半夏_2021的博客

Java代码审计怎么做？

Cookie的安全性

RASP-监控应用的底层，来从根本上发现攻击行为的产生

网络保护第二层: IDS

网络保护第一层: 防火墙介绍

java 序列化漏洞怎么解决？

编写安全代码的最佳实践清单

如何防止XSS攻击？

如何防止CSRF攻击？

越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任，一个用户一般只能对自己本身的信息进行增删改查，然而由于后台开发人员的疏忽，没有在用户进行增删改查时进行用户判断。忽略了该用户的权限判定，导致攻击账户拥有了其他账户的增删改查。

WAF-网络应用防火墙

X-Frame-Options主要用处是用于防止点击劫持，**点击劫持（ClickJacking）**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options，可以指示浏览器是否应该加载一个iframe中的页面。

会话固定攻击(session fixation attack)及解决办法

自己网页被别人用iframe嵌套怎么办？可以配置 HTTP 属性 X-Frame-Options

SQL 注入攻击(SQL Injection)，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中，忽略了对输入字符串中夹带的 SQL 指令的检查，那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

CSRF 英文全称是 Cross-site request forgery，所以又称为“跨站请求伪造”。是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求，由于同一浏览器进程下 Cookie 可见性，导致用户身份被盗用，完成恶意网站脚本中指定的操作。简单来讲，CSRF 攻击就是黑客利用了用户的登录状态，并通过第三方的站点来做一些坏事。

Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。