前端 | HPP 的攻擊舉例與防範

HPP,即 HTTP Parameter Pollution,HTTP 參數污染。在 HTTP 協議中是運行同樣名稱的參數出現多次,攻擊者通過傳播參數的時候傳輸 key 相同而 value 不同的參數,從而達到繞過某些防護與參數校驗的後果。它是一種注入型的漏洞,攻擊者通過在 HTTP 請求中插入特定的參數來發起攻擊。舉一個栗子??:2015 年,有人發現了 HackerOne 社交分享按鈕的 HPP 漏洞。 漏洞報告中是將 URL:https://hackerone.com/blog/introducing-signal ...
Read more

前端 | XSS 的攻擊手段及其防禦

XSS(Cross-Site Scripting,跨域腳本攻擊)攻擊是最常見的 Web 攻擊,是一種代碼注入攻擊。攻擊者通過在目標網站上注入惡意腳本,使之在用戶的瀏覽器上運行。利用這些惡意腳本,攻擊者可獲取用戶的敏感信息如 Cookie、SessionID 等,進而危害數據安全。其重點是『跨域』和『客戶端執行』。XSS 的本質: 惡意代碼未經過濾,與網站正常的代碼混在一起; 瀏覽器無法分辨哪些腳本是可信的,導致惡意腳本被執行。 XSS 攻擊一般存在以下幾類: Reflected XSS(反射型 XSS 攻擊) Stored XSS(存儲型 XSS 攻擊) DOM XSS JSONP XSS 1.1 Reflected XSS 反射型的 XSS 攻擊,主要是由於服務端接收到客戶端的不安全輸入,在客戶端觸發執行從而發起 Web 攻擊。 具體而言,反射型 XSS 只是簡單地把用戶輸入的數據 ...
Read more

如何防止老闆通過路由器查自己上網記錄?

老闆用了team viewer 鏈接了辦公室的伺服器,伺服器上連了一個路由器,1 請問這樣老闆是不是隨時都可以看到用這個路由器的設備的所有記錄?2 或者是不是只要知道這個路由器的某些信息就可以查到上網記錄? 3 作為辦公室人員應該如何屏蔽自己的記錄以防老闆看到?4 怎麼才能知道老闆有沒有查過自己? 把你的上網流量混淆就可以了,現在有很多這樣的工具避免中間人攻擊,可能需要另外的伺服器支持 12都跟伺服器/路由器的品牌功能相關。不提供具體信息無法判別。 3可以使用VPN連接到外部伺服器使用外部伺服器作為跳板,這樣紀錄就只有訪問外部跳板伺服器的一種(一條)紀錄4不知道 以我們這用的深信服AC ...
Read more

怎麼查看家裡wifi有沒有被蹭網?

隨著時代的進步,現如今使用WIFI無線網路的家庭越來越多,隨處可見的WIFI熱點普遍存在。隨之而來的蹭網者也是層出不窮,只要下載一個WIFI萬能鑰匙就可以輕鬆破解密碼連接網路。但是,我們怎麼才能知道自己家裡的WIFI是否被蹭網呢?方法有很多,今天就簡單介紹兩種查看家裡WIFI被蹭網的方法。一、登錄路由器後台管理1、電腦端後台管理步驟第一步:打開電腦中的瀏覽器,在地址欄輸入:192.168.1.1進入瀏覽器登錄界面。 第二步:輸入登錄密碼點「確定」後進入路由器後台管理界面。第三步:我們可以看到最下面一排裡面有四個不同的設置選項,找到第二個「設備管理」點進去。第四步:選擇「設備管理」進去以後我們就會看到有幾個設備連接了WIFI,是什麼設備都知道,我這個是連接了兩個設備(一台電腦和一個手機)。第五步:假設我們只需要這台電腦連接,手機是蹭網的話就可以找到蹭網的設備點「禁用」防止蹭網。2、手機端後台管理步驟 ...
Read more

男網友借錢不還,怎麼辦?

把錢借給男網友,還借那麼多,看來你還是太單純了。在我看來你不是遇到了騙子就是他根本就沒把你放心上,首先,這種叫你轉賬的手法,很像騙子啊,借口也是,他的朋友在醫院急需用錢?難道他的朋友就只有他一個朋友嗎?而且接近兩千對一個學生而言不算小數目了,就這拙劣的借口你還轉錢給他了,看來你很信任他,也很單純。而且既然他承諾了當天晚上還給你,但他卻沒還,還一直拖了4個月隻字不提,這很明顯就是不想還的意思啊!他已經開始不回你信息了,看來就是想騙你的錢的,如果你想要找回那2000塊錢還是報警吧。 另外姑娘我想提醒下你,網路是個虛幻的世界,千萬不要輕易相信任何人,我不否認很多人通過網路找到另一半,但是安全防範意識還是要有的,尤其是涉及到轉賬之類的金錢和個人信息問題,千萬要小心啊! ...
Read more

因特爾爆出重大安全漏洞,普通用戶不補漏洞會有何後果?

因特爾的安全漏洞主要會導致黑客可以繞過設備系統與硬體的安全防護,入侵設備內存,從而取得設備用戶的相關數據。對於普通用戶來講,雖說安全是概率事件,但是依然要防範安全風險,尤其是目前的一些應用,在保存用戶密鑰的時候未做加密存儲,而是明文存儲,這樣的話,一旦黑客截取了密鑰,那產生的風險就會很大。普通用戶要明白,黑客入侵後有可能潛伏等待合適的時機進行破壞,所以,升級很重要。 針對因特爾漏洞事件,引石老王寫了一篇文章《哪有那麼容易:抓住英特爾的漏洞,黑客入侵設備就可以截取密鑰?》,文章對本次事件做了詳細論述,歡迎讀者留言溝通。引石老王致力人工智慧、物聯網技術應用的反劫持防禦與信息安全反黑!關注引石老王,為您解讀信息安全! ...
Read more

CPU「預測執行」安全漏洞大曝光,谷歌全系產品線是否已做好防護?

「預測執行」是一項被大多數現代處理器使用的性能優化方案。根據研究人員 Jann Horn 的演示,惡意攻擊者可藉此讀取不該被它訪問到的系統內存。 某個未經授權的一方,可能在系統內存中讀取到一些敏感信息,比如密碼、加密密鑰、或者在應用程序中打開的其它機密信息。測試還表明,在一台虛擬機上發起的攻擊,甚至能夠訪問到主機的物理內存。基於此,還可以獲取在同一主機上、不同虛擬機的內存讀取訪問。 該漏洞影響許多 CPU,包括來自英特爾、AMD、ARM 的晶元,以及搭配運行的設備和操作系統。在獲悉這種新型攻擊的第一時間,谷歌安全和產品開發團隊就積極動員了起來,以保護自家系統和用戶數據。萬幸的是,谷歌現已更新了系統和受影響的產品,可以防止這類新型攻擊。此外他們還與業內的軟硬體製造商合作,幫助保護更廣泛的客戶,這些努力包括協作分析和開發新奇的緩解措施。 受到該漏洞影響的 Google ...
Read more

目前很多公司調用第三方簡訊平台發簡訊驗證碼,是不是很不安全?

很安全 題主可以放心很多公司為什麼選擇第三方簡訊平台發送驗證碼? 首先:和簡訊運營商需要資質多 不易操作 而且時間成本也很大 還需要自己開發對應的簡訊驗證碼介面其次:和第三方簡訊平台合作 只需要提供營業執照或是個人身份信息即可 簡單易操作 省事 省時 省力最後 :」第三方簡訊平台也是接入簡訊運營商的驗證碼通道的 正規 不會出現故意盜取用戶驗證碼問題1、首先截取你的簡訊驗證碼屬於違法行為 2、其次 劫持你的簡訊驗證碼 對他沒有什麼用 ...
Read more

網路上粗俗的網路用語應該被禁止嗎?

需要。1、網路雖然是無形的,但是網路語言卻影響我們日常生活,很多粗俗的語言,正在不知不覺的影響我們的生活。 2、素質應該體現在方方面面,網路語言也是一個時代,一個國家公民的素質體現,雖然信息屏蔽後,不能知道是誰濫用網路語言暴力,但是,這正是體現國家公民素質的時候。 3、如果不禁止,可以考慮是不是能夠在特定的場合,比如打遊戲,或者設計一個範圍,用於情緒發泄,不能大範圍推廣。謝謝邀請。 ...
Read more

為什麼無密碼的wifi不安全,而有密碼的wifi就安全了?

首先,為什麼無密碼的免費WiFi不安全?現在大部分的公共WiFi都是需要密碼的,但也不是說無密碼的WiFi一定不安全,也有部分商家會設置免密碼連接的安全WiFi。只不過一般的虛假風險WiFi為了能吸引更多人連接,都是免密碼的,所以連接無密碼的WiFi風險相對較高一點。 據騰訊WiFi管家調查數據顯示,有95%以上的虛假WiFi都是免費的!那麼,我們在公共場所時,該如何保證既能連上免費WiFi,又能遠離風險WiFi呢?1. 首先,不要盲目連接免密碼的WiFi。雖然不能確定它一定是風險WiFi,但還是謹慎一點比較好。一般在商場、機場、酒店等公共場所,你可以通過關注該區域商戶的官方公眾號獲取密碼,或者通過手機驗證的方式連接。 2. ...
Read more
1 2 46 Next