在 2021年的9月， Confluence 遇到了非常嚴重的安全問題。 OGNL 代表對象圖導航語言；它是一種表達語言，用於獲取和設置 Java 對象的屬性，以及其他附加功能，例如列表投影和選擇以及lambda表達式。您可以使用相同的表達式來獲取和設置屬性值。 CVE-2021-26084 ...

淺談Php安全和防Sql注入，防止Xss攻擊，防盜鏈，防CSRF 前言： 首先，筆者不是web安全的專家，所以這不是web安全方面專家級文章，而是學習筆記、細心總結文章，里面有些是我們phper不易發現或者說不重視的東西。所以筆者寫下來方便以后查閱。在大公司肯定有專門的web安全測試員，安全 ...

正則表達式注入 數據被傳遞至應用程序並作為正則表達式使用。可能導致線程過度使用 CPU 資源，從而導致拒絕服務攻擊。 下述代碼java中字符串的split, replaceAll均支持正則的方式, 導致CPU掛起. 該正則的意思是說匹配器在輸入的末尾並沒有檢測 ...

vue應用，大部分會使用webpack進行打包，如果沒有正確配置，就會導致vue源碼泄露。 webpack是一個JavaScript應用程序的靜態資源打包器（module bundler）。它會遞歸 ...

接口的用戶做數據權限檢查，即沒有檢查是否有權限查看該數據。 　　2.自增Id問題。因為是系統重構，而 ...

今天嘗試在iframe中嵌入外部網站, 碰到了一些小問題. 如何讓自己的網站不被其他網站的iframe引用? 我測試的時候發現我把iframe的src指定到github不起作用. 原來是它把X-Frame-Options設置為了DENY, 這樣就禁用了別的網站的iframe引用, 避免點擊劫持 ...

vue應用，大部分會使用webpack進行打包，如果沒有正確配置，就會導致vue源碼泄露。 webpack是一個JavaScript應用程序的靜態資源打包器（module bundler）。它會遞歸 ...

前言：自己最近在測試的時候，雖然大多碰到的都是基於非對稱加密的，但是也有碰到通過對稱加密來進行實現的，不管是非對稱和對稱，先了解JWT的安全問題將大大有利於我們對JWT的攻擊！ 參考文章：https://www.cnblogs.com/r00tuser/p/12513046.htm ...