安全审计
本话题发布安全审计相关的问答文章和技术分享,将持续更新,为您推荐了12篇问答,访问即可查看更多精彩内容。
-
2
回答
43浏览
前端代码里怎么防止XSS攻击?我这样写安全吗?
最近在做渗透测试,发现我们项目里有个用户输入展示的地方可能有XSS风险。我用React直接渲染用户输入的内容,但听说这样不安全,可又不确定具体哪里有问题。 我试过用DOMPurify处理,但团队有人说...
-
1
回答
32浏览
前端做渗透测试时怎么判断XSS漏洞是否真实存在?
我们团队最近在做安全审计,用 Burp Suite 扫描出一个反射型 XSS,但我不确定是不是误报。页面上用户输入的内容确实会回显,但我加了 encodeURIComponent 处理,按理说应该安全...
-
1
回答
33浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现有个地方可能有XSS漏洞。用户输入的内容直接插到页面里了,虽然用了innerText,但不确定是不是真的安全。 比如下面这段代码,把URL参数里的值直接显示出来,这样写会不...
-
1
回答
40浏览
前端请求被IPS拦截,怎么排查和绕过?
我们线上 Vue 项目最近频繁出现接口请求失败,运维说是因为 IPS 检测到“可疑行为”给拦了。但我只是正常发个 POST 请求带点用户输入,为啥会被当成攻击?试过对参数 encodeURICompo...
-
1
回答
52浏览
前端日志该记到哪?浏览器里能存审计日志吗?
我们项目要做安全审计,要求记录用户关键操作日志。但我是前端,不太清楚这些日志到底该存在哪儿? 试过用 console.log() 打印,但这显然不能当正式日志用。也想过用 localStorage 存...
-
2
回答
87浏览
前端项目接入IAST后为什么没收到漏洞告警?
我们团队最近在测试环境接入了公司统一的IAST(交互式应用安全测试)平台,后端服务能正常上报SQL注入、XSS等问题,但我负责的React前端项目完全没收到任何告警。 我确认探针已经注入,网络也没问题...
-
2
回答
56浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
-
2
回答
44浏览
React应用中用户操作日志缺少会话关联怎么办?
在做审计追踪时发现,用Redux记录的用户操作日志里经常找不到对应用户ID。比如用户登录后触发的fetchData操作,日志里action的user字段会是null 尝试过在store里存用户信息,然...
-
2
回答
161浏览
SAST扫描提示CSS中的URL()函数存在安全风险怎么办?
在项目中给背景图用了CDN链接写法,结果SAST扫描报高危漏洞,说url()函数可能引发XXE或路径遍历,但实际代码明明是静态引用啊... 代码是这样的:.background { backgroun...
-
1
回答
68浏览
Vue组件日志记录时怎么避免敏感信息泄露?
我在做登录功能的安全审计时发现,组件里用console.log直接输出了用户提交的表单数据,这样密码会被记录在日志里。尝试过手动删密码字段,但感觉不够优雅。有没有更好的过滤方法?比如在下面这个表单提交...
-
1
回答
80浏览
如何检测前端应用中的异常XSS攻击请求?
我在开发一个用户评论系统时,用了DOMPurify过滤输入,但最近发现有用户通过javascript:alert(1)形式的链接绕过防护。尝试用黑名单过滤关键词后,攻击者改用十六进制编码的payloa...
-
2
回答
68浏览
如何检测用户频繁提交表单后的异常行为?
最近在做一个用户反馈表单的安全审计,发现有人用脚本频繁提交空数据。之前用了localStorage记录提交时间,但测试时发现客户端可以轻易清除缓存绕过限制。 尝试在后端加了IP限流,但正常用户抱怨偶尔...
