我们在网页浏览器（比如Chrome）的地址栏中输入URL时，Web网页是如何呈现的吗？ Web页面当然不会凭空显示出来。根据Web浏览器...

上一篇介绍了详解SSL证书系列(4)免费的SSL证书和收费的证书有什么区别，这一篇我们继续了解一下我们申请的SSL证书为什么不能好多年签一次呢，这样不是更省事吗？ SSL证...

SSL证书免费和收费的主要区别体现在以下几个方面： 1. 验证类型 免费SSL证书通常只有域名验证型（DV SSL证书），而付费SSL证书则包括域名验证型（DV SSL证书...

首先，我们来了解下 SSL证书的品牌。 一，证书品牌 SSL 证书是受浏览器信任的 CA 机构验证网站信息后进行签发的，所以依据 CA 机构的不同 SSL 证书品牌也不同。...

在如今谷歌、百度等互联网巨头强制性要求网站 HTTPS 化的情况下， 网站部署 SSL 证书已然成为互联网的发展趋势，我们也知道了 SSL 证书可以防止网络安全威胁。那么除...