web安全
文章平均质量分 89
Liao_Wenzhe
笔者组建了个风控/aiops的技术交流群,欢迎朋友们与我联系加入。
展开
-
isc2022主题演讲:AI驱动API安全风险检测与运营
AI原创 2022-08-31 23:19:44 · 379 阅读 · 0 评论 -
常见API漏洞解释以及应用层解决方案
常见API漏洞:1.未受保护API:在现行的Open API开放平台中,一般需要对第三方厂商的API接入身份进行监管和审核,通过准入审核机制来保护API。当某个API因未受保护而被攻破后,会直接导致对内部应用程序或内部API的攻击。比如因REST、SOAP保护机制不全使攻击者透明地访问后端系统即属于此类。加强保护机制审查和代码规范。2. 弱身份鉴别:当API暴露给公众调用时,为了保障用户的可信性,必须对调用用户进行身份认证。因设计缺陷导致对用户身份的鉴别和保护机制不全而被攻击,比如弱密码、硬..原创 2022-02-25 15:26:48 · 9544 阅读 · 0 评论 -
BlackHat论文解读: HTTP 标头,请求走私,缓存中毒
概念:1.现代web架构:基于反向代理转发的二层结构,如下图1所示。2.http标头,请求走私:在http-header中修改制定参数参数名或值,以实现在front 到 back中调用链中的攻击,造成缓存攻击,ip限制,速率绕过等。如下图2所示。3. 缓存中毒:利用front的缓存,覆盖原始访问的内容,如下图3所示,我们可以任意更改rsp-body里的值。影响:1. 绕过网关 IP 限制和速率限制(仅仅修改转发参数即可攻击漏洞):API Gateway 允许你使用以下资源原创 2022-02-10 18:25:58 · 3528 阅读 · 0 评论