一、漏洞描述 CSRF 定义： 跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者session riding，通常缩写为 CSRF ， 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自…

一、xss 漏洞介绍 1.1 XSS漏洞概述 XSS 攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为 XSS，XSS 是一种在 web 应用中的计算机安全漏洞，它允许恶意 web 用户将代码植入到web网站里面，供给其它用户访问，当用户访问到有恶意代码的网页就会产…

一、概论 1.1 简介 文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤，而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传，图片上传，oa 办公文件上传，媒体上传，允许用户上传文件，如果过滤不严格，恶意用户利用文件上传漏洞，上传有害的可以执行脚本文件到服务器中，可以获取服务器的权限，或进一步危害服务器。这…

一、背景 在网络安全领域，等级保护是指根据信息系统的重要性、涉密程度和数据敏感性，对信息系统进行分级保护，针对不同级别的信息系统采取不同的安全保障措施。通过实施等级保护，可以有效提高信息系统的安全性和可靠性，降低信息安全风险。等级保护现场测评工具是保障信息安全的重要手段之一。其中，Golin作为一款优秀的等级保护现场测评工具，受到了广泛的应用和认可…

一、账号管理 1、清理无用账号 目的：删除或锁定无关的账号，提高系统账号安全性。操作：win + rlusrmgr.msc右击账号删除右击账号-属性-账户已禁用 2、禁用来宾账号 目的：减少账户被爆破的可能性操作：win + rsecpol.msc本地安全策略->安全设置->本地策略->安全…