这是一年前写的项目笔记,一直在我的待办事项里等待做总结,今天偶然翻到,就整理成文章发出来。 谨以此文怀念 乌云。 事情缘由 春节前的某一天,收到一封来自乌云(国内知名白帽子团队)的邮件, 告知我厂网站上出现一例 XSS 漏洞。 因为以前对 XSS 输入做过防御,还以为是某个前端 DOM 上的 XSS 漏洞, 后来仔细一看,不妙,是个影响甚大的存储型 XSS 漏洞。 这里简单科普一下 XSS 跨网站脚本 -维基百科,自由的百科全书 中介绍到: 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。 它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 ...
给团队非开发同学写的邮件,对其他人也有些意义,遂贴出来。 这个互联网越来越不安全 https://www.baidu.com/s?wd=%E5%AF%86%E7%A0%81%E6%B3%84%E9%9C%B2%E4%BA%8B%E4%BB%B6。密码数据库泄露,黑客暴库攻击,社会工程学攻击层出不穷。我给大家介绍几个小方法,轻松提高自己各类密码的安全等级。 先给个地址,大家可以测试一下自己常用密码的复杂度:https://howsecureismypassword.net/ 认为自己电脑水平还可以的,请直接翻到文章最后。 如何管理密码 给普通用户的建议: 密码设置复杂一些,不要使用生日、日期、姓名等有意义的信息 使用一套合理的密码生成策略 重点来了,密码生成策略: 选择自己喜欢的诗词或者某句话,比如「床前明月光,疑是地上霜」,取其拼音的第一个字母 cqmygysdss 将每个句子第一个单词大写,cqmygysdss -> CqmygYsdss 加上对应网站的信息,比如 163:CqmygYsdss163,qq: CqmygYsdssqq 大功告成,你的密码安全级别提升了。 ...