问题标签 [websecurity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
nginx - 如何为 modsecurity 规则集执行生成电子邮件警报
我希望为我的 Web 应用程序安装 ModSecurity。我的应用程序位于运行在 Ubuntu EC2 实例中的 NGINX Web 服务器上。我想知道如果执行某些特定的 ModSecurity 规则集,是否有任何方法可以生成电子邮件警报?
谢谢
integration - 有没有人将 Kibana 与任何 IDS 集成?
我知道很多人使用 Kibana 来收集安全日志,但是您是否将它们上传到任何 IDS 以捕获可疑的并提醒它们?如果是这样,您使用哪个 IDS?
security - burp套件和wireshark有什么区别?优点和缺点
我看到很多人都在谈论Burp suite 和 Wireshark这两个工具最适合渗透测试,但我很好奇它们各自的优缺点是什么?他们每个人在哪里会更好地使用,有什么区别?
web-applications - Web 应用程序产品在浏览器上显示“不安全”警告
我正在开发一个将分发给多个客户的 Web 应用程序产品。现在一切都很好,只要客户使用 localhost,但是当他们使用服务器 IP 访问 Web 应用程序的密码页面时,Chrome 和其他浏览器开始在标题上显示“不安全”。我知道自签名,但我确信这不是网络产品的可能解决方案,每个用户都必须创建签名权限并设置签名或至少创建签名权限。
php - PHP 代码注入漏洞即使在推荐加固后仍然存在
使用 Burp 拦截流量并注入代码 我们发现了一个网站中的远程代码执行漏洞 在表单的输入字段中输入数据并单击提交后,流量被拦截,并且在输入字段的值中的请求中添加了以下命令%27%2bsystem(%22id%22)%2b%27 要修复它,我们已经完成了建议的强化 1. 在所有输入字段上,我们已经完成了输入清理我们只允许数字并限制了数字允许的数字。我们还使用了 htmlspecialchars、escapeshellcmd、escapeshellargs 等函数。
这没有帮助。
因此,当我们能够拦截流量并注入系统命令时,我们检查了用户 ID 并删除了该用户 ID 的 shell 访问 在 etc/passwd 中,该用户是 /bin/bash,我们删除了访问并验证它已更新为 /bin /false 这个用户
这也没有帮助
使用代码注入显示 id 的用户是网站主目录的所有者。我们没有尝试更改所有权,但我们尝试在主目录上删除此用户的执行权限,但随后站点本身变得无法访问并给出 403 禁止错误。
因此保留了该用户和同一组中其他用户的执行权限
我们在 php.ini 中使用了 disable_functions 来禁用大部分推荐的功能,例如 exec、system 等 重新启动 httpd ,我希望这可以解决问题,但问题仍然存在 我们还使用了其他指令,例如 Session cookie secure ,Cookie httponly,session.referer_check,session.use_strict_mode 等但都是徒劳的
- 我们现在计划尝试为除 root 以外的所有用户删除 /usr/bin 的执行权限。
这是一件好事吗,这会限制网站所有者用户执行的系统命令吗
如果还有什么我可以尝试的,你能告诉我吗?
macos-high-sierra - Cisco AnyConnect“网络安全不可用”-Mac OS High Sierra 和 Mojave
将我的 Mac OS 升级到 High Sierra 或 Mojave 后,我收到此错误消息“网络安全不可用”,菜单图标中有一个大红色 X
javascript - 是否可以修改网页的源并重新加载该页面而不是从服务器而是从编辑的源?
只是一个愚蠢的问题。我知道这是不可能的,但我只是出于偏执而要求确认。
不可能编辑网页的源代码并以某种方式在浏览器中重新加载已编辑的脚本,对吗?
否则,任何人都可以将他们想要的任何内容放入任何页面的源代码中,然后重新加载他们编辑的源代码以做任何他们喜欢的事情,这将使整个万维网变得脆弱。
google-chrome - 禁用 Chrome 后如何在 Chrome 中启用网络安全?
我__disable-web-security在Mac上做了终端。我需要再次启用它吗?还是重启后自己启用?
如果我需要再次启用它,我该怎么做?我到处搜索,但没有找到。
java - 在localhost:8443上启动spring应用程序时如何修复'java.io.IOException:toDerInputStream拒绝标签类型60'
首先是一些上下文:我们正在使用 Java 8 和 springframework 开发一个 Web 应用程序。目前有两种环境在使用(Test、Stage)。这工作正常。
现在我们想添加一个新环境(开发)。
“开发”的配置与“测试”完全相同。唯一的区别是稍微改变的 url。
我们仍然无法启动可运行的 jar。
它说:
密钥库已到位并且与测试密钥库相同。代码库和运行脚本是相同的。
我试图查找“标签类型 60”,但我找不到任何文档,更不用说有相关问题的人了。
html - 如果请求和响应的 uri 相同,为什么 Microsoft Edge 在调用 POST/REDIRECT/GET 方法时发送空的 http-referer?
目前,我正在开发 Django1.11 项目,我使用带有方案“https”的 nginx 部署了我的应用程序。我想提交表单但不想重新提交,所以我使用了 POST/REDIRECT/GET 模式。在 Mozilla 和 chrome 上一切正常,如预期的那样,即对于 POST/REDIRECT/GET 调用将呈现相应的网页,在重新加载和重新提交时,相同的表单将按预期呈现 403 访问被拒绝。仅当我在 Microsoft EDGE 浏览器中测试相同视图时才会出现此问题。在调用 POST/REDITECT/GET 方法时,它直接向我抛出 403。403 的原因是 'REASON_NO_REFERER'。Microsoft Edge 在使用 POST/REDIRECT/GET 模式时转发空 HTTP-referer。
我为此找到了一个补丁:
添加HTML 模板<meta name="referrer" content="origin-when-cross-origin" />,<head>现在 Edge 也可以正常工作了。但是,如果我不在标题中添加此元标记,我仍然不知道 Edge 有什么问题。另外,它是否会导致任何安全漏洞?
Django 解释了为什么引用者检查是必须的。
那么,在这种情况下,这是否意味着在 HTML 中添加元数据是必须在 HTTP-referer 中提供 xyz-origin 的?如果是,它是否会导致中间人攻击的任何安全漏洞,因为攻击者也可能有 http-referer?
我的网络概念很差,所以如果我这边有什么遗漏或错误,请纠正我。