写在前头，总结向笔记类文章，内容有些不是我自己的，详情见参考资料 0x00 什么是JWT JWT全称为: json web token JWT通常用于实现前 ...

大家如果对Oauth还不是很了解可以先看下这篇文章https://www.cnblogs.com/maoxiaolv/p/5838680.html 我这篇博客主要是总结一下安全测试过程中遇到Oauth2.0有哪些可能存在的漏洞，以及如何去测试。 Oauth2.0协议流程： （A）用户打开 ...

一，XSS XSS攻击全称跨站脚本攻击，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 常见的 XSS 攻击有三种： DOM-based 型、反射型、存储型。 其中： 反射型、DOM-based 型可以归类为非持久型 XSS ...

转自freebuf 一、联网摄像头相关的安全隐患 1.1 隐私泄露 随着物联网进程加快，作为家庭安防设备的智能摄像头正走进千家万户。网上出现公开贩卖破解智能摄像头的教程和软件。同时，有不法分子利用一些智能摄像头存在的安全漏洞，窥视他人家庭隐私生活，录制后 ...

　　汇总下php中md5()的安全问题 　　安全问题1: 　　1.x=任意字符串 md5('x')=0e***　　 　　2.y=任意字符串 md5('y')=0e*** 　　如果x==y，php会返回true，在有些时候可以绕过逻辑判断 　　x==0 /y==0都为true,有些 ...

vue应用，大部分会使用webpack进行打包，如果没有正确配置，就会导致vue源码泄露。 webpack是一个JavaScript应用程序的静态资源打包器（module bundler）。它会递归 ...

接口的用户做数据权限检查，即没有检查是否有权限查看该数据。 　　2.自增Id问题。因为是系统重构，而 ...

今天尝试在iframe中嵌入外部网站, 碰到了一些小问题. 如何让自己的网站不被其他网站的iframe引用? 我测试的时候发现我把iframe的src指定到github不起作用. 原来是它把X-Frame-Options设置为了DENY, 这样就禁用了别的网站的iframe引用, 避免点击劫持 ...