原理跨站脚本（Cross site script，简称xss）是一种“HTML注入”，由于攻击的脚本多数时候是跨域的，所以称之为“跨域脚本”。 我们常常听到“注入”（Injection），如SQL注 ...

原理 爆破是对系统的登录入口发起不间断的请求，达到暴力破解的目的。 实际案例 某系统存在爆破攻击点，只要模拟以下攻击，就能采用字典破解法，根据分析发现，只要返回状态为302的，为用户名密码正确， ...

本篇继续对于安全性测试话题，结合DVWA进行研习。 Session Hijacking用户会话劫持 1. Session和Cookies 这篇严格来说是用户会话劫持诸多情况中的一种，通过会话标识规则来破解用户session。 而且与前几篇不同，我们有必要先来理解一下Session ...

原理 CSRF，Cross Site Request Forgery，即跨站点请求伪造。 这种攻击是指，在用户正常登录系统以后，攻击者诱使用户访问一些非法链接，以执行一些非法操作。比如：如果删除用 ...

ASP.NET会话（Session）保存模式 今日抽空就说一下 Session 在 .Net v1.0/v1.1 中的存储模式。大家可在 MSDN 2003 中搜索一下<sessionState>即可看到关于 Web.config 中的<sessionState>节点 ...

为什么需要企业安全框架一方面，实现业务与技术之间的“沟通”，让相关的业务与安全方面的技术对应起来 另一方面，实现模块化管理，让负责某一模块的人员有相关的话题可以谈，同时对于应急响应也可以及时的排查等。 企业架构开发模型 企业安全控制模型CobiT模型，国际审计协会 ...

零信任安全架构 一、零信任 “零信任”是一个安全术语也是一个安全概念，它将网络防御的边界缩小到单个或更小的资源组，其中心思想是企业不应自动信任内部或外部的任何人/事/物、 不应该根据物理或网络位置对系统授予完全可信的权限，应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问 ...

ASP.NET 安全 概述 　　安全在web领域是一个永远都不会过时的话题，今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题。本篇主要包括以下几个内容 ： 认证 授权 XSS跨站脚本攻击 跨站请求伪造 认证 　　所谓认证，简单 ...