Wang的专栏

重放攻击

拒绝服务攻击

信息泄露严格来讲并不属于安全漏洞，它是一类现象的总称，无论是web开发者还是使用者都要注意信息泄露这样一件事情

如上面的代码，如果上传文件路径和url是对应的，那么就会被执行这些代码在这里我们没有指定相关路由，php自动解析路径url, 所以这个漏洞在php中相当严重上传漏洞演示此处我们使用nodejs做演示前端程序后端程序，我们首先要安装下支持form-data的body解析模块$ ，之后在合适的地方引入 引入 配置 添加上传路由后端接收上传程序后端处理上传路径逻辑好的，程序到此为止，如果我们正常上传图片，它会正常展示，如果我们上传的是.js文件，它就会尝试运行.js文件,

看起来好像并没有问题，但是这里的username和password如果不是一个字符串会怎样那就会构成一个查询条件，比如前端传递的参数是这时候就会构成一条查询语句，密码长度大于0的数据这个本质上也是一种注入过程，本来是数据，现在变成了逻辑程序那么如何防御呢？这里也给出一些解决方案NOSQL注入的防御1 ) 检查数据类型2 ) 类型转换3 ) 写完整条件...

一般攻击者会假设网站有sql注入的漏洞，比如这个查询语句：攻击者假设这个10是文章的id, 攻击者就会猜测可能是上面的sql语句页面上输入的参数是10，这时候，就可以拼凑测试，比如在url上拼接1 ) 判断是否可以注入, 一般而言，如果可以的话页面正常，不报错，但是也有其他情况，如下这两个都没什么反应，不报错，页面正常，说明后面的and没有起作用攻击者会猜测可能是字符串存在引号的问题, 继续尝试 这样如果页面出错，那么继续修改 这时候页面不报错这种情况(恒等正常,恒不等报错)就说明，一

证明原理密码泄露的几种可能密码安全防御严谨明文存储密码单项变换(不能逆向得到明文和防猜解)破解哈希单项变换的方式：彩虹表如何解决彩虹表的安全问题我们可以看到简单的彩虹表是可以通过查询得出的但是存储这些简单彩虹表的数据可能是百亿~万亿的数量级如果加密组合复杂，那么需要存储的数据量更大彩虹表受限于计算和存储能力，那几乎是无法存储了，这样就安全了由此可知，彩虹表只能收录比较简单的密码帮助用户增加复杂度，也就是加盐的解决方案密码，变换次数越多越安全密码不安全示例密码加固示例定义一个password类, 用于加密

窃听了什么HTTP篡改案例中间人攻击证书机制关于HTTPS证书案例申请证书具体演示示例在nodejs中部署一个HTTPS服务等价于用nodejs原生实现这样，我们要处理https，只需要引入https的模块然后，我们访问https://localhost:1522, 显示一个错误：localhost使用了一个不受支持的协议这时候，就要求我们将证书放进去，我们可以在项目目录新建一个目录：cert，将刚才的三个文件放进去这时候，我们需要把两个证书文件合并，新建一个fullchain.crt文件，

【代码】关于点击劫持和防御。

nodejs响应中设置加密后cookies信息。1 ) 通过cookie存储用户签名。nodejs请求中验证用户凭证。nodejs中处理用户凭证。用户ID+签名(推荐)

【代码】关于CSRF及其防御。

【代码】关于CSP及其相关实现。

【代码】关于XSS攻击及其防御。

该指令在某种资源类型指定指令没有被定义的情况下制定了所有资源类型的加载策略(即默认的资源加载策略): 该指令制定了Web应用程序可以加载的CSS样式表的域或URL。: 该指令指定了Web应用程序可以加载的脚本的域或URL。: 该指令指定了Web应用程序可以加载的音视频的域或URL。: 该指令指定了Web应用程序可以加载的图片的域或URL。: 该指令指定了Web应用程序可以加载的框架的域或URL。: 该指令指定了Web应用程序可以加载的字体的域或URL。通过编码在HTTP响应头中的指令来实施策略。

也叫Web应用安全，互联网本身是安全的，自从有了研究安全的人之后，互联网就变得不安全了。

Web安全分哪几类Web安全可以分为几个层面Web安全关注的问题Web安全的重要性Web常见的安全问题面对Web安全问题开发者应该怎样做