- 博客(46)
- 收藏
- 关注
RSS订阅原创 Web Server配置安全
Apache安全Web Server的安全我们关注两点:一是Web Server本身是否安全;二是Web Server是否提供了可使用的的功能。纵观Apache的漏洞史,它曾经出现过多次高危漏洞,但这些高危漏洞大部分是由Apache的Module造成的,Apache核心的高危漏洞几乎没有。因此,检查Apache安全的第一件事,就是检查Apache的Module安装情况,根据“最小权限原则”...
2020-02-17 16:20:32
331
原创 Web框架安全
模板引擎与XSS防御XSS攻击是在用户的浏览器上执行的,其形成过程则是在服务器端页面渲染时,注入了恶意的HTML代码导致的。从MVC架构来说,是发生在View层,因此使用“输出编码”的防御方法更加合理,这意味着需要针对不同上下文的XSS攻击场景,使用不同的编码方式。“输出编码”的防御方法有以下几种:在HTML标签中输出变量 在HTML属性中输出变量 在script标签中输出变量 ...
2020-02-01 16:42:13
328
转载 Docker 安全备忘录
Docker容器是最流行的容器技术。正确使用可以提高安全性级别(与直接在主机上运行应用程序相比)。另一方面,一些错误配置可能导致降低安全级别,甚至引入新的漏洞。本备备忘录的目的是提供一个易于使用的常见安全错误和良好实践列表,这将帮助您保护Docker容器。RULE #0 - Keep Host and Docker up to dateTo prevent from known,...
2020-01-06 10:25:03
661
原创 Spring Security:核心服务
1. The AuthenticationManager, ProviderManager and AuthenticationProviderTheAuthenticationManageris just an interface, so the implementation can be anything we choose, but how does it work in pract...
2020-01-05 11:39:45
153
原创 Spring Security:架构及其核心类
这篇文章主要是阅读Spring Security官方文档后,关于Spring Security中的身份验证和访问控制原理的摘要。1Spring Security核心组件1.1 SecurityContextHolder, SecurityContext and Authentication ObjectsThe most fundamental object isSecuri...
2020-01-05 10:54:03
377
转载 密钥管理
在密码学里有个基本的原则:密码系统的安全性应该依赖于密钥的复杂性,而不应该依赖于算法的保密性。在安全领域里,选择一个足够安全的加密算法不是困难的事情,难的是密钥管理。在一些实际的攻击案例中,直接攻击加密算法的案例很少,而因为密钥没有妥善管理导致的安全事件却很多。对于攻击者来说,他们不需要正面破解加密算法,如果能够通过一些方法获得密钥,则是件事半功倍的事情。密钥管理中最常见的错误,就是将密钥...
2019-06-02 16:34:01
2884
翻译 OAuth 简介
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...
2019-05-19 12:22:47
10131
原创 HTML 5 安全
新标签的XSSHTML5 定义了很多新的标签、事件,这有可能带来新的XSS攻击。一些XSS Filter 如果建立了一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。笔者曾经在百度空间做过一次测试,使用的是HTML5新增的<video>标签,这个标签可以在网页中远程加载一段视频。与<video>标签类似的还有<audio&g...
2019-05-18 11:46:20
630
原创 点击劫持(ClickJacking)
1)什么是点劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。看下面这个例子。在http://www.a.com/test.html页面中插入了一个指向目标网站...
2019-05-12 11:48:40
2124
转载 跨站点请求伪造(CSRF)
CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。1)CSRF 简介什么是CSRF呢?我们先看一个例子。在介绍XSS Payload时那个“删除搜狐博客”的例子,登录Sohu博客后,只需请求这个URL,就能把编号为“156713012”的博客删除。http://blog.sohu.com/manage/entry.do?m=...
2019-05-11 11:41:47
5241
原创 浏览器Cookie策略
浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Co...
2019-04-27 16:58:28
6116
原创 XSS的防御
XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。1)HttpOnlyHttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...
2019-04-27 16:04:05
10035
1
原创 Docker安全
1) 容器内核Docker 容器中没有没有包含内核,Docker 容器共享宿主机内核,一旦宿主内核存在可以横向越权或者提权漏洞,那么尽管Docker使用普通用户执行,一旦容器被入侵,攻击者还是可以利用内核漏洞逃逸到宿主,做更多事情。2) 容器用户容器和宿主机共享一个内核,且内核控制的 uid 和 gid 只有一套。所以同一个 uid 在宿主机和容器中代表的是同一个用户(即便在...
2019-04-21 13:57:06
506
原创 跨站脚本攻击(XSS)
跨站脚本攻击,英文全称是Cross Site Script。XSS攻击,通常指黑客通过”HTML注入“篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做”跨站脚本“。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字却一直保留下来。1)...
2019-04-20 12:50:26
1979
转载 十种进程注入技术介绍
前言进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。...
2019-02-28 15:01:46
1768
转载 web 应用常见安全漏洞一览
1. SQL 注入SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。原因当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。比如:name = "外部输入名称";sql = "select * fro...
2019-02-27 17:36:34
165
转载 PHP一句话木马后门
在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器。一句话木马的原理很简单,造型也很简单,所以造成了它理解起来容易,抵御起来也容易。于是黑白的较量变成了黑帽不断的构造变形的后门,去隐蔽特征,而白帽则不断的更新过滤方法,建起更高的城墙。 一、原理简述对于不同的语言有不同的构造...
2019-02-25 16:15:27
1586
转载 SVN/GIT源代码泄露
造成SVN源代码漏洞的主要原因是管理员操作不规范。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用“导出”功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以利用该漏洞下载网站的源代码,再从源代码里获得数据库的连接密码;或者通过源代码分析出新的系统漏洞,从而进一步入...
2019-02-25 15:20:38
1297
1
翻译 什么是僵尸网络?
僵尸网络已成为当今安全系统面临的最大威胁之一。它们在网络罪犯中越来越受欢迎,原因是它们能够渗透几乎所有联网设备,从DVR播放器到企业服务器。僵尸网络也越来越多地成为网络安全文化讨论的一部分。Facebook的虚假广告争议和Twitter机器人在2016年总统大选期间的惨败,令许多政界人士和公民担心僵尸网络的破坏性潜力。麻省理工学院(MIT)最近发表的研究得出结论,社交媒体机器人和自动账户在传播...
2019-02-18 18:45:26
1488
转载 Bypassing Web-Application Firewalls by abusing SSL/TLS
IntroductionDuring the latest years Web Security has become a very important topic in the IT Security field. The advantages the web offers resulted in very critical services being developed as web a...
2019-02-15 12:30:01
262
转载 身份管理的15个安全开发实践
身份管理可以说是所有技术门类中风险最大的服务。身份盗窃事件常伴我们左右。咨询公司 Javelin Research 从事身份盗窃事件研究多年,其《2018身份欺诈》报告将2017年身份盗窃统计数据描述为“历史新高”,揭示身份盗窃继续困扰着这个行业。身份管理中我们常会谈及所谓“武器化身份”的概念,也就是强化系统中的接入点和用户与服务交互的位置。然而,武器化过程需分层实施,而其中一层就是代码层。...
2019-02-14 10:30:31
143
转载 使用隧道技术进行C&C通信
C&C通信这里的C&C服务器指的是Command & Control Server--命令和控制服务器,说白了就是被控主机的遥控端。一般C&C节点分为两种,C&C Server 和 C&C Client。Server就是就是黑客手里的遥控器。Client就是被控制的电脑,也就是受害者。C&C通信就是Client和Server之间的通信。再...
2019-02-13 18:07:04
3375
转载 目录遍历攻击
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名,如:http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,如 “d://site/images/image.jpg”,将读取的内容返回给访问者。初看,在只是文件交互的一种简单的过程,...
2019-02-13 17:48:20
9166
转载 聊聊CVE漏洞编号和正式公开那些事
聊聊CVE漏洞编号和正式公开那些事一 CVE漏洞编号是谁颁发的?CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加,MITRE将漏洞编号的赋予工作转移到了其CNA(CVE Numbering Authorities)成员。CNA涵盖5类成员。目前共有69家成员单位。1.MITRE:可为所有漏洞赋予CVE编号;2.软件或设备厂商:如Apple、Ch...
2019-01-23 10:23:30
5337
原创 应用层拒绝服务攻击
DDOS又称为分布式拒绝服务,全称是 Distributed Denial of Service,DDOS本是利用合理的请求造成资源过载,导致服务不可用。常见的DDOS攻击有SYN flood,UDP flood,ICMP flood等。SYN flood是一种最为经典的DDOS攻击。在SYN flood 攻击时,首先伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器会返回SY...
2019-01-17 21:50:27
839
转载 如何识别高级的验证码
一、验证码的基本知识 1. 验证码的主要目的是强制人机交互来抵御机器自动化攻击的。 2. 大部分的验证码设计者并不得要领,不了解图像处理,机器视觉,模式识别,人工智能的基本概念。 3. 利用验证码,可以发财,当然要犯罪:比如招商银行密码只有6位,验证码形同虚设,计算机很快就能破解一个有钱的账户,很多帐户是可以网上交易的。 4. 也有设计的比较好的,比如Yahoo,Go...
2019-01-06 18:42:08
272
1
转载 文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传后导致的常见安全问题一般有:上传文件是Web脚本语言,服务器...
2019-01-06 13:48:02
391
转载 Web应用访问控制
权限控制,或者说访问控制,广泛应用于各个系统中。抽象地说,是某个主体(subject)对某个客体(object)需要实施某种操作(operation),而系统对这种操作的限制就是权限控制。在网络中,为了保护网络资源的安全,一般是通过路由设备或者防火墙建立基于IP和端口的访问控制。在操作系统中,对文件的访问也要访问控制。比如在Linux系统中,一个文件可以执行的操作分为“读”、“写”、“执行”三...
2019-01-05 13:00:23
1976
2
翻译 Web-Shell实战 - Weevely
今天我们介绍的是一个轻量级的Web-Shell工具 - Weevely。Github地址https://github.com/epinna/weevely3。 PHP backdoor agent我们将使用Weevely来创建一个php代理后门,然后部署在目标服务器上。运行weevely.py,就将为我们生成一个名为agent.php的代理后门, 设置访问密码确保只有我们可以...
2019-01-04 18:27:51
1192
转载 Introduction to Web-Shells – Part 4(Weevely)
Weevely is a lightweight PHP telnet-like web-shell with several options which we shall be using for this example.For demonstration purposes, we will use Weevely to create a backdoor agent which will...
2019-01-04 16:12:45
242
转载 An Introduction to Web-Shells – Final Part(Detection and Prevention)
DetectionIf an administrator suspects that a web-shell is present on their system (or during a routine check), the following are some things to examine.Firstly, the server access and error logs mu...
2019-01-04 14:50:17
192
转载 An Introduction to Web Shells – Part 3(Keeping web shells under cover)
Commands can be sent to the web-shell using various methods, with HTTP POST request being the most common. However, hackers are not exactly people who play by the rules. The following are a few of the...
2019-01-04 14:29:57
209
转载 Introduction to Web Shells – Part 2(Web-shells using PHP)
Web shells exist for almost every web programming language you can think of. We chose to focus on PHP because it is the most widely-used programming language on the web.PHP web shells do nothing mor...
2019-01-04 14:28:03
190
转载 An Introduction to Web-shells – Part 1
A web-shell is a malicious script used by an attacker with the intent to escalate and maintain persistent access on an already compromised web application. A web-shell itself cannot attack or exploit ...
2019-01-04 14:27:05
122
翻译 Web Shell 简介
Web-Shell 简介Web-Shell是一种可以将其上传到web服务器的脚本文件,实现远程控制服务器。攻击者可以利用SQL注入、远程文件包含(remote file inclusion, RFI)、FTP等常见漏洞,甚至可以使用跨站点脚本(cross-site scripting, XSS)作为社会工程攻击的一部分,上传恶意Web-Shell脚本。Web-Shell本身并不能利用远程漏...
2019-01-03 22:24:02
1017
转载 用户认证之Session
密码和证书等认证手段,一般仅仅用于登录的过程。当登录成功后,就需要替换一个对用户透明的凭证,就是SessionID。当用户登录完成后,在服务器端就会创建一个新的会话(Session),会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...
2019-01-02 22:50:52
964
原创 用户认证之密码
密码是最常见的一种认证手段,持有密码的人被认为是可信的。长期以来,桌面软件、互联网都普遍以密码作为最基础的认证手段。 密码强度密码强度是设计密码认证方案时第一个需要考虑的问题。在用户密码强度的选择上,每个网站都有自己的策略。目前没有一个标准的密码策略,但是根据OWASP推荐的一些最佳实践,我们可以对密码策略稍作总结。密码长度方面:普通应用要求长度为6位以上 重要应用要求长度为...
2019-01-01 18:49:14
942
1
转载 重放攻击(Replay Attacks)
重放攻击(Replay Attacks) 1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。 2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。 3.重放攻...
2019-01-01 13:15:25
1953
翻译 防火墙类型总结
防火墙是一种网络安全系统,它根据预先确定的安全规则监视和控制进出网络的流量。防火墙通常在可信的内部网络和不可信的外部网络之间建立一个屏障防火墙通常分为网络防火墙或基于主机的防火墙。网络防火墙过滤两个或多个网络之间的流量,并在网络硬件上运行。基于主机的防火墙运行在主机计算机上,控制进出这些机器的网络流量。 第一代防火墙:包过滤器(Packet filters)第一代网络防火墙称为包过...
2019-01-01 12:58:05
1634
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人