安全
关注
分享
扫一扫
文章平均质量分 91
程序员Rocky
这个作者很懒,什么都没留下…
展开
-
2FA双因子验证技术实现原理
随着关注数据安全的意识逐步提升,很多站点都开始强制用户不止使用用户名+密码的形式进行登录,还会逐步引导用户开启2FA多因子验证。 Github就已经强制用户使用2FA多因子验证进行账号的登录,现在阿里云、腾讯云等也逐步往这个方向发展。具体原理你知道吗? ...原创 2024-12-19 21:23:17 · 1063 阅读 · 0 评论 -
Nacos 202407月RCE漏洞(0day)与复现
202407月, 爆出漏洞作者说由于某些原因,特意爆出了Nacos的一个RCE 0day漏洞。Nacos 是一个用于动态服务发现和配置以及服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查,在使用 standalone 模式启动 Nacos 时,为了避免因搭建外置数据库而占用额外的资源...原创 2024-07-31 15:49:32 · 4639 阅读 · 0 评论 -
Web漏洞扫描工具(AWVS、Goby)
开源或者具备有社区版的Web安全漏洞扫描工具找了两款:AWVS、Goby, 使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等,避免安全部门来扫描的时候让我们去整改。 主动做这个事情对我们本身也是有益的...原创 2024-07-23 15:36:20 · 1568 阅读 · 0 评论 -
Golang图片验证码的使用
使用mojocn/base64Captcha库可以简单的生成验证码base64图片信息,方便了我们进行Web开发。如果需要更高级或者详细的使用方式,请查看官方文档。在实现Store存储驱动的时候,还要考虑我们的图片验证码例如访问频率限制、怎么针对有特征的客户端进行限流, 除了验证码有过期时间以外, 如是否有IP访问限流?或者其他防御手段, 这样才能确保我们的后端Redis不会被恶意刷新,导致Redis内存撑爆...原创 2024-05-01 16:25:27 · 1894 阅读 · 1 评论 -
JSON劫持与while(1)
JSON 劫持,也称为“JavaScript 对象表示不法劫持”。当应用程序没有适当地防范此类攻击时,此漏洞允许攻击者从受害者的浏览器中窃取敏感数据。JSON 劫持利用同源策略,这是一种安全措施,可防止网页向与提供网页的域不同的域发出请求。这是通过查询资料找到关于什么"JSON劫持"的解释.这个JSON劫持一般发生与JSONP、CSRF跨站伪造请求有点异曲同工之处...原创 2024-04-25 14:01:36 · 681 阅读 · 0 评论