WEB安全开发
关注
分享
扫一扫
文章平均质量分 88
只不过是胆小鬼罢了
全部内容均为最基础的了解,勿喷,转载小迪安全培训内容
展开
-
53-Python-Flask 与 Jinja2:从基础开发到 SSTI 安全风险的全解析
在 Web 开发的广阔领域中,Python 的 Flask 框架以其轻量级和灵活性赢得了众多开发者的青睐。而 Jinja2 作为其默认的模板引擎,为动态网页的生成提供了强大的支持。然而,正如任何强大的技术一样,它也伴随着潜在的安全风险,特别是 Server-Side Template Injection(SSTI)这类日益突出的漏洞。今天,我想和大家分享从 Flask 项目搭建到 SSTI 漏洞利用与防御的全方位经验。(摘錄小迪安全)原创 2025-03-21 20:56:41 · 459 阅读 · 0 评论 -
52-Java 开发者必知:SnakeYaml 反序列化与 SpringBoot 打包部署全攻略
摘錄小迪安全原创 2025-03-21 21:01:18 · 675 阅读 · 0 评论 -
51-JavaEE 开发中的身份验证技术解析:JWT 与 Spring Security 的应用与安全实践
在现代 Web 开发中,身份验证和授权是保障应用安全的关键环节。对于基于 JavaEE 的开发框架,如 Spring Boot,选择合适的身份验证技术至关重要。JWT(JSON Web Token)和 Spring Security 是当前广泛使用的两种技术方案,它们各自具有独特的优勢和适用场景。本文将深入探讨这两种技术在 Spring Boot 中的应用实现以及它们面临的安全挑战与解决方案。(摘錄小迪安全)原创 2025-03-21 20:50:33 · 563 阅读 · 0 评论 -
50-Spring Boot 开发框架技术解析与安全实践
Spring Boot Actuator 模块为应用提供了生产级别的功能,如健康检查、审计、指标收集、HTTP 跟踪等,帮助开发者监控和管理 Spring Boot 应用。通过 Actuator,可以轻松地获取应用的运行时信息,如内存使用情况、线程状态、数据源状态等,同时还能进行一些管理操作,如刷新配置、重启应用等。Swagger 是一种流行的接口文档生成工具,能够自动生成 RESTful API 的文档。在前后端分离的项目中,接口文档是必不可少的。(摘錄小迪安全)原创 2025-03-21 20:42:47 · 878 阅读 · 0 评论 -
49-JavaEE开发中的SpringBoot与模板引擎安全
及时更新版本:使用最新版本的框架和模板引擎,以获得最新的安全修复。输入验证:对所有用户输入进行严格的验证和过滤,避免恶意输入。避免直接暴露模板:不要将模板文件直接暴露给用户,避免模板注入攻击。安全配置:合理配置模板引擎的安全选项,如禁用危险的内置类。(摘錄小迪安全)原创 2025-03-21 20:36:14 · 318 阅读 · 0 评论 -
48-JavaEE 开发中的第三方依赖安全:Log4j、FastJson、XStream 与 Shiro 的深度剖析
Log4j 是 Apache 基金会开发的一款基于 Java 的日志记录工具,广泛应用于各种业务系统中。它提供了灵活的日志记录功能,支持将日志信息输出到控制台、文件、数据库等多种目的地。FastJson 是阿里巴巴开发的一款高性能 JSON 库,用于 Java 对象与 JSON 字符串之间的相互转换。它以其高效性和易用性被广泛应用于各种 Java 应用中。XStream 是一个用于将 Java 对象序列化为 XML,以及从 XML 反序列化为 Java 对象的库。(摘錄小迪安全)原创 2025-03-21 21:09:27 · 676 阅读 · 0 评论 -
47-JavaEE开发中的JNDI注入与安全问题
摘錄小迪安全原创 2025-03-21 20:26:52 · 718 阅读 · 0 评论 -
46-JavaEE开发中的序列化与反序列化安全
摘錄小迪安全原创 2025-03-21 20:22:14 · 275 阅读 · 0 评论 -
45-JavaEE 开发中的动态代理与序列化技术
代理模式是 Java 中常用的设计模式之一,其核心思想是代理类与委托类实现相同的接口。代理类的主要职责是为委托类进行预处理、消息过滤、转发消息以及事后处理等操作。这种模式在很多场景下都有应用,比如权限控制、日志记录、事务管理等。在动态代理的安全性方面,关键在于对 invoke 方法的利用条件分析。代理对象在方法调用时会进入 invoke 方法,因此可以在该方法中进行安全检查、权限验证等操作,以实现对目标对象方法调用的控制。序列化是将内存中的对象转换为字节流的过程,而反序列化则是将字节流还原为内存中的对象。原创 2025-03-23 19:10:37 · 578 阅读 · 0 评论 -
44-JavaEE Web开发技术指南:类加载器、反射机制与安全问题
摘录小迪安全原创 2025-03-21 20:10:34 · 847 阅读 · 0 评论 -
43-JavaEE Web开发技术指南:Maven、JDBC、MyBatis、Hibernate与SQL注入防护
摘录小迪安全原创 2025-03-20 11:19:06 · 853 阅读 · 0 评论 -
42-JavaEE Web开发技术指南
摘录小迪安全原创 2025-03-20 11:17:26 · 456 阅读 · 0 评论 -
41-微信小程序开发与安全指南
摘录小迪安全原创 2025-03-20 11:13:38 · 645 阅读 · 0 评论 -
40-Vue.js 开发与安全实践指南
摘录小迪安全原创 2025-03-20 11:09:27 · 550 阅读 · 0 评论 -
39-Webpack 构建打包与源码泄漏防护指南
摘录小迪安全原创 2025-03-20 11:06:00 · 917 阅读 · 0 评论 -
38-Node.js 开发与安全实践指南
摘录小迪安全原创 2025-03-20 11:03:34 · 637 阅读 · 0 评论 -
37-JavaScript 在 Web 开发中的安全应用:数据加密与代码混淆
摘录小迪安全原创 2025-03-20 10:58:17 · 1058 阅读 · 0 评论 -
36-WEB开发:原生JS对象深度解析与安全实践
摘录小迪安全原创 2025-03-20 10:48:03 · 936 阅读 · 0 评论 -
35-WEB开发:原生JS与Ajax技术实战指南
摘录小迪安全35天原创 2025-03-20 10:42:29 · 621 阅读 · 0 评论 -
34-PHP 应用安全加固:从配置到代码的全方位防护
摘录小迪安全原创 2025-03-20 10:37:52 · 430 阅读 · 0 评论 -
33-PHP代码执行与命令执行安全深度剖析
PHP提供了多个函数用于动态执行代码,这些函数在特定场景下非常有用,但如果使用不当,可能会引发严重的安全问题。eval():解析并执行字符串中的PHP代码。assert():评估一个表达式,并在表达式为假时触发错误。:执行正则表达式搜索和替换,当使用/e修饰符时,允许将替换字符串作为PHP代码执行。:动态创建匿名函数。PHP提供了多个函数用于执行系统命令,这些函数在需要与操作系统交互时非常有用。exec():执行外部程序。system():执行外部程序并输出结果。passthru()原创 2025-03-20 10:36:05 · 906 阅读 · 0 评论 -
32-WEB开发:文件安全全解析——从基础到实战案例
摘要小迪安全培训32天原创 2025-03-20 10:30:49 · 753 阅读 · 0 评论 -
31-WEB开发:ThinkPHP框架的深度解析与安全实践
转载小迪安全培训原创 2025-03-20 10:08:42 · 945 阅读 · 0 评论 -
30-WEB开发:Smarty模板引擎与插件组件的安全应用
转载小迪安全培训原创 2025-03-20 10:03:33 · 1024 阅读 · 0 评论 -
29-WEB开发安全探索:身份验证、弱类型比较与函数特性
转载小迪安全培训原创 2025-03-20 09:58:04 · 570 阅读 · 0 评论 -
28 WEB开发技术博客:原生PHP身份验证与安全机制深度解析
转载小迪安全培训第28天原创 2025-03-07 18:42:37 · 795 阅读 · 0 评论 -
27-WEB开发-原生PHP探索与应用
转载小迪安全培训27天原创 2025-03-07 14:02:48 · 684 阅读 · 0 评论