heimao0307的博客

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实：Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入（通常是参数值）返回，而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入，浏览器便可以执行输入中的代码。 因此，有可能形成指向站点的若干链接，且其中一个参数是由恶意的...

一、 环境准备测试通常给的是PDF文档，动辄几百页，看起来很费劲，看文档的时间可能比解决问题的时间还长。。。所以作为需要解决问题的我们来说，最好安装AppScan，请测试人员提供类型为AppScan Scan File的文件。（图片模糊掉了URL，不影响问题分析） 二、 如何分析AppScan扫描出的安全性问题AppScan扫描出的问题会一般按照严重程度分高，危，参三种类型，高危属于必须要解决的问...

超链接 target="_blank" 要增加 rel="nofollow noopener noreferrer" 来堵住钓鱼安全漏洞。如果你在链接上使用 target="_blank"属性，并且不加上rel="noopener"属性，那么你就让用户暴露在一个非常简单的钓鱼攻击之下。当你浏览一个页面点击一个a标签连接 <a href="www.baidu.com" target="_

原文链接：https://www.jianshu.com/p/f94f891e6febIIS 会在响应头（Response Header）中添加一些并没有太多实际用处的响应头，在项目中移除常见的几个响应头方法如下（主要涉及两个文件，web.config 和 Global.asax.cs）：在 web.config 中，可移除以下几个：X-AspNet-VersionX-Powered-By定位到 ...

原文链接：第一部分：https://www.ibm.com/developerworks/cn/rational/r-cn-appscanusage/第二部分：https://www.ibm.com/developerworks/cn/rational/r-cn-appscan2/ Web 应用安全现状很多开发人员对 Web 安全有着片面的认识，认为只要建立了防火墙，设置了入侵...