80 个回答
【有奖话题讨论】今年的DEF CON 30 ,你最期待的议题是?
2022年08月09日, `微软` 发布了2022年8月份安全更新,事件等级:严重,事件评分:10.0。https://cert.360.cn/warning/detail?id=896f8407f141baa58735abd55686f773
回答于 2022-08-11 10:28
【网络安全一百问-26】“同源策略”中的同源指的是什么?
“所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。”
回答于 2022-08-11 10:06
【网络安全一百问-27】如果非同源,有哪些行为受到限制?
(1) 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。(2) 无法接触非同源网页的 DOM。(3) 无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应)。
回答于 2022-08-11 10:04
【网络安全一百问-25】说出三个SSRF漏洞的防御措施?
首先要限制住可以请求的协议,通常只允许 http/https 协议。其次,要限制住可以请求的端口号,通常情况下,http 协议只允许 80 端口访问;https 协议只允许 443 端口访问。SSRF 攻击的一个重中之重是可以访问到内网的数据,因此我们必须解析出要请求的地址所对应的 IP,如果这个 IP 是内网 IP 的话,就必须拒绝这次请求。
回答于 2022-08-10 14:18
【网络安全一百问-24】说出三个SSRF漏洞挖掘的方法?
简单的来讲,见到有请求外部连接的参数,例如url=,直接替换内网ip还有一些例如转发,下载等等收藏处导入功能点,都会可能存在ssrf多观察数据包就会发现
回答于 2022-08-10 14:15
【网络安全一百问-22】SSRF形成的原因是什么
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目 标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档, 等等
回答于 2022-08-10 10:20