安基網 首頁 安全Web安全
訂閱

Web安全

  • 五個案例“熄滅”Nginx漏洞隱患

    五個案例“熄滅”Nginx漏洞隱患
    Nginx從2004年10月發布至今,已經趨于成熟和完善。在連接高并發的情況下,Nginx是Apache服務不錯的替代品,作為一款分布式輕量級的中間件Nginx也是存在大量的漏洞的。 下面我們針對常見的漏洞來進行探討。01目錄遍歷漏洞漏洞介紹Nginx的目錄遍歷漏洞屬于配置不當導致的漏洞,錯誤的配置使得目錄被遍歷 ...
    2019-10-31 10:15
  • PHP實戰之WEB網站常見受攻擊方式及解決辦法

    PHP實戰之WEB網站常見受攻擊方式及解決辦法
    一個網站建立以后,如果不注意安全方面的問題,很容易被人攻擊,下面就討論一下幾種漏洞情況和防止攻擊的辦法跨站腳本攻擊(XSS)跨站腳本攻擊(XSS,Cross-site scripting)是最常見和基本的攻擊WEB網站的方法。攻擊者在網頁上發布包含攻擊性代碼的數據。當瀏覽者看到此網頁時,特定的腳本就會以瀏覽者用戶 ...
    2019-10-27 08:25
  • 「黑客攻擊手段」CSRF攻擊,你越好奇,離你的賬戶越近

    「黑客攻擊手段」CSRF攻擊,你越好奇,離你的賬戶越近
    跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制用戶在當前已登錄的Web應用程序上執行非本意的操作的攻擊方法。和跨網站腳本(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁 ...
    2019-10-25 10:41
  • 在CTF比賽中發現的PHP遠程代碼執行0day漏洞

    在CTF比賽中發現的PHP遠程代碼執行0day漏洞
    眾所周知,CTF比賽都是人為構造漏洞環境,人為制造安全漏洞,供安全從愛好者研究,好磨練和增強自己的安全技能。參加CTF比賽,通常你需要明白出題人的想法,按照出題人的意圖來解開謎題。但是,就像所有的游戲一樣,在一些未知的地方,總是存在BUG。有時候參賽人員出人意料的行為和動作,會接觸到一些 ...
    2019-10-24 09:15
  • php代碼滲透測試 后門分析篇

    php代碼滲透測試 后門分析篇
    很多想做滲透測試的朋友都想了解關于PHP后門漏洞的安全測試重點方法,以及該如何預防被中php后門,本節由我們的安全高級滲透工程師進行全面的講解,來讓大家更好的理解和了解php代碼的安全檢測,讓網站得到最大化的安全保障,安全保障了,網站才能更長遠的運行下去。4.1.1. 后門4.1.1.1. php.ini構成的后門 ...
    2019-10-24 09:14
  • 黑客必學知識系列之access注入,帶你深入了解黑客的世界

    黑客必學知識系列之access注入,帶你深入了解黑客的世界
    今天就給大家帶來access數據庫注入,access數據庫是微軟開發的一個數據庫,大多數被中小型企業使用,我們前面的文章也有講到過,access數據庫跟mysql、mssql、Oracle等數據庫不一樣,它就是一個獨立的數據庫,并不像mysql這些數據庫有自帶的數據庫(mysql中的in ...
    2019-10-22 10:20
  • 黑客必學sql注入類型,你真的懂嗎?

    黑客必學sql注入類型,你真的懂嗎?
    上節課講到sql注入的基礎,上節課講到的注入方法是聯合查詢,也稱之為”顯錯注入”,當然,sql注入的方式不單單只是顯錯注入,還有不同的類型。根據數據庫類型;一種是整形注入,一種是字符型注入。其實sql注入的類型就兩大類,只是不同的方式和注入的方法多了,也就開始了很多的注入稱呼于是總結了以 ...
    2019-10-19 09:06
  • 黑客擅長的sql注入攻擊,你真的懂嗎?

    黑客擅長的sql注入攻擊,你真的懂嗎?
    首先的話,我們來仔細搞清楚這個攻擊的流程,第一步就是了解一下,什么是sql?又什么是sql注入、sql注入的流程和步驟。1、首先什么是sql,Sql是一種數據庫查詢和程序設計的語言,這里的數據庫是指存放網站的一些信息數據,常見的數據庫有:mysql、access、mssql(sql server)、oracle數據庫等等,這些數 ...
    2019-10-18 08:01
  • PHP防止跨站和xss攻擊代碼

    PHP防止跨站和xss攻擊代碼
    文檔說明:1.將waf.php傳到要包含的文件的目錄2.在頁面中加入防護,有兩種做法,根據情況二選一即可:a).在所需要防護的頁面加入代碼1require_once('waf.php');就可以做到頁面防注入、跨站如果想整站防注,就在網站的一個公用文件中,如數據庫鏈接文件config.inc.php中!添加require_onc ...
    2019-9-26 17:41
  • 掃描WordPress / Shopify主題惡意代碼以及漏洞分析相關工具

    掃描WordPress / Shopify主題惡意代碼以及漏洞分析相關工具
    Shopify的主題模板相對于其他WordPress市場的主題,價格偏高,很多賣家選擇免費的去授權或者賣家使用后下載后的主題,那么這么就會有不法惡意人士向代碼里面加入惡意代碼或者制造一些主題漏洞后面,可能導致賣家數據泄露,也是潛在的風險。為了降低這個風險。可以考慮使用如下介紹的工具,對下載的主題 ...
    2019-9-26 12:20
  • 網站漏洞檢測 解析繞過上傳漏洞

    網站漏洞檢測 解析繞過上傳漏洞
    在日常對客戶網站進行滲透測試服務的時候,我們經常遇到客戶網站,app存在文件上傳功能,程序員在設計開發代碼的過程中都會對上傳的文件類型,格式,后綴名做安全效驗與過濾判斷,工程師在對文件上傳漏洞進行測試的時候,往往發現的網站漏洞都是由于服務器的環境漏洞導致的,像IIS,apache,nginx環境, ...
    2019-9-23 11:46
  • Nginx何防止流量攻擊,讀完之后,大部分程序員都收藏了...

    Nginx何防止流量攻擊,讀完之后,大部分程序員都收藏了...
    兩種實現方式分別是基于Ehcache和Redis的session管理策略。大家都知道服務器資源有限的,但是客戶端來的請求是無限的(不排除惡意攻擊), 為了保證大部分的請求能夠正常響應,不得不放棄一些客戶端來的請求,所以我們會采用Nginx的限流操作, 這種操作可以很大程度上緩解服務器的壓力, 使其他正常的請 ...
    2019-9-13 05:01
  • xss攻擊執行原理小結

    xss攻擊執行原理小結
    什么是XSS?xss全稱跨站腳本(Cross-site scripting),是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。是一種網站應用程序的安全漏洞攻擊,是代碼注入的一種。它允許惡意用戶將代碼注入到網頁上,其他用戶在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以 ...
    2019-9-8 17:04
  • PHP“一句話木馬”,如何簡單有效地防范?

    PHP“一句話木馬”,如何簡單有效地防范?
    php語言無需編譯,動態執行,我們不得不佩服它的開發效率。但正因為可以動態執行,才帶來了類似一句話木馬等安全問題。因為我們要十分警惕,否則,無論做的再好,都將“滿盤皆輸”。首選,我們要先弄清楚,一句話木馬是如何被植入到系統的,基本存在通過一下幾種方式:利用sql注入。sql注入可以通過mys ...
    2019-9-7 03:36
  • 網站被植入webshell導致網站癱瘓,網絡安全防范太重要了

    網站被植入webshell導致網站癱瘓,網絡安全防范太重要了
    一、問題現象下午兩點,剛剛睡醒,就接到了客戶打來的電話,說他們的網站掛(這個用詞很不準確,但是感覺到問題的嚴重性)了,詢問是怎么發生的,之前做了什么操作,客戶的回答是:什么都沒做,突然就不行了!對于這樣的回答,我早已習慣,因為要想從客戶(政府客戶)那里得到有用的咨詢,基本上很難, ...
    2019-9-6 13:32
  • 12345下一頁
    最新
    返回頂部
    湖北快3 购买技巧