- 博客(48)
- 收藏
- 关注
RSS订阅原创 55-WEB攻防中的SQL注入:HTTP头、UA与Cookie的解析
从ua、XFF头、cookie、referer到403绕过,每一个技术细节都可能成为攻防的关键。在网络安全中,我们需要不断学习和实践,掌握这些技术细节,以应对不断变化的威胁。未来,随着技术的发展,新的安全风险也会不断出现。我们需要保持警惕,不断提升自己的安全意识和技术水平,以应对这些挑战。(摘录小迪安全)
2025-03-29 16:21:32
528
原创 54-sql数据传输与安全案例分析一
在数据传输和处理过程中,选择合适的格式(如JSON或XML)是基础,而采用编码或加密方式可以有效提升数据的安全性。同时,开发人员需要对用户输入的数据进行严格的验证和过滤,防止如JSON注入、编码注入等安全漏洞的发生。(摘錄小迪安全)
2025-03-24 13:37:21
369
原创 45-JavaEE 开发中的动态代理与序列化技术
代理模式是 Java 中常用的设计模式之一,其核心思想是代理类与委托类实现相同的接口。代理类的主要职责是为委托类进行预处理、消息过滤、转发消息以及事后处理等操作。这种模式在很多场景下都有应用,比如权限控制、日志记录、事务管理等。在动态代理的安全性方面,关键在于对 invoke 方法的利用条件分析。代理对象在方法调用时会进入 invoke 方法,因此可以在该方法中进行安全检查、权限验证等操作,以实现对目标对象方法调用的控制。序列化是将内存中的对象转换为字节流的过程,而反序列化则是将字节流还原为内存中的对象。
2025-03-23 19:10:37
573
原创 48-JavaEE 开发中的第三方依赖安全:Log4j、FastJson、XStream 与 Shiro 的深度剖析
Log4j 是 Apache 基金会开发的一款基于 Java 的日志记录工具,广泛应用于各种业务系统中。它提供了灵活的日志记录功能,支持将日志信息输出到控制台、文件、数据库等多种目的地。FastJson 是阿里巴巴开发的一款高性能 JSON 库,用于 Java 对象与 JSON 字符串之间的相互转换。它以其高效性和易用性被广泛应用于各种 Java 应用中。XStream 是一个用于将 Java 对象序列化为 XML,以及从 XML 反序列化为 Java 对象的库。(摘錄小迪安全)
2025-03-21 21:09:27
663
原创 53-Python-Flask 与 Jinja2:从基础开发到 SSTI 安全风险的全解析
在 Web 开发的广阔领域中,Python 的 Flask 框架以其轻量级和灵活性赢得了众多开发者的青睐。而 Jinja2 作为其默认的模板引擎,为动态网页的生成提供了强大的支持。然而,正如任何强大的技术一样,它也伴随着潜在的安全风险,特别是 Server-Side Template Injection(SSTI)这类日益突出的漏洞。今天,我想和大家分享从 Flask 项目搭建到 SSTI 漏洞利用与防御的全方位经验。(摘錄小迪安全)
2025-03-21 20:56:41
449
原创 51-JavaEE 开发中的身份验证技术解析:JWT 与 Spring Security 的应用与安全实践
在现代 Web 开发中,身份验证和授权是保障应用安全的关键环节。对于基于 JavaEE 的开发框架,如 Spring Boot,选择合适的身份验证技术至关重要。JWT(JSON Web Token)和 Spring Security 是当前广泛使用的两种技术方案,它们各自具有独特的优勢和适用场景。本文将深入探讨这两种技术在 Spring Boot 中的应用实现以及它们面临的安全挑战与解决方案。(摘錄小迪安全)
2025-03-21 20:50:33
551
原创 50-Spring Boot 开发框架技术解析与安全实践
Spring Boot Actuator 模块为应用提供了生产级别的功能,如健康检查、审计、指标收集、HTTP 跟踪等,帮助开发者监控和管理 Spring Boot 应用。通过 Actuator,可以轻松地获取应用的运行时信息,如内存使用情况、线程状态、数据源状态等,同时还能进行一些管理操作,如刷新配置、重启应用等。Swagger 是一种流行的接口文档生成工具,能够自动生成 RESTful API 的文档。在前后端分离的项目中,接口文档是必不可少的。(摘錄小迪安全)
2025-03-21 20:42:47
877
原创 49-JavaEE开发中的SpringBoot与模板引擎安全
及时更新版本:使用最新版本的框架和模板引擎,以获得最新的安全修复。输入验证:对所有用户输入进行严格的验证和过滤,避免恶意输入。避免直接暴露模板:不要将模板文件直接暴露给用户,避免模板注入攻击。安全配置:合理配置模板引擎的安全选项,如禁用危险的内置类。(摘錄小迪安全)
2025-03-21 20:36:14
311
原创 33-PHP代码执行与命令执行安全深度剖析
PHP提供了多个函数用于动态执行代码,这些函数在特定场景下非常有用,但如果使用不当,可能会引发严重的安全问题。eval():解析并执行字符串中的PHP代码。assert():评估一个表达式,并在表达式为假时触发错误。:执行正则表达式搜索和替换,当使用/e修饰符时,允许将替换字符串作为PHP代码执行。:动态创建匿名函数。PHP提供了多个函数用于执行系统命令,这些函数在需要与操作系统交互时非常有用。exec():执行外部程序。system():执行外部程序并输出结果。passthru()
2025-03-20 10:36:05
896
原创 信息收集综合
通过对应用服务器的操作系统、IP 资产、端口资产和应用服务的详细分析,可以对其角色进行准确的定性判定。这不仅有助于我们更好地了解服务器的用途和功能,还可以为网络安全防护提供有力支持。在实际工作中,我们可以结合多种工具和方法,如网络资产引擎、在线端口扫描、本地离线工具等,进行全面的资产分析和角色定性。同时,需要注意的是,在进行资产分析和角色定性时,要遵守相关的法律法规和道德规范,确保扫描和分析的合法性和安全性。开源CMS是构建网站和Web应用的基石。(摘錄小迪安全)
2025-03-03 22:19:47
860
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人