安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
8浏览
Nikto扫描时为什么忽略我指定的8080端口?
我用Nikto扫描本地Apache服务器时,明明加了-port 80,8080参数,但结果只显示扫描了80端口。手动curl 8080能访问,防火墙也没问题,这是什么原因? 命令是这样写的: nikt...
-
2
回答
15浏览
如何在发送表单时对敏感数据进行加密?
我现在在做一个登录表单,需要把用户名和密码发到后端。但直接用POST提交不安全,想在前端加密后再发送。尝试过用Base64编码,但同事说这根本不算加密。想问下实际开发中该怎么处理? 比如这个表单: &...
-
1
回答
47浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
-
2
回答
23浏览
设置X-Frame-Options后页面无法被iframe嵌入,可能是什么原因?
我在测试环境设置了X-Frame-Options头为SAMEORIGIN,但另一个域名的页面通过iframe嵌入我的页面时,浏览器还是报错阻止了显示。明明配置文件里写的是: header("X-Fra...
-
1
回答
29浏览
React动态权限控制失效,组件没按角色切换显示
我在做用户角色切换时动态控制按钮权限,根据用户权限数组渲染组件。但切换角色后按钮没变化,哪里出问题了? 比如当前用useState存用户权限,用includes判断是否显示: function Adm...
-
2
回答
15浏览
控制流扁平化后代码逻辑失效,如何排查?
我用javascript写了个按钮点击计数器,用控制流扁平化工具混淆后,点击事件突然不响应了。原生代码没问题,但混淆后的逻辑看起来像被插入了很多空函数和条件分支,控制台没报错就是不执行计数: <...
-
1
回答
20浏览
npm项目中如何快速修复依赖项的SCA高危漏洞?
我在做项目安全扫描时发现,用npm管理的依赖项中有三个高危漏洞,但直接运行npm update没效果。尝试过根据npm audit的建议手动升级具体包版本,但其中一个依赖被多个子模块同时引用,改到第三...
-
1
回答
14浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
-
1
回答
9浏览
前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写: /* 这是我的前端加密尝试 */ .password-hash { content: attr...
-
2
回答
20浏览
如何防止嵌套页面被点击劫持?X-Frame-Options和CSP设置无效?
最近在开发仪表盘页面时,发现嵌套的表单页面被恶意网站用iframe嵌入,导致用户误操作点击劫持。我尝试在服务器配置中设置了X-Frame-Options: SAMEORIGIN,并在CSP头里写了: ...
-
1
回答
20浏览
React应用中用户操作日志缺少会话关联怎么办?
在做审计追踪时发现,用Redux记录的用户操作日志里经常找不到对应用户ID。比如用户登录后触发的fetchData操作,日志里action的user字段会是null 尝试过在store里存用户信息,然...
-
2
回答
35浏览
为什么Vue请求带自定义头防CSRF时头信息被浏览器自动过滤了?
我在Vue项目里用axios发送POST请求时,按教程设置了X-Requested-With和自定义头,但后端收到的请求头里这两个字段完全消失了,这是什么情况? 代码是这样的: methods: { ...
-
2
回答
555浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
-
2
回答
10浏览
Metasploit执行msfconsole时提示未找到Ruby,但Ruby已安装怎么办?
刚安装完Metasploit框架,运行msfconsole时提示Ruby不是内部或外部命令,但之前用ruby -v明明显示版本是3.0.2了。已经把Ruby路径加到环境变量里了,重启终端也没用。 尝试...
-
2
回答
31浏览
为什么设置了Access-Control-Allow-Origin但OPTIONS请求还是报错?
我在开发一个表单提交功能时,用fetch发送POST请求到后端API,浏览器突然报CORS错误说"Method POST is not allowed by Access-Control-Allow-...
-
2
回答
19浏览
Vue3动态路由权限控制时,为什么动态添加的路由无法访问?
我在Vue3项目中用路由守卫做权限控制,根据用户角色动态加载路由。但访问新添加的/admin路径时一直报404,代码检查了好几遍没发现问题。 尝试在main.js里这样写: router.before...
-
1
回答
43浏览
React单点登录跳转时跨域问题怎么解决?
我在做SSO单点登录时遇到个奇怪的问题,登录回调页面跳转总报跨域错误。用Auth0的方案,配置了回调地址和redirect_uri,但每次登录成功跳回来的时候控制台都提示: Refused to di...
-
1
回答
78浏览
Forge.js RSA-OAEP加密后服务端解密失败,参数或格式哪里出问题?
我在用Forge.js做RSA-OAEP加密表单数据时,服务端一直报解密失败。前端用的是公钥字符串直接加密,加密后的base64字符串传到后端Java就解不开,明明密钥是服务端提供的。我试过把公钥格式...
-
2
回答
45浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
-
2
回答
31浏览
CAS单点登录成功后跳转页面显示404,参数错误怎么办?
在用Vue项目对接CAS单点登录时,登录成功后页面一直跳转到404。发现CAS返回的URL参数是ticket=ST-123456,但我的前端接收地址是/callback?ticket=ST-12345...
