3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案
随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cros...
-
153阅读
-
78阅读
涉嫌与美分享网络罪犯信息 俄网络安全局前副局长被判22年监禁
腾讯科技讯 2月28日消息,据外媒报道,俄罗斯一家法院对两名被控犯有叛国罪的男子进行宣判,判处他们长期监禁,理由是他们涉嫌与美国执法官员分享俄罗斯网络罪犯的信息。 据报道,这两名男子分别是俄罗斯网络情报官员和俄罗斯安全公司卡巴斯基实验室(Kasbadky Lab)的高管,他们因参与对帕维尔·瓦鲁布...
-
57阅读
【安全帮】用编辑器漏洞植入SEO暗链,700个网站被植入恶意链接
石油开采与云技术结合,埃克森美孚与微软在美国达成数字合作 据外媒报道,埃克森美孚(ExxonMobil)与微软(Microsoft)签署了一项新的合作协议,这项协议意味着埃克森美孚在二叠纪盆地(含有丰富的石油矿藏)成为在石油开采地使用云技术面积最大的石油生产商,并有望在未来10年内通过改进分析和提高...
-
101阅读
新发现的thunderclap漏洞允许黑客使用Thunderbolt/USB-C外设攻击PC
今天早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap,影响所有主要平台,包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备,并允许黑客通过插入数据线来黑入PC。 相关论文发表在加利福尼亚州圣地亚哥举行...
-
60阅读
CentOS 6和Red Hat Enterprise Linux 6获得重要的内核安全更新
针对CentOS 6和Red Hat Enterprise Linux 6操作系统系列的重要内核安全更新已经发布,以解决最近发现的漏洞和其他错误。最主要的漏洞由红帽产品安全团队标记为具有“重要”安全影响。新内核安全更新包含针对影响原始MIDI内核驱动程序的竞争条件漏洞的修复,该漏洞可能导致双重释放或...
-
56阅读
企业数据库安全应用指南
一. 数据库安全现状 民营企业作为国民经济发展的重要组成,伴随着经济全球化发展,企业管理借鉴了国外先进的现代企业管理模式。当前,全球信息化进程的不断发展,这给民营企业管理方式带来一个新的发展方向。企业管理信息化建设和发展对提高企业市场竞争力具有重要的推进作用。 同时,随着企业市场竞争环境的加剧,民...
-
77阅读
研究称黑客可通过漏洞劫持裸金属服务器 IBM将修复
据美国科技媒体ZDNet援引一份报告内容显示,当裸金属(bare-metal)云服务器重新分配给其他客户之后,黑客依然可以通过修改固件来重新接入该服务器。裸金属服务器是云计算行业使用的一个术语,指的是一次只租给一名客户的物理服务器(硬件)。 租用裸金属服务器的客户可以获得完全访问权。他们可以随意进...
-
112阅读
【安全帮】支付宝“安全守护”上线:有诈骗风险会通知守护人
支付宝“安全守护”上线:有诈骗风险会通知守护人 在2月26日召开的天朗计划大会上,全国26地反诈中心、中国警察网宣布和支付宝全面合作。同时,蚂蚁金服集团副总裁芮雄文宣布支付宝推出安全防护新产品“安全守护”。据了解,只要在支付宝设置好“守护人”后,一旦用户疑似遭遇电信诈骗,或账号出现异常登录,支付宝在...
-
77阅读
金融行业数据库安全应用指南
一. 金融行业数据库安全现状 金融数据是近年来黑客的主要掠夺对象,据安全值对金融行业2764家机构的数据库情况进行统计,发现有613家的数据库直接暴露在互联网中。出问题的数据库依旧集中在mysql的多个常见老旧版本之中。这些老旧版本存在大量可利用的攻击漏洞,甚至部分的攻击脚本都可直接从互联网中获得...
-
116阅读
Web中间件漏洞之IIS篇
一、IIS简介 IIS 是 Internet Information Services 的缩写,意为互联网信息服务,是由微软公司提供的基于运行 Microsoft Windows 的互联网基本服务。最初是 Windows NT 版本的可选包,随后内置在 Windows 2000 、Windows ...
-
121阅读
人社行业数据库安全应用指南
一. 人社行业数据库安全现状 随着人力资源和社会保障信息化建设的推进,随之而来的安全威胁日益增多。近年来,社保系统成为个人信息泄露的重灾区。据媒体报道,仅从14年4月到15年4月,涉及国内19个省份的社保系统存在高危漏洞,共计5200万人的个人信息可能泄露。 二. 人社行业数据库安全面临的威胁 ...
-
70阅读
【安全帮】MWC 2019:未来的Android手机,应用程序将不需要密码
多款 App 被曝与 FB 共享用户敏感数据:部分 App 已改正 美国《华尔街日报》报道称,许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息,其中包括用户的体重和月经周期。《华尔街日报》上周五报道称,至少有11款热门健康、健身应用通过Facebook提供给App开发商的软...
-
53阅读
三个4G/5G漏洞曝光:可拦截电话和追踪用户位置
多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞,可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示,这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护,并对窃听手机行为提供了更妥善的保护措施,但研究人员表示新型攻击方式可以...
-
172阅读
如何有效做数据库巡检,老A有话说
数据库巡检是数据库运维领域最重要的工作,它将长期存在。和数据库运维发展类似,数据库巡检也经历了人肉、脚本化、平台化的发展。 01 人肉巡检 运维工程师手工巡检数据库各项指标。巡检项、巡检结论完全取决于运维工程师的水平,不同工程师巡检同一套数据库,巡检结果可能会大相径...
-
69阅读
教育行业数据库安全应用指南
一. 现状 近年在国内,教育行业已经发生多起数据库泄露事件,案件相关人员隐私权益遭到严重损害,教育相关单位的声誉受到严重挑战。 据安全值针对教育行业中4477家数据库情况的统计,发现有515家的数据库直接暴露在互联网中。教育行业使用的数据库种类繁杂,版本多样。但大部分都是存在明显漏洞的旧版数据库。...
-
72阅读
【安全帮】谷歌研究者:软件技术无法解决“幽灵”芯片漏洞
谷歌研究者:软件技术无法解决“幽灵”芯片漏洞 据美国科技媒体Ars Technica报道,谷歌研究人员对“幽灵”(Spectre)攻击的范围和影响进行调查后,发表了一篇论文,认为类似于这样的漏洞可能会继续困扰处理器,而基于软件的防护技术会产生较高的性能成本。他们还认为,无论如何,软件都不足以防御这种...
-
92阅读
【安全帮】理财资产不翼而飞?京东金融一周内再现系统故障
理财资产不翼而飞?京东金融一周内再现系统故障 2月22日下午,多名投资者在微博反映称,在没有进行任何人为操作的情况下,自己在京东金融App中的理财资产被系统清零。有投资者表示,京东金融的人工电话客服打不进去,电话始终处于占线状态,并提示使用手机端咨询客服。综合网友反馈,本次出现清零问题的产品多数集中...
-
56阅读
WinRAR 5.70 beta 2 简体中文版发布 修复漏洞 不再支持ACE
WinRAR:流行好用的压缩工具,支持鼠标拖放及外壳扩展,完美支持 ZIP 档案,内置程序可以解开 CAB、ARJ、LZH、TAR、GZ、UUE、BZ2、JAR、ISO 等多种类型的压缩文件。 具有估计压缩功能,你可以在压缩文件之前得到用 ZIP 和 RAR 两种压缩工具各三种压缩方式下的大概压缩率...
-
98阅读
【安全帮】阿里云出现源代码泄露企业 涉及万科等40家企业200余项目
黑客入侵POS公司系统,在客户网络植入恶意软件 总部位于明尼苏达州的POS产品供应商North Country Business Products(NCBP)上周公开了一个安全事件:黑客入侵了其IT系统,后来在其部分客户的网络上植入了POS恶意软件。根据NCBP称,这次破坏发生在2019年1月3日。...
-
53阅读
Drupal SA-CORE-2019-003 远程命令执行分析
漏洞背景 2 月 20 日 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞: https://www.drupal.org/sa-core-2019-003 漏洞的触发条件为开启了 RESTful Web Services,且允许 POST / PATCH 请求。 根据 Drupal...
