vrain的博客

目录1、背景介绍2、注入原理3、防范手段1)、预编译语句，绑定变量（重要）2)、存储过程（除非公司允许）3)、合理使用数据类型（重要）4)、使用编码函数5)、最小权限原则（重要） 如时间有限，可直接阅读防范手段一节。 1、背景介绍 今年开始公司准备对项目做部分重构，其中安全性问题首当其冲，除了已知的问题外，还需要发散思维，尽可能找出更多的潜在问题。期间发现一本非常好的书《白帽子讲Web安全》，感谢...

目录1、背景介绍2、安全风险认证过程攻击认证后的Session攻击3、防范手段一、在用户密码方面1、校验密码强度（重要）2、不可逆的加密算法（重要）3、多因素认证（看业务场景）4、认证的超频限制（重要）二、在会话管理方面1、会话cookie一定要设置HttpOnly（重要）2、用户客户端发生改变时，强制重新登录 （重要）3、踢下线功能，每个用户只允许一个session（重要） 如时间有限，可直接阅...

目录一、背景介绍二、基础概念三、安全风险四、防范手段1、使用安全框架（重要）2、后台对数据范围做判断（重要）3、避免数据库自增ID在页面传输（建议） 如时间有限，可直接阅读防范手段一节。 一、背景介绍 今年开始公司准备对项目做部分重构，其中安全性问题首当其冲，除了已知的问题外，还需要发散思维，尽可能找出更多的潜在问题。期间发现一本非常好的书《白帽子讲Web安全》，感谢吴翰清大佬，读完本书让我对we...

目录1、背景介绍2、攻击原理3、防范手段1)、做好文件类型检查（重要）2)、最好对图片进行压缩或resize3)、使用随机数改写文件名和文件路径（根据公司需求）4)、设置单独文件服务器和域名（重要）5)、检查病毒木马、色情、反政府等文件 如时间有限，可直接阅读防范手段一节。 1、背景介绍 今年开始公司准备对项目做部分重构，其中安全性问题首当其冲，除了已知的问题外，还需要发散思维，尽可能找出更多的潜...