这里给大家分享我在网上总结出来的一些知识,希望对大家有所帮助一、前言中午休息的时候,闲逛公司内网,看到一个url,就想复制一下url,看看url对应的内容是啥,习惯性使用ctrl+c,然后ctrl+v,最后得到是禁止复制,哦,原来是禁用了复制。这能难倒一个前端开发吗?当然不能。于是打开了控制台,这时,发现页面自动执行了一段立即执行函数,函数体里面是debugger代码,然后手动跳过debugger后,页面已经变成一个空白页面了。本文将简单讲解禁止复制、水印和禁止打开控制台三个功能点的实现。前面几节是分功能讲解,最后一节将会写出完整的代码,如何防止网站信息泄露。二、禁止复制现在有的复制网页(常规
许多Web应用程序和APl都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。攻击者不是直接攻击密码,而是在传输过程中或从客户端(例如:浏览器窃取密钥、发起中间人攻击,或从服务器端窃取明文数据。这通常需要手动攻击。通过使用图形处理单元(GPU),早前检索的密码数据库可能被暴力破解。是在最近几年,这是最常见的、最具影响力的攻击。这个领域最常见的漏洞是不对敏感信息进行加密。在数据加密过程中
许多Web应用程序和APl都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。攻击者不是直接攻击密码,而是在传输过程中或从客户端(例如:浏览器窃取密钥、发起中间人攻击,或从服务器端窃取明文数据。这通常需要手动攻击。通过使用图形处理单元(GPU),早前检索的密码数据库可能被暴力破解。是在最近几年,这是最常见的、最具影响力的攻击。这个领域最常见的漏洞是不对敏感信息进行加密。在数据加密过程中
🌈个人主页:前端青山🔥系列专栏:JavaScript篇🔖人终将被年少不可得之物困其一生依旧青山,本期给大家带来JavaScript篇专栏内容:JavaScript-数据缓存与内存泄露目录说说你对事件循环的理解一、是什么二、宏任务与微任务微任务宏任务三、async与awaitasyncawait四、流程分析说说JavaScript中内存泄漏的几种情况?一、是什么二、垃圾回收机制标记清除引用计数小结三、常见内存泄露情况说说你对事件循环的理解一、是什么首先,JavaScript是一门单线程的语言,意味着同一时间内只能做一件事,但是这并不意味着单线程就是阻塞,而实现单线程非阻塞的方法就是事件循环在J
2023年,数据泄露、窃取、买卖等安全事件屡屡发生,全球数据安全态势依旧十分严峻。在利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变,专业化、定制化程度不断上升。国外著名咨询机构Verizon发布的《2023年数据泄露调查报告》指出,勒索病毒、人为因素、使用被盗证书、钓鱼、漏洞是过去一年发生的数据泄露事件主要起因。其中,74%的安全事件被证明存在人的因素,包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等。本文盘点了2023年全球重大数据泄露事件TOP100,发现数据泄露的重灾区主要分布于政府、关键基础设施、跨国集团、金融业、全球性公益团体
近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。那么HTTPS和HTTP的区别在哪里呢?HTTP是超文本传输协议,信息是明文传输,HTTPS(SecureHypertextTransferProtocol)安全超文本传输协议是一个安全通信通道,基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。HTTP协议抓
据外媒1月28日消息,俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,总计44.7GB,相关数据已在某个流行黑客论坛上以BT种子形式泄露。在1月25日,泄密者公开发布了一条磁力链接,宣称这是“Yandexgitsources”,包含了2022年7月从Yandex公司窃取的44.7GB文件。据称,这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。Yandex在俄罗斯可谓是科技巨头,具有搜索、购物、打车、外卖、租车等,为俄国民众提供着多样的生活类服务。据统计,Yandex此次泄露的文件包含了公司79个服务和项目的代码。Yandex发言人表示:据泄露的代码分析,Yande
云上攻防--云服务&&对象存储(域名接管)&&弹性计算(元数据泄露)对象存储各个厂商对于对象存储的叫法不同,但是除了叫法基本没有其他区别。对象存储各大云名词:阿里云:OSS腾讯云:COS华为云:OBS谷歌云:GCS微软云:Blob亚马逊云:S3对于对象存储的漏洞或者说错误配置点如下权限配置错误权限Bucket授权策略:设置ListObject显示完整结构(类似于目录遍历)权限Bucket读写权限:公共读写直接PUT文件任意上传,由于管理员配置对象存储时错误配置公共读写权限,使得任何人都可以进行写入,通过PUT方法即可任意上传文件。域名接管对象存储可以配置域名映射,接管域名即是Bucket存储桶
编译简单就是把代码跑一哈,然后我们的代码.java文件就被编译成了.class文件反编译就是针对编译生成的jar/war包里面的.class文件逆向还原回来,可以看到你的代码写的啥。比较常用的反编译工具JD-GUI,直接把编译好的jar丢进去,大部分都能反编译看到源码:那如果不想给别人反编译看自己写的代码呢?怎么做?混淆该篇玩的代码混淆,是其中一种手段。我给你看,但你反编译看到的不是真正的代码。先看一张效果示例图:开搞正文先看一下我们混淆一个项目代码,要做啥?一共就两步推荐一个开源免费的SpringBoot最全教程:https://github.com/javastacks/spring-bo
从书本和网上了解到Web应用安全的信息泄露的知识,今天跟大家分享点。 robots.txt泄漏敏感信息 漏洞描述:搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。 测试方法: 1、检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件;
