安基网 首页 安全Web安全
订阅

Web安全

  • 网站漏洞检测 解析绕过上传漏洞

    网站漏洞检测 解析绕过上传漏洞
    在日常对客户网站进行渗透测试服务的时候,我们经常遇到客户网站,app存在文件上传功能,程序员在设计开发代码的过程中都会对上传的文件类型,格式,后缀名做安全效验与过滤判断,工程师在对文件上传漏洞进行测试的时候,往往发现的网站漏洞都是由于服务器的环境漏洞导致的,像IIS,apache,nginx环境, ...
    2019-9-23 11:46
  • Nginx何防止流量攻击,读完之后,大部分程序员都收藏了...

    Nginx何防止流量攻击,读完之后,大部分程序员都收藏了...
    两种实现方式分别是基于Ehcache和Redis的session管理策略。大家都知道服务器资源有限的,但是客户端来的请求是无限的(不排除恶意攻击), 为了保证大部分的请求能够正常响应,不得不放弃一些客户端来的请求,所以我们会采用Nginx的限流操作, 这种操作可以很大程度上缓解服务器的压力, 使其他正常的请 ...
    2019-9-13 05:01
  • xss攻击执行原理小结

    xss攻击执行原理小结
    什么是XSS?xss全称跨站脚本(Cross-site scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以 ...
    2019-9-8 17:04
  • PHP“一句话木马”,如何简单有效地防范?

    PHP“一句话木马”,如何简单有效地防范?
    php语言无需编译,动态执行,我们不得不佩服它的开发效率。但正因为可以动态执行,才带来了类似一句话木马等安全问题。因为我们要十分警惕,否则,无论做的再好,都将“满盘皆输”。首选,我们要先弄清楚,一句话木马是如何被植入到系统的,基本存在通过一下几种方式:利用sql注入。sql注入可以通过mys ...
    2019-9-7 03:36
  • 网站被植入webshell导致网站瘫痪,网络安全防范太重要了

    网站被植入webshell导致网站瘫痪,网络安全防范太重要了
    一、问题现象下午两点,刚刚睡醒,就接到了客户打来的电话,说他们的网站挂(这个用词很不准确,但是感觉到问题的严重性)了,询问是怎么发生的,之前做了什么操作,客户的回答是:什么都没做,突然就不行了!对于这样的回答,我早已习惯,因为要想从客户(政府客户)那里得到有用的咨询,基本上很难, ...
    2019-9-6 13:32
  • webshell中的分离免杀实践

    webshell中的分离免杀实践
    声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文 ...
    2019-8-26 00:34
  • 如何扫描网站漏洞 针对于海洋CMS的漏洞检查分析

    如何扫描网站漏洞 针对于海洋CMS的漏洞检查分析
    临近9月底,seacms官方升级海洋cms系统到9.95版本,我们在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越权漏洞并绕过后台安全检测直接登录管理员账号。关于该漏洞的具体详情,我们来详细的分析一下:seacms主要设计开发针对于互联网的站长,以及中小企业的一个建站系 ...
    2019-8-25 00:43
  • Web服务器防护技术你了解多少?

    Web服务器防护技术你了解多少?
    技术的迅速发展,给人们提供便利的同时,也给人们带来了威胁。通常情况下,黑客、病毒会利用系统的漏洞来进行网络攻击,如篡改网页、蔓延病毒等,从而造成用户信息的窃取、重要数据的破坏。因此,要对web服务器的安全问题引起足够的重视,要加大安全防护力度、构建安全防护系统,以提高web服务器的安全 ...
    2019-8-22 01:30
  • 黑客安全篇:AWVS网站漏洞扫描技巧

    黑客安全篇:AWVS网站漏洞扫描技巧
    本头条号【Kali技术】所有分享,仅限学习交流!请勿他用!AWVS介绍使用AWVS对域名进行全局分析,深入探索:首先,介绍一下AWVS这个工具。Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。伦敦时间2015年6月24日,官 ...
    2019-8-20 00:51
  • 网络安全之CSRF(跨站点请求伪造)

    网络安全之CSRF(跨站点请求伪造)
    1.什么是CSRF?跨站点请求伪造(也称为CSRF)是一个Web安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。比如以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但 是攻击者却可能完成了所他期望的操作(以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、 ...
    2019-8-15 14:24
  • 常见的Web安全漏洞及测试方法介绍

    常见的Web安全漏洞及测试方法介绍
    Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如 ...
    2019-8-11 19:09
  • Nginx 安装 Naxsi 模块实现 WAF WEB应用安全防火墙的功能

    Nginx 安装 Naxsi 模块实现 WAF WEB应用安全防火墙的功能
    能够浏览我的这篇文章,相信你已经对 Nginx 不陌生了,所以这里就不再赘述 Nginx 的安装和配置了,我们直接从 Nginx 和 Naxsi 的集成来讲,如果你对 Nginx 还比较陌生,不知道配置文件在哪里或者不知道如何编译,那这篇文章不太适合你,还请先熟悉 Nginx 的安装和配置编译。我为什么需要 WAF 呢?随着 ...
    2019-8-9 13:42
  • 确保nginx安全,请注意这10点

    确保nginx安全,请注意这10点
    Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。1. 在配置文件中小心使用"if"。它是重写模块的一部分,不应该在任何地方使 ...
    2019-8-1 12:36
  • sql手工注入-SQL注入语法讲解

    sql手工注入-SQL注入语法讲解
    1、判断是否有注入;and 1=1;and 1=22、初步判断是否是mssql;and user03、判断数据库系统;and (select count(*) from sysobjects)0 mssql;and (select count(*) from msysobjects)0 access4、注入参数是字符‘and and ”=’5、搜索时没过滤参数的‘and and ‘%25’=’6、 ...
    2019-7-10 04:32
  • PHP一句话木马之小马

    PHP一句话木马之小马
    什么是一句话木马一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。我们如何发送命令,发送的命令如何执行?我们可以通过GET 、POST 、COOKIE这三种方式向一个网站提交 ...
    2019-7-2 16:11
  • 1234下一页
    最新
    返回顶部