Daisy

接入层上传问题上传来自用户,会马上被用户访问如果文件被当做文件解析,可能会造成问题。如果是可以被执行的文件，可能会直接执行一些非法的操作。上传问题:上传文件再次访问上传的文件上传的文件被当成程序解析const bodyParser = require('koa-body');app.use(bodyParser({ multipart: true}))防御:...

接入层注入问题数据库里有关系型数据库关系型数据库：存放结构化数据可高效操作大量数据方便处理数据之间的关联关系常见：access/sqlite/mssql server——————Access mdb小型sqlite 文件型 嵌入型.db并发有问题Mysql 开源 oracle下的 不是文件型 是提供服务的 默认3306 协议通信Mssql server 微软 收费...

csrf:Cross Site Request Forgy 跨站请求伪造xss主要运行了来自其他网站的脚本csrf是打开了第三方网站 来操作之前的网站的一个行为。比如打开了一个crsf的网站，然后向刚刚那个网站发起了请求比如一个发表评论的请求，然后就评论了。<a href="http://localhost:80/ajax/addComment?postId=13&conten...

Cookies的特征前端数据的存储后端通过http头设置请求时通过http头传给后端前端可读写遵守同源策略 if(results.length){ let user = result[0]; //登录成功，设置cookie ctx.cookies.set('userId'. user.id, { htt...

点击挟持：顾名思义，跟点击有关，挟持，意味着违背用户意愿做一件事情。点击挟持，通过用户点击完成了另一个操作，用户并不知情。通过iframe<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content...

xss:Cross site scripting 跨脚本站攻击可能会遇到在get请求中的参数的内容会提交，然后显示在页面上。在get中的参数可能会嵌入JS代码，导致弹出脚本弹框或者进行一些操作。浏览器也会对跨脚本攻击进行一般的拦截。xss攻击原理：程序 + 数据 = 结果其中的数据变成了程序。Scripting能干啥呢？可以获取页面数据获取cookies劫持前端逻辑发送...

传输安全HTTP传输窃听：过程：浏览器<->代理服务器<->链路<->服务器在代理服务器和链路这过程中，可能会造成传输链路窃听篡改。因为HTTP是明文传输的，不会加密。可以通过tracert www.baidu.com代理软件：anyproxyHTTP窃听：窃听用户密码窃听传输敏感信息非法获取个人资料HTTP篡改插入广告重定...

密码安全密码的作用：证明你是你密码-对比存储的密码 <----对比----->输入的密码只有用户知道，密码是一定要私密的，密码的作用就是对比密码-泄露渠道数据库被偷服务器被入侵通讯被窃听内部人员泄露数据其他网站（撞库）密码-存储严禁明文存储（防泄露）单向变换（防泄漏）变换复杂度要求（防猜解）密码复杂度要求（防猜解）加盐（防猜解）密码是可以通过...