分类目录:安全知识库

以下是分类 安全知识库 下的所有文章

点击劫持(ClickJacking)

1.什么是点击劫持?(来自维基百科)        点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。该术语最早由雷米亚·格罗斯曼(Jeremiah Grossman)与罗伯特·汉森(Robert Hansen)于2008年提出。这种行为又被称为界面……

HTML 跨站脚本攻击(一)

1.描述     当用户可控数据未经转义或过滤输出到 HTML 中时,用户提交恶意数据后形成 HTML 跨站脚本攻击;HTML 跨站分为反射型和存储型两种,反射型跨站需要被动诱骗点击,而存储型只需要打开页面即可触发危害较大。     常见的出现此类问题的主要有:留言板、论坛发帖回帖、博客……

PHP 命令执行代码防御

1,escapeshellarg处理 escapeshellarg函数是为了从当作系统命令参数的用户输入中移出含有潜在危险的字符而设计的(在我们的例子中,是ls命令)。 2,过滤恶意字符 过滤常见的命令执行等字符(| & :)。这种方式可能会存在遗漏,可以结合escapeshellarg一起来使用。

PHP 文件上传代码防御

1,时间戳修改文件名+白名单验证文件后缀 修改上传文件的名字,设置允许上传文件的类型,采用白名单的形式严格校验。样例如下图: 2,上传目录非网站目录 建议上传目录和网站目录分离,也可以结合FTP等等技术实现。防止黑客利用解析漏洞(例如Nginx解析漏洞)绕过上传限制。 3,上传目录限制脚……

PHP SQL注入基本防御

1,参数转义 1.1 数字型参数强换 SQL语句中需要拼接一个数字型参数的时候,使用intval() 将参数强制转换为整形。 $id = intval($_GET['id']); $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre&g……

XML常见攻击

名称:xpath注入 描述:XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。 修复方案: 1、数据提交到服务器上端,在服务端正式处理这批数据之前,对提交数据的合法性进行验证。 2、检查提交的数据……