- 博客(12)
- 收藏
- 关注
RSS订阅原创 利用HTTP Referer字段防止盗链的原理
曾经在某云计算公司工作的时候,经常有客户抱怨自己的网站流量很大,拒绝支付高额的流量费用。这个时候我们就会查询相关的日志排查原因,以及最重要的是查询客户是否做了Referer设置,如果没有做相关的设置,那么这个问题是属于客户自己配置不当的问题,应当自己承担责任。那么这个HTTP协议中的Referer字段到底有什么作用呢?HTTP Referer字段是HTTP协议中的一个标准字段,其作用在于浏览器...
2019-02-27 10:50:17
1130
原创 ARP攻击的原理和防御方法
一.ARP攻击的原理 ARP攻击是指攻击者利用ARP协议的缺陷,发送ARP响应报文,把网关对应的MAC地址变成欺骗的MAC地址,从而导致网络中断或数据劫持的目的。 二.ARP攻击的防御方法 可以在客户端设置静态的ARP映射表,这样就不会受到ARP的欺骗;也可以在交换机上设置访问控制,对于所有流经交换机但IP地址和MAC地址与网关不匹配的情况进行过滤,从而避免了ARP的攻击。...
2019-02-27 10:37:13
12792
原创 XSS攻击的原理、分类和防御方法
一.XSS攻击的原理XSS的原理是WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致浏览器把用户的输入当成了JS代码来执行。XSS的攻击对象是浏览器一端的普通用户。 二.XSS攻击的分类1.反射型XSS反射型XSS,又称非持久型XSS。也就是攻击相当于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序只是不加处理的...
2019-02-27 10:23:20
16335
原创 SQL注入攻击的原理、分类和防御方法
一.SQL注入攻击原理恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。 二.SQL注入攻击分类(1)注入点的不同分类数字类型的注入 字符串类型的注入(2)提交方式的不同分类GET注入 POST注入 COOKIE注入 HTTP注入(3)获取信息的方...
2019-02-27 10:17:05
19714
1
原创 补天SRC漏洞数排名
今日(2019.02.17)爬取了补天漏洞平台众测SRC的总漏洞数和已解决漏洞数的数据,下面分享总漏洞数100排名和已解决漏洞数100排名。各大公司诸如BAT、美团等目前都有自己的SRC平台,其他公司及高校大多在补天SRC平台进行注册提供众测,从爬取的数据排名中可以间接反映出各行各业对网站安全的重视程度,各位爱好安全的小伙伴也可以根据此排名更有针对性地挖掘漏洞。一.总漏洞数排名...
2019-02-17 20:12:33
10004
原创 MySQL实用命令
一.删除重复数据,删除之后顺序是乱的,需要重排id(主键)delete t from 表名 s join 表明 t using(字段1,字段2) where s.id<t.id; 二.重排id1.删除原有主键ALTER TABLE 表名 DROP `id`;2.添加新主键字段ALTER TABLE 表名 ADD `id` MEDIUMINT( 8 ) NOT...
2019-02-17 18:27:33
154
原创 XSS构造剖析(下)
一.产生自己的事件现在假设用户不能依靠属性值进行跨站,那么还有没有其他办法了呢?答案是肯定的,我们知道JavaScript与HTML之间的交互是通过事件来实现的,事件就是用户或浏览器自身执行的某个动作,比如click、mouseover、load等,而响应事件的函数也就叫做事件处理函数,看段代码:<input type="button" value="click me" oncli...
2019-02-15 18:35:43
534
原创 XSS构造剖析(上)
现实中大多数的WEB应用程序并非都脆弱不堪,漏洞百出,事实上,一个优秀负责的开发人员或团队是不容许自己的程序代码出现任何BUG或漏洞。通常情况下,为了防御跨站脚本攻击,会在WEB应用中设计一个XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并消除潜在跨站脚本攻击、恶意的HTML或者简单的HTML格式错误等。XSS Filter一般是基于黑白名单的安全过滤策略,即把要处理的数据分...
2019-02-15 15:24:15
508
1
原创 XSS漏洞介绍
一.什么是XSS跨站脚本XSS(Cross Site Scripting)跨站脚本诞生于1996年。XSS一直被OWASP(Open Web Application Security Project)组织评为十大安全漏洞中的第二威胁漏洞,也有黑客把跨站脚本当做新型的“缓冲区溢出攻击”,而JavaScript则是新型的Shellcode。2011年6月份,国内知名信心发布平台新浪微博爆发了XSS...
2019-02-15 15:09:31
1406
原创 弱口令及其防御
常见的弱口令分为默认型弱口令和社工型弱口令。一.默认型弱口令1.系统服务弱口令ssh ftp telnet snmp 2.应用组件弱口令tomcat weblogic redis mysql mongoDB rsync memcache 3.设备弱口令(1)路由器弱口令tp-link Tenda D-link MERCURY(2)安全设...
2019-02-14 13:39:35
10372
原创 密文比对认证
一.密文比对认证介绍在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。 有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。以此流程会泄露密码加密方式,导致出现安全...
2019-02-09 14:21:10
1249
原创 文件上传漏洞防御
一.文件上传漏洞防御1.客户端检测:使用JS对上传图片检测,包括文件大小、文件扩展名、文件类型等。2.服务端检测:对文件大小、文件路径、文件扩展名(.php3、.php4等)、文件类型、文件内容检测、对文件重命名等。3.其他限制:服务器端上传目录设置不可执行权限。...
2019-02-06 12:13:47
2000
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人