Nginx 是一款轻量级的 Web 服务器、反向代理服务器及电子邮件（IMAP/POP3）代理服务器，并在一个 BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上 nginx 的并发能力确实在同类型的网页服务器中表现较好。

随着互联网技术的快速发展，Web应用程序和API已经成为企业日常运营中不可或缺的部分。然而，与此同时，网络攻击手段也愈发复杂和隐蔽，给企业的数据安全带来了严峻的挑战。

IIS 是 Internet Information Services 的缩写，意为互联网信息服务，是由微软公司提供的基于运行 Microsoft Windows 的互联网基本服务。最初是 Windows NT 版本的可选包，随后内置在 Windows 2000 、Windows XP Professional 和 Windows Server 2003 一起发行，但在 Windows XP Home 版本上并没有 IIS 。

CORS（跨源资源共享）是一种用于在Web应用程序中处理跨域请求的机制。当一个Web应用程序在浏览器中向不同的域（源）发起跨域请求时，浏览器会执行同源策略，限制了跨域请求的默认行为。同源策略要求Web应用程序只能访问与其本身源（协议、域名和端口）相同的资源。

起初个人认为在加了https的情况下前端加密完全没有必要。前端无论是传输内容加密还是代码加密，都是增加一丁点破解难度而已，却带来性能的天坑。轮子哥说：人家黑客又不是非得用你的网站来使用你的服务，你客户端加密又有什么用呢，人家可以直接把加密后的截取下来发到服务器去，等于没加密。Mark说：现在几乎所有大公司代码都是进过审核的，怎么可能随便让一个程序员打印出密码（参考银行）。如果代码中可能植入后门这点成立，前端同样可以植入后门，内鬼同样可以把用户密码跨域发送给某个地址。 假设不可以前端植入后门，内鬼在后端获取hash后的密码。内鬼同样可以使用脚本使用hash后的密码发包，实现用户登录。综上，前端加密完全没有意义

验证码是阻挡机器人攻击的有效实践，网络爬虫，又被称为网络机器人，是按照一定的规则，自动地抓取网络信息和数据的程序或者脚本。如何防控，这里简单提供几个小Tips。

之前在《cookie跨域传输cookie问题：nginx跨域代理之proxy_cookie_domain 》，再次摘要

在2010的Black Hat Europe大会上，Paul Stone提出了点击劫持的技术演进版本：拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多（如复制粘贴、小游戏等等），拖放劫持大大提高了点击劫持的攻击范围，将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。

在2010的Black Hat Europe大会上，Paul Stone提出了点击劫持的技术演进版本：拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多（如复制粘贴、小游戏等等），拖放劫持大大提高了点击劫持的攻击范围，将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。

文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义，就是攻击者上传了一个可执行文件如木马，病毒，恶意脚本，WebShell等到服务器执行，并最终获得网站控制权限的高危漏洞。

最近拜读了一下道哥的《白帽子讲Web安全》，主要是想开阔学习一下，堪称互联网最大入口的Web服务中的安全知识。无论黑客是从客户端，还是服务端发起的漏洞攻击，都能从中见识到这些黑客的顶级智慧和脑洞，他们有着深厚的网络和操作系统知识，开发出各种脚本和工具，有的大师甚至开源出来，用以警醒我们漏洞危害之大。书中介绍了很多详细的漏洞种类和防御手段，尤其是最后，道哥结合10多年阿里云安全的开发运营经验，倾囊相授了一番SDL安全开发流程和SOC安全运营的checklist，这部分是非常宝贵的，即使是10年前的经验，到今天依然没有过时，很多厂商，甚至是安全厂商都没有完全做到这些。

https://mp.weixin.qq.com/s/P2AX2ebnzaCw-NoNwLwIRA

移动智能终端设备由于体积限制，一般都没有鼠标、键盘这些输入设备，用户更多的操作是依靠手指在触屏上的点击或滑动等动作完成。在移动设备上，类似点击劫持的攻击模式，实现了对用户触摸屏操作的劫持攻击，即界面操作劫持攻击的又一种形式——触屏劫持。

免费的web应用防火墙最出名的非ModSecurity莫属。ModSecurity一度以维护者众多，规则更新较积极，并且免费而受安全圈追捧，然而随着时代变迁，ModSecurity的多种致命缺陷也逐渐暴露，包括：

正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的，也可以将其称为一种网页后门

随着AI技术的快速发展，如ChatGPT等智能化工具在各个领域得到了广泛应用。然而，这些工具的普及也给网络安全带来了新的挑战。AI模型的自然语言生成功能使得网络钓鱼攻击更加智能化和隐蔽化，攻击者能够利用AI技术生成高度逼真的欺骗性邮件和其他内容，从而诱骗受害者泄露敏感信息或执行恶意操作。

随着AI技术的快速发展，如ChatGPT等智能化工具在各个领域得到了广泛应用。然而，这些工具的普及也给网络安全带来了新的挑战。AI模型的自然语言生成功能使得网络钓鱼攻击更加智能化和隐蔽化，攻击者能够利用AI技术生成高度逼真的欺骗性邮件和其他内容，从而诱骗受害者泄露敏感信息或执行恶意操作。

随着企业组织数字化步伐的加快，域名系统（DNS）作为互联网基础设施的关键组成部分，其安全性愈发受到重视。然而，近年来频繁发生的针对DNS的攻击事件，已经成为企业组织数字化发展中的一个严重问题。而在目前各种DNS攻击手段中，DNS缓存投毒（DNS Cache Poisoning）是比较常见且危害较大的一种，每年都有数千个网站成为此类攻击的受害者给企业的信息安全带来了极大的挑战。

本文转载自助安社区（https://secself.com/），海量入门学习资料。

赛门铁克(Symantec)在2019年的《互联网安全威胁报告》中称：Formjacking 攻击飙升，已有取代勒索和挖矿成为互联网安全最大威胁之势。Formjacking 从技术角度看，主要是将恶意 javascript 代码嵌入到合法网站中，用于获取敏感信息，而这种攻击手法本质上属于界面劫持中的 clickjacking（点击劫持）。本文将结合界面劫持的发展历程，以实例讲解点击劫持的原理并介绍目前针对此类攻击的防御思路。