Web安全学习笔记
latest
内容索引:
1. 序章
2. 计算机网络与协议
3. 信息收集
4. 常见漏洞攻防
4.1. SQL注入
4.2. XSS
4.3. CSRF
4.4. SSRF
4.5. 命令注入
4.6. 目录穿越
4.7. 文件读取
4.8. 文件上传
4.9. 文件包含
4.10. XXE
4.11. 模版注入
4.12. Xpath注入
4.13. 逻辑漏洞 / 业务漏洞
4.14. 配置与策略安全
4.14.1. 认证策略
4.14.1.1. 密码策略
4.14.1.2. 加密实现
4.14.2. 权限配置
4.14.3. 供应链安全
4.14.3.1. 三方认证
4.14.3.2. 三方库/软件
4.15. 中间件
4.16. Web Cache欺骗攻击
4.17. HTTP 请求走私
5. 语言与框架
6. 内网渗透
7. 云安全
8. 防御技术
9. 认证机制
10. 工具与资源
11. 手册速查
12. 其他
Web安全学习笔记
Docs
»
4. 常见漏洞攻防
»
4.14. 配置与策略安全
Edit on GitHub
4.14. 配置与策略安全
¶
4.14.1. 认证策略
¶
4.14.1.1. 密码策略
¶
未限制密码最低位数
未限制密码必须包含字符集
为常用密码
个人信息相关
手机号
生日
姓名
用户名
未检测常见弱密码
已泄露的常用密码
键盘模式
4.14.1.2. 加密实现
¶
在客户端存储私钥
4.14.2. 权限配置
¶
运维人员权限粒度过大
客服人员权限粒度过大
4.14.3. 供应链安全
¶
4.14.3.1. 三方认证
¶
利用被攻击的第三方服务账号登录其他平台账号
4.14.3.2. 三方库/软件
¶
公开漏洞后没有及时更新
Read the Docs
v: latest
Versions
latest
Downloads
pdf
html
epub
On Read the Docs
Project Home
Builds
Free document hosting provided by
Read the Docs
.