原理跨站腳本（Cross site script，簡稱xss）是一種“HTML注入”，由於攻擊的腳本多數時候是跨域的，所以稱之為“跨域腳本”。 我們常常聽到“注入”（Injection），如SQL注 ...

原理 爆破是對系統的登錄入口發起不間斷的請求，達到暴力破解的目的。 實際案例 某系統存在爆破攻擊點，只要模擬以下攻擊，就能采用字典破解法，根據分析發現，只要返回狀態為302的，為用戶名密碼正確， ...

本篇繼續對於安全性測試話題，結合DVWA進行研習。 Session Hijacking用戶會話劫持 1. Session和Cookies 這篇嚴格來說是用戶會話劫持諸多情況中的一種，通過會話標識規則來破解用戶session。 而且與前幾篇不同，我們有必要先來理解一下Session ...

原理 CSRF，Cross Site Request Forgery，即跨站點請求偽造。 這種攻擊是指，在用戶正常登錄系統以后，攻擊者誘使用戶訪問一些非法鏈接，以執行一些非法操作。比如：如果刪除用 ...

ASP.NET會話（Session）保存模式 今日抽空就說一下 Session 在 .Net v1.0/v1.1 中的存儲模式。大家可在 MSDN 2003 中搜索一下<sessionState>即可看到關於 Web.config 中的<sessionState>節點 ...

為什么需要企業安全框架一方面，實現業務與技術之間的“溝通”，讓相關的業務與安全方面的技術對應起來 另一方面，實現模塊化管理，讓負責某一模塊的人員有相關的話題可以談，同時對於應急響應也可以及時的排查等。 企業架構開發模型 企業安全控制模型CobiT模型，國際審計協會 ...

零信任安全架構 一、零信任 “零信任”是一個安全術語也是一個安全概念，它將網絡防御的邊界縮小到單個或更小的資源組，其中心思想是企業不應自動信任內部或外部的任何人/事/物、 不應該根據物理或網絡位置對系統授予完全可信的權限，應在授權前對任何試圖接入企業系統的人/事/物進行驗證、對數據資源的訪問 ...

ASP.NET 安全 概述 　　安全在web領域是一個永遠都不會過時的話題，今天我們就來看一看一些在開發ASP.NET MVC應用程序時一些值得我們注意的安全問題。本篇主要包括以下幾個內容 ： 認證 授權 XSS跨站腳本攻擊 跨站請求偽造 認證 　　所謂認證，簡單 ...