标签:web安全

安全

互联网全站HTTPS的时代已经到来

11

新一 发布于 2年前 (2014-10-10)

我目前在百度从事HTTPS方面的性能优化工作。百度无线搜索目前已经支持https,手机访问地址是https://m.baidu.com在HTTPS项目的开展过程中明显感觉到目前国内互联网对HTTPS并不是很重视,其实也就是对用户隐私和网络安全不重视。本文从保护用户隐私的角度出发,...

阅读(1579)评论(2)赞 (0)

安全

XSS 前端防火墙-整装待发

7

新一 发布于 2年前 (2014-06-20)

到目前为止,我们把能用前端脚本防御XSS的方案都列举了一遍。尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现。我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程度。事实上,HTML5早已制定了一套浏览器XSS解决方案—— ContentSecur...

阅读(1033)评论(0)赞 (0)

安全

XSS 前端防火墙-天衣无缝的防护

1

新一 发布于 2年前 (2014-06-19)

上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面。到目前为止,我们防护的深度已经差不多,但广度还有所欠缺。例如,我们的属性钩子只考虑了setAttribute,却忽视还有类似的setAttributeNode。尽管从来不用这方法,但并不意味人...

阅读(978)评论(0)赞 (0)

安全

XSS 前端防火墙-无懈可击的钩子

2

新一 发布于 2年前 (2014-06-19)

昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用MutationObserver扫描。动态模块:通过API钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的APIHook,以及各种外挂木马。当然,未必是系统...

阅读(983)评论(0)赞 (0)

安全

XSS 前端防火墙-可疑模块拦截

5

新一 发布于 3年前 (2014-06-17)

上一篇介绍的系统,虽然能防御简单的内联XSS代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的XSS代码,就是加载站外的一个...

阅读(1045)评论(0)赞 (1)

安全

XSS 前端防火墙-内联事件拦截

1

新一 发布于 3年前 (2014-06-17)

关于XSS怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。几乎每篇谈论XSS的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但XSS漏洞十几年来...

阅读(966)评论(0)赞 (0)

开发语言

DedeCMS顽固木马后门专杀工具 V2.0

8

新一 发布于 3年前 (2013-11-18)

DedeCMS顽固木马后门专杀工具由安全联盟,知道创宇联合发布的DedeCMS木马后门清理脚本专杀工具,现已发布至20140228。新一觉得功能非常好推荐给DedeCMS站长使用20140228版本更新了:【橙色警报:DedeCMS最新漏洞被黑客积极利用】增加了2个高危漏洞扫描,...

阅读(3688)评论(1)赞 (1)