失败网站网页设计案例 第1篇
风险描述
Token算法如下,按此算法编写代码对mobile字段爆破,并且生成对应token,即可得知存在用户的手机号码
测试过程
影响地址
风险分析
重置密码疑似也使用的此算法,4位验证并不安全,数字验证码确保6位以上
加固建议
修改此加密算法,防止爆破
风险名称
垃圾文件上传
风险级别
中风险
风险描述
修改数据包内文件大小限制即可无限重放成功上传
测试过程
影响地址
风险分析
恶意攻击者可以通过无限上传塞满服务器磁盘,造成应用异常或者服务器宕机
加固建议
无服务端控制上传大小,无需此功能可以剔除掉上传功能
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
失败网站网页设计案例 第2篇
风险描述
网站的内部IP地址,常常被攻击者通过信息收集,得到其内网的IP地址,对于渗透攻击,打下良好基础,如内网Ip地址段,IP路由等等
测试过程
影响地址
攻击载荷
POST /admin/xxxxx/insert HTTP/
Host:
User-Agent: Mozilla/ (Windows NT ; Win64; x64; rv:) Gecko/20100101 Firefox/
Accept: application/json, text/javascript, */*; q=
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
username=admin&password=111
加固建议
隐藏输出报错信息
风险名称
SQL注入
风险级别
失败网站网页设计案例 第3篇
风险描述
测试账号
测试过程
影响地址
风险分析
测试账户一般为弱密码,随手一试还存在system账户。存在比较大的概率进入系统内部从而进一步进行攻击。
加固建议
如非必要,删除测试账户,或采用强安全性用户名。
另外,统一更改错误提示,无论账户存在与否都显示为“用户名或密码错误”,防止账户枚举
风险名称
用户枚举
风险级别
失败网站网页设计案例 第4篇
该网站使用了CSS3的媒体查询功能来适应不同屏幕尺寸。通过为不同屏幕宽度设置断点,并调整布局、字体大小和间距等样式,确保在不同设备上都能提供良好的视觉体验。例如:
@media (max-width: 768px) {
.container {
width: 100%;
padding: 20px;
nav {
flex-direction: column;
失败网站网页设计案例 第5篇
页面布局大量采用了Flexbox和Grid系统,使得元素之间的排列更加灵活且易于维护。Flexbox用于处理一维布局(如导航栏、卡片列表等),而Grid则用于构建复杂的二维布局(如产品展示区域)。
.grid-container {
display: grid;
grid-template-columns: repeat(auto-fill, minmax(200px, 1fr));
gap: 20px;
交互动画分析
失败网站网页设计案例 第6篇
风险描述
SprinBoot框架不安全的配置可能导致敏感信息泄露
测试过程
影响地址
风险分析
攻击者通过下载此文件,可以得知系统详细信息,用户名,以及保存在内存里面的数据,如token,数据库用户名密码等等
加固建议
禁用此sprintboot路由或者设置路径不可访问
风险名称
后台源码泄露
风险级别
失败网站网页设计案例 第7篇
风险描述
暴露出中间件,具体版本号
测试过程
影响地址
风险分析
暴露出来的信息容易变成攻击者可利用的信息,如服务器中间件特性,支持的脚本语言等等。从安全的角度来说,隐藏版本号会相对安全些!
加固建议
打开nginx配置文件,在http {...}里加上server_tokens off;
自定义错误页面
风险名称
weblogic默认报错页面
风险级别
失败网站网页设计案例 第8篇
风险描述
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
测试过程
影响地址
风险分析
攻击者绕过上传机制上传恶意代码并执行从而控制服务器。
加固建议
修改后端代码对上传文件类型使用白名单验证
风险名称
csrf跨站请求伪造
风险级别