安基网 首页 安全Web安全
订阅

Web安全

  • 5分钟教你如何设计一个安全web架构

    5分钟教你如何设计一个安全web架构
    今天就给大家聊聊web安全,web安全占比还是比较大的,基础的从一些html标签,到js 然后到接口,数据库,以及流量攻击,模拟请求。当然这也谈到了一个概念,全新的架构设计模式,前后端分离,让后台着重管理数据处理,处理吞吐量,而前台就着重响应数据,给客户带来良好的体验。这也说明web安全架构也是 ...
    2020-3-27 13:20
  • 【Web安全】浅谈缓存XSS漏洞

    【Web安全】浅谈缓存XSS漏洞
    缓存XSS漏洞即为通过利用CDN of WAF缓存记录使被攻击者接受到存在XSS payload的缓存文件。通常这些服务充当流量负载平衡和反向代理,并储存经常检索的文件,以此减少Web服务器的延迟。工具介绍本文中利用缓存XSS漏洞所使用的是curl,在开始之前我先简单介绍一下curl及使用方法。curl是一个利用URL规则 ...
    2020-3-27 13:16
  • WordPress安全防御攻略(续)

    WordPress安全防御攻略(续)
    续 承接上一篇:WordPress安全防御攻略第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口,可以有效防止被人发现你的后台地址。第八:使用Https协议 如果你的电脑有什么代理软件或者监听软件,普通 ...
    2020-3-18 18:09
  • WordPress安全防御攻略

    WordPress安全防御攻略
    起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补 ...
    2020-3-18 18:08
  • Web安全防护须知:云WAF的利与弊

    Web安全防护须知:云WAF的利与弊
    什么是云WAF?云WAF,也称WEB应用防火墙的云模式。这种模式让用户不需要在自己的网络中安装软件WAF或部署硬件WAF,就可以对网站实施安全防护。防SQL注入、防XSS、防DDOS等,这些传统WAF上存在的功能,云WAF同样具备。从用户的角度来看,云WAF就像是一种安全服务。云WAF的实现之所以称之为云WAF,就是因 ...
    2020-3-14 19:47
  • 成为高级黑客必须了解的,cors跨域和jsonp劫持漏洞

    成为高级黑客必须了解的,cors跨域和jsonp劫持漏洞
    那么我们今天就来了解一下cors跨域和jsonp劫持漏洞同源策略为什么还要讲一遍同源策略,我们之前写xss的时候有讲到过,不了解的同学可以看看我们的那篇xss文章,那么该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法的网站,又打开了一个恶意网站,恶意网站的脚本能够随意的操 ...
    2020-3-3 14:29
  • 免费网站高级Waf防火墙:VeryNginx,防御网站被攻击

    免费网站高级Waf防火墙:VeryNginx,防御网站被攻击
    图/文:迷神VeryNginx 是一个基于openrestry(其实是基于nginx的lua扩展)的开发程序,实现了高级的防火墙,可以做访问统计和其他的一些防护功能。 VeryNginx 扩展了 Nginx 本身的功能,并提供了友好的 Web 交互界面。VeryNginx安装需要支持lua模块支持,具体包括:lua-nginx-module,http_stub_status ...
    2020-2-23 15:28
  • Web安全必点技能

    Web安全必点技能
    搜索公众号:暗网黑客可领全套安全课程、配套攻防靶场在渗透过程中,有很多 PHP 站点往往设置了disable_functions 来禁止用户调用某些危险函数,给 Getshell 带来了很大的不便本文对一些常见的绕过方法的原理和使用稍做总结,顺便分享一个 Fuzz 方法,Fuzz的套路学习一下。如有错误,欢迎师傅们指正 ...
    2020-2-19 15:43
  • 专门用于sql扫描、注入的神器sqlmap——sqlmap入门详解实战

    专门用于sql扫描、注入的神器sqlmap——sqlmap入门详解实战
    本文仅用于讨论网络安全技术,以保护信息安全为目的,请勿用于非法用途!Sqlmap介绍sqlmap是一个自动化的SQL注入工具,其主要功能就是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL、Oracle、POStgreSQL、Microsoft SQL Server、Access、IBM DB2、SQLLite、FireBi ...
    2020-2-18 16:34
  • 「安全」网站常见应用攻击与防御,道高一尺,魔高一丈

    「安全」网站常见应用攻击与防御,道高一尺,魔高一丈
    从互联网诞生起,安全威胁就--直伴随着网站的发展,各种Web攻击和信息泄露也从未停止。2011年中国互联网领域爆出两桩比较大的安全事故,一桩是新浪微博遭XSS攻击,另一桩是以CSDN为代表的多个网站泄露用户密码和个人信息。特别是后者,因为影响人群广泛,部分受影响网站涉及用户实体资产和交易安全,一 ...
    2020-2-16 17:27
  • 从WEB登录谈网络安全

    从WEB登录谈网络安全
    一、一个简单的HTML例子看看用户信息安全HTML语法中支持在form表单中使用标签来创建一个HTTP提交的属性,常见的是下面这样的表单,采用的是POST提交: 用户名: 密码: 登陆form表单会在提交请求时,会获取form中input标签存在name的属性,作为HTTP请求的body中的参数传递给后台,进行登录校验。例如账 ...
    2020-2-15 15:05
  • 利用openresty+lua+redis 实现封杀频繁恶意访问IP地址

    利用openresty+lua+redis 实现封杀频繁恶意访问IP地址
    Nginx来限制访问控制的方法有多种,nginx主要有2个模块控制,但是那些不支持自定义,非常死,在大多数场景下并不实用。今天分享一个:利用openresty+lua+redis 实现封杀频繁恶意访问IP地址,当然这个方式也是有弊端的,那就是不断试用代理 IP之类的,但是作用还是有的,起码提高了恶意的成 ...
    2020-2-11 15:28
  • 前端安全究竟该怎么做?从一个安全漏洞说起......

    前端安全究竟该怎么做?从一个安全漏洞说起......
    作者 | 李世奇责编 | 郭 芮从一个安全漏洞说起Lodash是一款非常流行的npm库,每月的下载量超过8000万次,GitHub上使用它的项目有超过400万。前段时间Lodash的一个安全漏洞刷爆了朋友圈,我们先来回忆下这个安全漏洞:攻击者可以通过 Lodash的一些函数覆盖或污染应用程序。例如:通过Lodash库中的函数de ...
    2020-1-23 13:53
  • Xss漏洞挖掘新姿势,XSS ME的“小秘密”

    Xss漏洞挖掘新姿势,XSS ME的“小秘密”
    搜索公众号:暗网黑客教程可领全套安全课程、配套攻防靶场说到xss漏洞挖掘,我们可以看到网上是这个样子的。 我们会看到有各种xss的文章方便大家了解相关的知识,以及搭建一些平台进行学习。而我最近在挖洞的时候,掌握了一种新的“姿势”,发现火狐浏览器的一款插件很好用,没错就是XSS-ME。说是“神器 ...
    2020-1-19 08:29
  • PHP代码层防护与绕过

    PHP代码层防护与绕过
    搜索公众号:暗网黑客教程可领全套安全课程、配套攻防靶场一. 前言  在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。  这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代 ...
    2020-1-16 11:38
  • 最新
    返回顶部