作者|颜国平,腾讯云-天御系统研发负责人。一直负责腾讯自有验证码、业务安全、防刷、账号安全等研发工作。内部支持的产品(游戏、电商、腾讯投资的O2O企业)非常广泛。在业务安全领域项目经验丰富,并且具备深度学习、大数据架构搭建等实战经验。一、背景介绍最近1~2年电商行业飞速发展,各种创业公司犹如雨后春笋大量涌现,商家通过各种活动形式的补贴来获取用户、培养用户的消费习惯。但任何一件事情都具有两面性,高额
BackBox是基于Ubuntu的Linux发行版,它是一款用于网络渗透测试及安全评估的操作系统。新版本包括Linux 3.13内核,EFI 模式,匿名模式,LVM +磁盘加密程序,隐私的补充和armhf Debian软件包。新版本主要更新:预装Linux 3.13 新版Ubuntu 14.04 包含LVM和全盘加密选项 RAM wipe
这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强!据路透社报道,网络专家周三警告称,他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。Bash是一款软件,被用于控制众多Linu
最近研究OSSIM系统,OSSIM的安装是做好的ISO,操作系统选择的是CentOS 64Bit系统。我使用的OSSIM 4.11 的ISO安装,虽然系统说明支持中文,实际上,只是台湾的繁体中文而以。安装包下载地址:http://downloads.us.alienvault.com/c/download?version=current_ossim_iso为了让OSSIM支持简单中文,并在以后的中
目前的APP基本都支持二维码扫描,发现二维码用微信扫描后打不开,无法跳转,经折腾发现是微信的一种安全机制,需要在下载地址后面加上#mp.weixin.qq.com,就可以跳转到浏览器下载页面。
(1)CC类攻击 A.网站出现service unavailable提示 B.CPU占用率很高 C.网络连接状态:netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条 D.外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。(2)SYN类攻击 A.CPU占用很高 B.网络连接状态:
OSSIM 即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。 OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
1、原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个OGNL(这里是OGL的介绍)语句。当我们提交一个http参数: ?user.address.city=Bishkek&user['favoriteDrink']=kum
虽然安全性是企业应用程序最重要的方面之一,它同时也可能成为软件开发中最困难的问题。因此,应当在应用程序开发中尽早考虑安全性问题。定义应用程序安全性时,通常使用 AAA(验证、授权与访问控制)范例对如何保护应用程序的各个方面进行分类。某些安全性控件特意经过冗余处理,从而提供双重安全性。 保护 Flex 应用程序时,需要保护许多资源,其中包括用户可以看到哪些数据、用户可以加载哪些模块或用
1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参数也是可以导致注入漏洞的。 2.旁注:就是说在保证自己的程序没问题的同时,也要保证同台服务器的其他站点没问题。至少要设置好系统权限,即使别人的站点出问题也不能影响自己的站点。 3.上传:尽量不要有上传功能,如果必须有上传功能。也要做到以下方面:不能让用户定义路径、文件名,限制好可上传的文件类型
PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议, 访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用PHP时要小心。以下是25个 PHP安全方面的最佳实践,可供系统管理员们安全地配置PHP。 为PHP安全提示而提供的示例环境 •文件根目录(DocumentRoot):/var/www/h
漏洞介绍:可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。80sec发现目前一些普遍使用xm
如何为WebLogic 8.x,9.x,10.x打补丁呢?是很多技术人员关心的话题,weblogic和websphere是中间件的大哥,然而俩者打补丁的方法有些不同。下面是WebLogic如何修补补丁,WebLogic各版本修复补丁的方法大致相同: Note : Befor applying pathces make sure that back up is taken , for exampl
1.无论什么站,无论什么语言,我要渗透,第一件事就是扫目录,最好一下扫出个上传点,直接上传shell,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多。 2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传
关键词:入侵的关键字 最新入侵关键词 GOOGLE黑客 百度黑客 默认数据库: Databases/myszw.mdb Databases/myszw1.mdb 上传 upload_Photo.asp?PhotoUrlID=3 upload_Photo.asp?PhotoUrlID=1 ----
Admin Web Service http://<AdminSite>/_vti_adm/Admin.asmx Provides methods for managing a deployment of Microsoft Windows SharePoint Services, such as for creating or deleting site collections.
#主要是扫ExternalInterface.call #!/usr/bin/php -q <?php /*--------------------------------xy7@80sec.com---------------------------- #Flash文件跨站检测脚本 2010/6/3 #检测过程如下: 提取ExternalInterface.call调用的参数,
个人的一个小总结!所讲的某些路径不一定正确,这个看你的经验和猜的功夫了! 如何搜索编辑器漏洞? site:editor inurl:asp?id inurl:ewebeditornet 比如常见的编辑器漏洞有: ewebeditor ewebeditornet fckeditor editor
“ EASY NEWS新闻管理系统 v1.01 正式版”是在企业网站中非常常见的一套整站模版,在该网站系统的留言本组件中就存在着数据过滤不严漏洞,如果网站是默认路径和默认文件名安装的话,入侵者可以利用该漏洞直接上传ASP木马程序控制整个网站服务器。 Step1 搜索入侵目标 使用了“EA
一句话木马入侵原理 <%execute request(“#”)%>是典型的一句话木马服务端代码,将这个代码写入asp文件,就成了一句话木马服务端文件。 仔细观察一下<%execute request(“#”)%>这句代码,括号里的“#”是我们一句话的密码,我们可以把它改
虽然是老话题了,但是还是有很多大网站在此栽了跟头,在这里不是让大家去搞破坏,干坏事,而是提醒大家提高防范意识,保护信息安全…… FCKeditor介绍 FCKeditor是一款功能强大的开源在线文本编辑器(DHTML editor),它使你在web上可以使用类似微软Word 的桌面文本编辑器的许多强大功能。它是轻量级且不必在客户端进行任何方式的安装。
多年来,微软的互联网信息服务(IIS)Web服务器给许多企业带来了大量的安全问题,包括十二年前臭名昭著的Code Red蠕虫病毒。IIS的一个重要安全隐患是它会默认安装和启用很多功能,比如脚本和虚拟目录等,但这其中的许多功能又被证实是很容易被利用,从而导致重大安全事故。 几年前发布的IIS 6采用了一种“默认锁定”的方法,即不安装某些功能,或者安装以后将其默认禁用
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利
对于使用MSSQL数据库的网站来说,如果没有对SQL注入式攻击进行防御那么将受到致命的打击。关于对付SQL注入攻击的方法已经有许多讨论,但是为什么还是有大量的网站不断地遭受其魔掌呢?安全研究人员认为,现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候,从而减轻与注入攻击相关的风险。笔者在此介绍的这些方法未必是革命性的创举,但是又有多少企业真正按照要求全面地实施这些方法呢? 下面,我们将一
随着web2.0时代的到来,Web应用也逐渐被人广泛的接受和使用。当然,每个新技术的到来对应着其安全问题也接踵而来。面对Web安全问题,不同于IDS与IPS的新技术,Web应用防火墙也逐渐映入人们的眼中。 Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间,分析应用程序层的
所有版本补丁,相关链接:http://www.webspherechina.net/club/viewthread.php?tid=2926&extra=page%3D1%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D125
有哪些用户在什么时间访问IIS服务器?哪些用户的访问是合法的?是否存在一些失败的访问?等等。对于不少IIS服务管理人员来说,这可能是一比糊涂帐。“绝对的权利,导致绝对的腐败”。这句名言不仅在官场上有效,在IIS安全方面也是言之有理。随着信息化应用的普及,互连网上的安全隐患越来越多。加强对IIS服务器的访问审计、提高其安全等级,已经迫在眉睫。在这篇文章中,就以Windows2
&n
基于 Web 的应用正受到越来越多的青睐,从企业应用到形形色色的公共站点,可以说 Web 无处不在。黑客也逐渐将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上,“跨站脚本”、“SQL 注入”新的网络安全问题不断涌现,如何保障 Web 应用的安全已成为当今业界关注的问题。Rational AppScan 是 IBM 公司推出的全面
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
