安基网 首页 安全Web安全
订阅

Web安全

  • 「安全」网站常见应用攻击与防御,道高一尺,魔高一丈

    「安全」网站常见应用攻击与防御,道高一尺,魔高一丈
    从互联网诞生起,安全威胁就--直伴随着网站的发展,各种Web攻击和信息泄露也从未停止。2011年中国互联网领域爆出两桩比较大的安全事故,一桩是新浪微博遭XSS攻击,另一桩是以CSDN为代表的多个网站泄露用户密码和个人信息。特别是后者,因为影响人群广泛,部分受影响网站涉及用户实体资产和交易安全,一 ...
    2020-2-16 17:27
  • 从WEB登录谈网络安全

    从WEB登录谈网络安全
    一、一个简单的HTML例子看看用户信息安全HTML语法中支持在form表单中使用标签来创建一个HTTP提交的属性,常见的是下面这样的表单,采用的是POST提交: 用户名: 密码: 登陆form表单会在提交请求时,会获取form中input标签存在name的属性,作为HTTP请求的body中的参数传递给后台,进行登录校验。例如账 ...
    2020-2-15 15:05
  • 利用openresty+lua+redis 实现封杀频繁恶意访问IP地址

    利用openresty+lua+redis 实现封杀频繁恶意访问IP地址
    Nginx来限制访问控制的方法有多种,nginx主要有2个模块控制,但是那些不支持自定义,非常死,在大多数场景下并不实用。今天分享一个:利用openresty+lua+redis 实现封杀频繁恶意访问IP地址,当然这个方式也是有弊端的,那就是不断试用代理 IP之类的,但是作用还是有的,起码提高了恶意的成 ...
    2020-2-11 15:28
  • 前端安全究竟该怎么做?从一个安全漏洞说起......

    前端安全究竟该怎么做?从一个安全漏洞说起......
    作者 | 李世奇责编 | 郭 芮从一个安全漏洞说起Lodash是一款非常流行的npm库,每月的下载量超过8000万次,GitHub上使用它的项目有超过400万。前段时间Lodash的一个安全漏洞刷爆了朋友圈,我们先来回忆下这个安全漏洞:攻击者可以通过 Lodash的一些函数覆盖或污染应用程序。例如:通过Lodash库中的函数de ...
    2020-1-23 13:53
  • Xss漏洞挖掘新姿势,XSS ME的“小秘密”

    Xss漏洞挖掘新姿势,XSS ME的“小秘密”
    搜索公众号:暗网黑客教程可领全套安全课程、配套攻防靶场说到xss漏洞挖掘,我们可以看到网上是这个样子的。 我们会看到有各种xss的文章方便大家了解相关的知识,以及搭建一些平台进行学习。而我最近在挖洞的时候,掌握了一种新的“姿势”,发现火狐浏览器的一款插件很好用,没错就是XSS-ME。说是“神器 ...
    2020-1-19 08:29
  • PHP代码层防护与绕过

    PHP代码层防护与绕过
    搜索公众号:暗网黑客教程可领全套安全课程、配套攻防靶场一. 前言  在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。  这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代 ...
    2020-1-16 11:38
  • CSRF 详解:攻击,防御,Spring Security应用等

    CSRF 详解:攻击,防御,Spring Security应用等
    CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 @pdaiCSRF 简介CSRF(Cross Site Request Forgery, 跨站域请 ...
    2020-1-13 09:00
  • 马斯克来上海,座驾7000万美元的私人飞机,感受下

    马斯克来上海,座驾7000万美元的私人飞机,感受下
    XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传 ...
    2020-1-9 09:30
  • XSS的两种攻击原理及五种防御方式

    XSS的两种攻击原理及五种防御方式
    XSS简介跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:XSS攻击原理XSS攻击能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型 ...
    2020-1-7 09:06
  • webshell简介

    webshell简介
    webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。一、eval,使用PHP函数,例如phpinfo()1、把下面内容写入1.php文件2、访问该文件http://192.168.152.128/1.php?cmd=phpinfo();二、system,使用系统命令,例如:dir(win),ls(linux)1、把下面 ...
    2020-1-6 12:12
  • 「黑客技术」PHP大马后门分析

    「黑客技术」PHP大马后门分析
    用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大 ...
    2020-1-5 12:27
  • XSSFORK:新一代XSS自动扫描测试工具

    XSSFORK:新一代XSS自动扫描测试工具
    什么是XSS漏洞呢 ?XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位。它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚 ...
    2020-1-3 09:29
  • Versionscan:一款专为白帽子设计的PHP漏洞扫描报告工具

    Versionscan:一款专为白帽子设计的PHP漏洞扫描报告工具
    VersionscanVersionscan是一款可以帮助安全研究人员评估PHP项目安全性的漏洞扫描及安全报告工具,它可以检测已知的CVE漏洞,并报告目标站点的潜在安全问题。目前该工具仍在适配不同的Linux发行版。 工具安装使用Composer{ "require": { "psecio/versionscan":"dev-maste ...
    2020-1-3 09:29
  • PHP 安全问题入门:10 个常见安全问题 + 实例讲解

    PHP 安全问题入门:10 个常见安全问题 + 实例讲解
    相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。此帖子分为几部分,每 .. ...
    2019-12-31 16:42
  • 浅析history hack、心血漏洞、CSS欺骗、SQL注入与CSRF攻击

    浅析history hack、心血漏洞、CSS欺骗、SQL注入与CSRF攻击
    关于系统机制漏洞的典型有JavaScript/CSS history hack,而编码规范方面的漏洞典型有心血漏洞(Heart Bleed)。 在对漏洞概念有一定了解后,将搭建一个测试网站,对CSS欺骗、SQL注入与CSRF攻击进行实验测试。
    2019-12-24 18:01
  • 最新
    热门
    返回顶部