• Nginx 增加X-Frame-Options配置,防止页面被嵌套存在 CrossFrame

    系统发布后使用 360网站安全扫描,发现存在 [轻微]X-Frame-Options头未设置 漏洞,漏洞的根本原因是目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP 响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。利用这个漏洞攻击者可以使用一个透明的

    Oct 29, 2017 阅读(52)
    标签: Nginx
  • Web安全测试之XSS

    XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。XSS 是如何发

    Dec 15, 2016 阅读(340)
    标签: Xss
  • WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊一、跨站脚本攻击(XSS)跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指

    Dec 15, 2016 阅读(322)
    标签: Xss SQL注入