原理跨站腳本（Cross site script，簡稱xss）是一種“HTML注入”，由於攻擊的腳本多數時候是跨域的，所以稱之為“跨域腳本”。 我們常常聽到“注入”（Injection），如SQL注 ...

原理 會話劫持是指通過非常規手段，來得到合法用戶在客戶端和服務器段進行交互的特征值（一般為sessionid），然后偽造請求，去訪問授權用戶的數據。 獲取特征值的非常規有段主要有如下幾種： 首先 ...

原理 CSRF，Cross Site Request Forgery，即跨站點請求偽造。 這種攻擊是指，在用戶正常登錄系統以后，攻擊者誘使用戶訪問一些非法鏈接，以執行一些非法操作。比如：如果刪除用 ...

目錄 Brute Force (爆破) Low Level 源碼審計 滲透方法 Medium Level 源碼審計 攻擊方式 High Level 源碼審計 攻擊方式 ...

為什么需要企業安全框架一方面，實現業務與技術之間的“溝通”，讓相關的業務與安全方面的技術對應起來 另一方面，實現模塊化管理，讓負責某一模塊的人員有相關的話題可以談，同時對於應急響應也可以及時的排查等。 企業架構開發模型 企業安全控制模型CobiT模型，國際審計協會 ...

零信任安全架構 一、零信任 “零信任”是一個安全術語也是一個安全概念，它將網絡防御的邊界縮小到單個或更小的資源組，其中心思想是企業不應自動信任內部或外部的任何人/事/物、 不應該根據物理或網絡位置對系統授予完全可信的權限，應在授權前對任何試圖接入企業系統的人/事/物進行驗證、對數據資源的訪問 ...

ASP.NET 安全 概述 　　安全在web領域是一個永遠都不會過時的話題，今天我們就來看一看一些在開發ASP.NET MVC應用程序時一些值得我們注意的安全問題。本篇主要包括以下幾個內容 ： 認證 授權 XSS跨站腳本攻擊 跨站請求偽造 認證 　　所謂認證，簡單 ...

零信任安全最早由著名研究機構 Forrester 的首席分析師約翰.金德維格在 2010 年提出。零信任安全針對傳統邊界安全架構思想進行了重新評估和審視，並對安全架構思路給出了新的建議。其核心思想是，默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基於認證和授權重構訪問控制的信任 ...