安基網 首頁 安全Web安全
訂閱

Web安全

  • 免費網站高級Waf防火墻:VeryNginx,防御網站被攻擊

    免費網站高級Waf防火墻:VeryNginx,防御網站被攻擊
    圖/文:迷神VeryNginx 是一個基于openrestry(其實是基于nginx的lua擴展)的開發程序,實現了高級的防火墻,可以做訪問統計和其他的一些防護功能。 VeryNginx 擴展了 Nginx 本身的功能,并提供了友好的 Web 交互界面。VeryNginx安裝需要支持lua模塊支持,具體包括:lua-nginx-module,http_stub_status ...
    2020-2-23 15:28
  • Web安全必點技能

    Web安全必點技能
    搜索公眾號:暗網黑客可領全套安全課程、配套攻防靶場在滲透過程中,有很多 PHP 站點往往設置了disable_functions 來禁止用戶調用某些危險函數,給 Getshell 帶來了很大的不便本文對一些常見的繞過方法的原理和使用稍做總結,順便分享一個 Fuzz 方法,Fuzz的套路學習一下。如有錯誤,歡迎師傅們指正 ...
    2020-2-19 15:43
  • 專門用于sql掃描、注入的神器sqlmap——sqlmap入門詳解實戰

    專門用于sql掃描、注入的神器sqlmap——sqlmap入門詳解實戰
    本文僅用于討論網絡安全技術,以保護信息安全為目的,請勿用于非法用途!Sqlmap介紹sqlmap是一個自動化的SQL注入工具,其主要功能就是掃描、發現并利用給定的URL的SQL注入漏洞,內置了很多繞過插件,支持的數據庫是MySQL、Oracle、POStgreSQL、Microsoft SQL Server、Access、IBM DB2、SQLLite、FireBi ...
    2020-2-18 16:34
  • 「安全」網站常見應用攻擊與防御,道高一尺,魔高一丈

    「安全」網站常見應用攻擊與防御,道高一尺,魔高一丈
    從互聯網誕生起,安全威脅就--直伴隨著網站的發展,各種Web攻擊和信息泄露也從未停止。2011年中國互聯網領域爆出兩樁比較大的安全事故,一樁是新浪微博遭XSS攻擊,另一樁是以CSDN為代表的多個網站泄露用戶密碼和個人信息。特別是后者,因為影響人群廣泛,部分受影響網站涉及用戶實體資產和交易安全,一 ...
    2020-2-16 17:27
  • 從WEB登錄談網絡安全

    從WEB登錄談網絡安全
    一、一個簡單的HTML例子看看用戶信息安全HTML語法中支持在form表單中使用標簽來創建一個HTTP提交的屬性,常見的是下面這樣的表單,采用的是POST提交: 用戶名: 密碼: 登陸form表單會在提交請求時,會獲取form中input標簽存在name的屬性,作為HTTP請求的body中的參數傳遞給后臺,進行登錄校驗。例如賬 ...
    2020-2-15 15:05
  • 利用openresty+lua+redis 實現封殺頻繁惡意訪問IP地址

    利用openresty+lua+redis 實現封殺頻繁惡意訪問IP地址
    Nginx來限制訪問控制的方法有多種,nginx主要有2個模塊控制,但是那些不支持自定義,非常死,在大多數場景下并不實用。今天分享一個:利用openresty+lua+redis 實現封殺頻繁惡意訪問IP地址,當然這個方式也是有弊端的,那就是不斷試用代理 IP之類的,但是作用還是有的,起碼提高了惡意的成 ...
    2020-2-11 15:28
  • 前端安全究竟該怎么做?從一個安全漏洞說起......

    前端安全究竟該怎么做?從一個安全漏洞說起......
    作者 | 李世奇責編 | 郭 芮從一個安全漏洞說起Lodash是一款非常流行的npm庫,每月的下載量超過8000萬次,GitHub上使用它的項目有超過400萬。前段時間Lodash的一個安全漏洞刷爆了朋友圈,我們先來回憶下這個安全漏洞:攻擊者可以通過 Lodash的一些函數覆蓋或污染應用程序。例如:通過Lodash庫中的函數de ...
    2020-1-23 13:53
  • Xss漏洞挖掘新姿勢,XSS ME的“小秘密”

    Xss漏洞挖掘新姿勢,XSS ME的“小秘密”
    搜索公眾號:暗網黑客教程可領全套安全課程、配套攻防靶場說到xss漏洞挖掘,我們可以看到網上是這個樣子的。 我們會看到有各種xss的文章方便大家了解相關的知識,以及搭建一些平臺進行學習。而我最近在挖洞的時候,掌握了一種新的“姿勢”,發現火狐瀏覽器的一款插件很好用,沒錯就是XSS-ME。說是“神器 ...
    2020-1-19 08:29
  • PHP代碼層防護與繞過

    PHP代碼層防護與繞過
    搜索公眾號:暗網黑客教程可領全套安全課程、配套攻防靶場一. 前言  在一些網站通常會在公用文件引入全局防護代碼進行SQL注入、XSS跨站腳本等漏洞的防御,在一定程度上對網站安全防護還是比較有效的。  這里討論一下關鍵字過濾不完善及常見正則匹配存在的問題,并收集了網絡上常見的PHP全局防護代 ...
    2020-1-16 11:38
  • CSRF 詳解:攻擊,防御,Spring Security應用等

    CSRF 詳解:攻擊,防御,Spring Security應用等
    CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。 @pdaiCSRF 簡介CSRF(Cross Site Request Forgery, 跨站域請 ...
    2020-1-13 09:00
  • 馬斯克來上海,座駕7000萬美元的私人飛機,感受下

    馬斯克來上海,座駕7000萬美元的私人飛機,感受下
    XSS又稱CSS,全稱Cross SiteScript(跨站腳本攻擊), XSS攻擊類似于SQL注入攻擊,是Web程序中常見的漏洞,XSS屬于被動式且用于客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網站中輸入(傳 ...
    2020-1-9 09:30
  • XSS的兩種攻擊原理及五種防御方式

    XSS的兩種攻擊原理及五種防御方式
    XSS簡介跨站腳本攻擊指的是自己的網站運行了別的網站里面的代碼攻擊原理是原本需要接受數據但是一段腳本放置在了數據中:XSS攻擊原理XSS攻擊能做什么?獲取頁面數據獲取Cookies劫持前端邏輯發送請求到攻擊者自己的網站實現資料的盜取偷取網站任意數據偷取用戶密碼和登陸狀態改變按鈕的邏輯XSS攻擊類型 ...
    2020-1-7 09:06
  • webshell簡介

    webshell簡介
    webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做為一種網頁后門。一、eval,使用PHP函數,例如phpinfo()1、把下面內容寫入1.php文件2、訪問該文件http://192.168.152.128/1.php?cmd=phpinfo();二、system,使用系統命令,例如:dir(win),ls(linux)1、把下面 ...
    2020-1-6 12:12
  • 「黑客技術」PHP大馬后門分析

    「黑客技術」PHP大馬后門分析
    用php寫的木馬文件,一般自帶提權,操作數據庫,反彈shell,文件下載,端口掃描等功能。網上很多地方都能下載到這些木馬,但是大部門大馬都會自帶有后門,也就是當你上傳木馬到別人的服務器上的時候,該大馬的制作者同樣會通過后門獲得服務器的權限。今天就來分析一波該大 ...
    2020-1-5 12:27
  • XSSFORK:新一代XSS自動掃描測試工具

    XSSFORK:新一代XSS自動掃描測試工具
    什么是XSS漏洞呢 ?XSS(Cross-site scripting)譯為跨站腳本攻擊,在日常的web滲透測試當中,是最常見的攻擊方法之一,并占有很高的地位。它是通過對網頁注入可執行代碼且成功地被瀏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊,一旦攻擊成功,它可以獲取用戶的聯系人列表,然后向聯系人發送虛 ...
    2020-1-3 09:29
  • 最新
    返回頂部
    创业如何赚钱