2024-12-02 微信公众号精选安全技术文章总览
洞见网安 2024-12-02
老付话安全 2024-12-02 20:38:00
文章详细讲解了跨站请求伪造(CSRF)漏洞的利用原理。CSRF是一种网络攻击,攻击者利用用户在合法网站上的登录状态,未经用户授权便发送恶意请求到该网站。此攻击主要依赖于Web应用对用户浏览器的信任机制。具体来说,当用户登录一个合法网站后,服务器会通过设置会话Cookie来跟踪用户的登录状态。如果用户随后访问了由攻击者控制的恶意网站,该恶意网站可以通过用户的浏览器向原先的合法网站发送带有用户会话Cookie的请求。由于这些请求包含了有效的会话标识,合法网站会将其视为来自用户的合法请求并执行相应操作,例如转账或更改密码等。因此,CSRF攻击的成功条件包括:应用程序存在可被诱发的操作、基于Cookie的会话处理方式、缺乏其他验证用户请求的机制以及执行操作的请求中不含攻击者无法猜测的参数。为了实施此类攻击,攻击者通常会在自己控制的网站上放置恶意HTML代码,并诱使受害者访问,或者通过电子邮件、社交媒体消息提供链接,甚至直接将恶意代码放在受欢迎的第三方网站中等待用户触发。
CSRF
Web安全
会话管理
身份验证漏洞
攻击手法
老付话安全 2024-12-02 20:02:44
文章《高级API查询语言GraphQL详解》介绍了GraphQL作为一种新型的API查询语言,其主要优势在于能促进客户端与服务器间更高效的通信。GraphQL允许用户精准指定所需数据,减少不必要的数据传输,提高性能。它通过定义一个称为模式(Schema)的合同来规定可请求的数据类型和字段,简化了客户端对数据位置的认知需求。在GraphQL中,类型是构建数据结构的基本单元,字段是类型的具体属性,可以是基本或复杂类型,并且可以通过参数进一步细化返回的数据。关系则通过字段表示对象间的关联。GraphQL架构支持三种主要的数据操作:查询、更改和订阅,所有这些操作都通过同一个终端节点进行。这不同于REST API,后者使用多个特定于操作的端点。GraphQL的查询语言允许指定想要的数据结构,包括嵌套查询、变量和片段的使用,使得查询更加灵活和可重用。此外,GraphQL mutations用于执行创建、更新或删除数据等修改操作。最后,文章强调了所有描述的方法仅限于学习交流,严禁非法使用。
API安全
数据结构安全
通信协议安全
信息泄露防护
前端安全
后端安全
儒道易行 2024-12-02 20:00:58
此心光明,亦复何言
魔方安全 2024-12-02 18:30:51
成事在微,筑防于先。魔方安全提醒您:注意企业网络空间资产安全!
SecLink安全空间 2024-12-02 18:04:19
本文介绍了T1021.006 横向移动:Windows远程管理服务检测的规则编写
红队蓝军 2024-12-02 18:03:53
T0daySeeker 2024-12-02 17:40:07
Relay学安全 2024-12-02 17:26:04
菜狗安全 2024-12-02 16:30:14
CC6这条链是基于CC1的基础上,由于在CC1中使用到的AnnotationInvocationHandler类,也就是入口点,它的readObject()在java8u71版本后就进行了修改,导致在jdk8u71后的版本,cc1使用不了
掌控安全EDU 2024-12-02 12:00:13
账号爆破
缺乏验证码保护
接口安全性问题
存储型XSS
信息泄露
SQL注入
授权错误
合法合规声明
RongRui安全团队 2024-12-02 10:23:40
WebShell\\x0d\\x0a\\x0d\\x0a上传了 但是遇到防火墙拦截了,哎,苦恼连接不上\\x0d\\x0a\\x0d\\x0a没办法经过测试发现是因为流量中的字段有敏感字段被拦截了,找了好几个人要了二开过的哥斯拉发现都不行,还是被检测被拦截,无奈只能自己手搓一个二开了
网络个人修炼 2024-12-02 10:01:50
A9 Team 2024-12-02 09:44:45
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。
网络安全实验室 2024-12-02 09:37:05
蓝队应急响应-Linux日志分析及常用命令总结
白帽攻防 2024-12-02 09:10:26
【漏洞复现】OfficeWeb365 SaveDraw 任意文件上传getshell漏洞
进击安全 2024-12-02 09:00:59
Spade sec 2024-12-02 09:00:48
云计算和网络安全技术实践 2024-12-02 08:57:56
