安全開發流程(SDL)
SDL:Security Development Lifecycle 安全開發生命周期 培訓 要求 設計 實施 驗證 發布 響 ...
花費 40 ms
動態口令(OTP,One-Time Password)原理與實踐(TOTP)
TOTP:Time-Based One-Time Password Algorithm,基於時間同步的一次性口令,動態口令 技術標准:https://tools.ietf.org/html/rfc6 ...
加密算法與隨機數生成算法
使用安全可靠的加密算法和隨機數生成算法 密鑰管理 在密碼學里有個基本原則:密碼系統的安全性應該依賴於密鑰的復雜性,而不是算法的保密性。 在安全領域里,選擇一個足夠安全的加密算法不是困難的事,難的 ...
應用層拒絕服務攻擊
DOS:Denial Of Service DDOS:Distributed Denial Of Service(利用僵屍網絡——由“肉雞”組成,發起 DoS 攻擊) 常見的 DDOS 攻擊 S ...
注入攻擊
數據與代碼未分離 用戶能控制數據的輸入,代碼與數據拼接 SQL 注入 1. 試探 SQL 注入漏洞是否存在——簡單盲注 常規 URL:http://www.example.com/test.p ...
跨站點請求偽造(CSRF)
CSRF(Cross Site Request Forgery)跨站點請求偽造:攻擊者誘使用戶在訪問 A 站點的時候點擊一個掩蓋了目的的鏈接,該鏈接能夠在 B 站點執行某個操作,從而在用戶不知情的情況 ...
認證與授權(訪問控制)
OWASP 認證 密碼維度 單因素認證、雙因素認證、多因素認證(密碼、手機動態口令、數字證書、指紋等各種憑證)。 密碼強度 長度:普通應用6位以上;重要應用8位以上,考慮雙因素; 復雜度: ...
文件上傳漏洞
文件上傳漏洞 用戶上傳了一個可執行的腳本文件,並通過此腳本文件獲得了執行服務器端命令的能力。 文件上傳可能存在的安全問題: (1)上傳文件為 Web 腳本,服務器的 Web 容器解釋並執行了該腳 ...