在 2021年的9月， Confluence 遇到了非常严重的安全问题。 OGNL 代表对象图导航语言；它是一种表达语言，用于获取和设置 Java 对象的属性，以及其他附加功能，例如列表投影和选择以及lambda表达式。您可以使用相同的表达式来获取和设置属性值。 CVE-2021-26084 ...

浅谈Php安全和防Sql注入，防止Xss攻击，防盗链，防CSRF 前言： 首先，笔者不是web安全的专家，所以这不是web安全方面专家级文章，而是学习笔记、细心总结文章，里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员，安全 ...

正则表达式注入 数据被传递至应用程序并作为正则表达式使用。可能导致线程过度使用 CPU 资源，从而导致拒绝服务攻击。 下述代码java中字符串的split, replaceAll均支持正则的方式, 导致CPU挂起. 该正则的意思是说匹配器在输入的末尾并没有检测 ...

vue应用，大部分会使用webpack进行打包，如果没有正确配置，就会导致vue源码泄露。 webpack是一个JavaScript应用程序的静态资源打包器（module bundler）。它会递归 ...

接口的用户做数据权限检查，即没有检查是否有权限查看该数据。 　　2.自增Id问题。因为是系统重构，而 ...

今天尝试在iframe中嵌入外部网站, 碰到了一些小问题. 如何让自己的网站不被其他网站的iframe引用? 我测试的时候发现我把iframe的src指定到github不起作用. 原来是它把X-Frame-Options设置为了DENY, 这样就禁用了别的网站的iframe引用, 避免点击劫持 ...

vue应用，大部分会使用webpack进行打包，如果没有正确配置，就会导致vue源码泄露。 webpack是一个JavaScript应用程序的静态资源打包器（module bundler）。它会递归 ...

前言：自己最近在测试的时候，虽然大多碰到的都是基于非对称加密的，但是也有碰到通过对称加密来进行实现的，不管是非对称和对称，先了解JWT的安全问题将大大有利于我们对JWT的攻击！ 参考文章：https://www.cnblogs.com/r00tuser/p/12513046.htm ...