安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
22浏览
前端用CryptoJS RSA加密后服务端解密报padding错误怎么办?
我用CryptoJS的RSA.encrypt加密字符串,传到PHP服务端用openssl_private_decrypt解密时一直报错"error:0407106B:RSA routines:RSA_...
-
1
回答
14浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
-
2
回答
26浏览
Fuzzing测试时如何处理JavaScript中的内存泄漏问题?
最近在给前端项目做Fuzzing测试时,发现当随机输入达到一定量后内存持续上涨,但正常测试用例没问题。试过用Chrome DevTools的内存面板做了堆快照对比,但没找到明显内存泄漏对象。 代码是这...
-
1
回答
306浏览
为什么用AES加密后前端和后端的密文结果不一致?
我在给表单数据做AES加密时遇到奇怪的问题。用前端库加密后的密文,后端用同样的密钥解密总报错。之前用jsencrypt试过RSA没问题,换成AES-256-CBC后就乱了。 前端代码是这样的: con...
-
1
回答
17浏览
W3af扫描显示SQL注入漏洞,但手动测试没问题,哪里出错了?
用W3af扫描公司登录接口时,它提示存在SQL注入漏洞,但我在Postman里试了' OR '1'='1之类的payload完全没反应。后端用了参数化查询,是不是W3af误报了? 我按教程配置了gre...
-
1
回答
12浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
-
1
回答
30浏览
动态权限控制中如何防止样式覆盖导致的越权漏洞?
在实现动态权限控制时,我用CSS根据用户角色显示/隐藏菜单项,但发现低权限用户可以通过浏览器修改CSS看到高权限菜单。比如用这样的样式: .user-menu { display: none; } ....
-
2
回答
15浏览
密码长度要求8位是否足够?有没有更好的方案?
最近在开发注册页面的密码验证功能,后端要求密码最低8位,但我在网上看到很多专家建议至少12位。如果只设置8位会不会太容易被破解? 我试过用正则表达式限制长度:#password-strength { ...
-
2
回答
16浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
-
1
回答
18浏览
如何防止页面中的按钮被Strokejacking攻击?
我在开发一个在线支付页面时,发现按钮区域容易被恶意页面通过透明IFrame覆盖,导致用户误触转账操作。虽然设置了X-Frame-Options: DENY,但测试时发现攻击页面仍然能嵌套我的页面。 我...
-
2
回答
13浏览
CORS Origin检查时,为什么设置了Access-Control-Allow-Origin却还是被拦截?
我前端项目在调用后端API时遇到了CORS问题,明明在服务器响应头里设置了Access-Control-Allow-Origin: *,但Chrome还是报错"Origin http://localh...
-
2
回答
13浏览
导出Excel时如何匿名化用户手机号字段?
在做用户数据导出功能时,后端返回的数据里包含完整手机号,但公司要求导出时只能显示后四位。我尝试用字符串替换的方法: const anonymizePhone = (phone) => { ret...
-
1
回答
19浏览
PBKDF2在JavaScript中实现时迭代次数太少导致警告怎么办?
在用Web Crypto API实现密码加盐时,我按照教程设置了PBKDF2的迭代次数为1000次,但Chrome控制台报了安全警告,说迭代次数过低。尝试改成10000次后,生成密钥的延迟明显变长,用...
-
2
回答
14浏览
Vue表单提交时CSRF令牌未被服务端正确验证怎么办?
我在用Vue做用户资料编辑页时,按照文档给POST请求加了CSRF令牌,但后端总返回403错误。明明在表单里加了隐藏字段,代码也按规范写了,到底是哪里出问题呢? <template> &l...
-
2
回答
9浏览
为什么设置了X-Content-Type-Options头后图片还是被当作JS执行?
我在项目里加了X-Content-Type-Options: nosniff,但测试时发现访问图片资源时浏览器还是提示“Unexpected token <”错误,好像在尝试执行图片内容当JS。...
-
1
回答
15浏览
npm包更新后怎么确认是否应用了安全补丁?
最近公司要求把项目里lodash升级到4.17.21修复安全漏洞,但我用npm outdated检查发现还是4.17.20。然后我执行了npm update lodash,package.json里的...
-
2
回答
47浏览
React表单输入转义后SQL注入还是能攻击成功怎么办?
在React里处理用户输入时,我用了字符串替换方法转义了单引号,但测试时发现还是能执行SQL注入,这是为什么? 比如这个登录表单处理函数: handleSubmit = (event) => {...
-
2
回答
35浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
-
1
回答
67浏览
如何从日志中识别可能的XSS攻击并生成威胁情报?
最近在审计公司前端项目时,发现访问日志里频繁出现带标签的请求参数,但不确定怎么系统化分析这些威胁。比如用户提交的评论里有<script>alert('xss')</script>...
-
1
回答
36浏览
HTTPS传输中,为什么加密后的数据在后端无法正确解密?
我在做前后端数据加密时遇到个怪问题:AES加密的数据通过HTTPS发送到后端,Java那边解密总报错,明明算法都用的AES-256-CBC... 前端用的是CryptoJS这样加密的: const c...
