寫在前頭，總結向筆記類文章，內容有些不是我自己的，詳情見參考資料 0x00 什么是JWT JWT全稱為: json web token JWT通常用於實現前 ...

大家如果對Oauth還不是很了解可以先看下這篇文章https://www.cnblogs.com/maoxiaolv/p/5838680.html 我這篇博客主要是總結一下安全測試過程中遇到Oauth2.0有哪些可能存在的漏洞，以及如何去測試。 Oauth2.0協議流程： （A）用戶打開 ...

一，XSS XSS攻擊全稱跨站腳本攻擊，XSS是一種在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 常見的 XSS 攻擊有三種： DOM-based 型、反射型、存儲型。 其中： 反射型、DOM-based 型可以歸類為非持久型 XSS ...

轉自freebuf 一、聯網攝像頭相關的安全隱患 1.1 隱私泄露 隨着物聯網進程加快，作為家庭安防設備的智能攝像頭正走進千家萬戶。網上出現公開販賣破解智能攝像頭的教程和軟件。同時，有不法分子利用一些智能攝像頭存在的安全漏洞，窺視他人家庭隱私生活，錄制后 ...

　　匯總下php中md5()的安全問題 　　安全問題1: 　　1.x=任意字符串 md5('x')=0e***　　 　　2.y=任意字符串 md5('y')=0e*** 　　如果x==y，php會返回true，在有些時候可以繞過邏輯判斷 　　x==0 /y==0都為true,有些 ...

vue應用，大部分會使用webpack進行打包，如果沒有正確配置，就會導致vue源碼泄露。 webpack是一個JavaScript應用程序的靜態資源打包器（module bundler）。它會遞歸 ...

接口的用戶做數據權限檢查，即沒有檢查是否有權限查看該數據。 　　2.自增Id問題。因為是系統重構，而 ...

今天嘗試在iframe中嵌入外部網站, 碰到了一些小問題. 如何讓自己的網站不被其他網站的iframe引用? 我測試的時候發現我把iframe的src指定到github不起作用. 原來是它把X-Frame-Options設置為了DENY, 這樣就禁用了別的網站的iframe引用, 避免點擊劫持 ...