xzb0606xzb-CSDN博客

转载 Python安全编码与代码审计

1 前言现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除。2 XSS未对输入和输出做过滤，场景：def xss_test(reque

2015-10-03 06:54:29 794

转载技术分享：窃密型WebShell检测方法

1. 近年来网站被植入后门等隐蔽性攻击呈逐年增长态势，国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万个网站通过境外被植入后门，较2012年增长62.1%。黑客在利用WEB应用漏洞攻击成功后，通常会利用植入 Webshell后门实现对应用系统篡改、对操作系统控制以及对数据库中敏感数据的窃取。攻击者通过浏览器或

2015-10-03 06:53:02 568

翻译主流Web模板安全漏洞导致沙箱为恶意人士所破

安全研究人员警告称，一项新型高危网络安全漏洞已经出现，其拥有引发各类隐患的恐怖能力。Web应用程序目前广泛使用模板引擎，旨在通过网页及电子邮件提供动态数据。这项技术同时采用一套服务器端沙箱环境。然而由于大部分普遍实践允许非受信用户对模板进行编辑，因此带来了一系列非常严重的安全风险，而模板系统的说明文档当中并不一定对此作出了强调，Web安全企业PortSwigger公司警告称。允许非

2015-10-03 06:49:00 492

翻译 SQL Server 2005/2008 日志文件删除

SQL2005:Backup Log DNName with no_log -- DNName : 数据库名godump transaction DNName with no_loggoUSE DNNameDBCC SHRINKFILE (2)GoSQL2008:-- 在SQL2008中清除日志就必须在简单模式下进行，等清除动作完毕再调回到完全模式。USE [master]GO

2015-09-20 12:17:21 262

原创使用xshell进行导出oracle的dmp文件，加查询条件

最近做了一个导出的工作，在用xshell过程中，发现在自己的电脑上用cmd命令导出的dmp文件，在用xshell工具导出时报错。cmd上执行的命令：exp ***/***@oracle file=d:/tbissamt.dmp tables=(tbissamt) query=/"where trans_date>'20150814'/"xshell上执行的命令：exp ***/***@or

2015-09-20 12:13:47 2288

翻译 SQL基础知识归纳总结

SQL基础知识归纳总结，有需要的朋友可以参考下。1、SQL语句主要分类（1）DDL：Data Definition Languages，数据定义语言，常用的语句关键字主要包括create、drop、alter等；（2）DML：Data Manipulation Language，数据操作语句，常用的语句关键字主要包括insert、delete、update和select等；（3

2015-09-20 12:11:40 266

Linux是一种类Unix的操作系统。从理论上讲，Unix本身的设计并没有什么重大的安全缺陷。多年来，绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中，所以大部分Unix厂商都声称有能力解决这些问题，提供安全的Unix操作系统。但Linux有些不同，因为它不属于某一家厂商，没有厂商宣称对它提供安全保证，因此用户只有自己解决安全问题。Linux不论在功能上、价格上或性能上都有很多优点，

2015-09-20 12:08:31 516

转载如何加强企业Linux系统安全

黑客对Linux的入侵攻击和Linux系统的安全防护两个方面内容将是我们为大家阐述的主题，从而使大家了解如何加强Linux系统在安全方面的管理。防止黑客的入侵Linux主机在谈黑客入侵方面的安全管理之前，简单介绍一些黑客攻击Linux主机的主要途径和惯用手法，让大家对黑客攻击的途径和手法有所了解。这样才能更好地防患于未然，做好安全防范。要阻止黑客蓄意的入侵，可以减

2015-09-19 19:57:04 278

翻译网站主机安全之服务器的物理安全

服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素，因为在选择IDC时你自己会作出决策。在这里着重强调的是，有些机房提供专门的机柜存放服务器，而有些机房只提供机架。所谓机柜，就是类似于家里的橱柜那样的铁柜子，

2015-09-19 16:49:05 744

翻译十大步骤助您打造安全个人Web服务器

一、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelG

2015-09-19 16:44:11 280

转载如何在Linux上最妥善地管理加密密钥?

存储SSH加密密钥和牢记密码可能是一件让人很头痛的事儿。不过遗憾的是，在如今恶意黑客和漏洞猖獗的年头，做好基本的安全防范措施是必不可少的做法。对于许多普通用户来说，这就意味着只是牢记密码，可能还要找到一款存储密码的优秀软件，因为我们提醒普通用户不要每个网站都使用一样的密码。但是对于从事不同IT行业领域的我们这些人来说，我们就需要在此基础上更进一步。我们还要处理SSH密钥之类的加密密钥，而不仅仅是密

2015-09-18 06:19:12 445

转载数据加密是新形势下信息安全措施的必然选项

黑客的“数据盛宴”时代开启近年来，信息安全整体威胁形势发生了巨大的变化：一方面，主要攻击目标从“系统”转向了“数据”，攻击的主要驱动力从“英雄主义”转向了“利益驱动”，数据泄密事件已经成为公开曝光的安全事件主体；另一方面，云计算、移动计算以及互联网+等新一代信息技术的应用推广，使得更多应用系统及数据接入互联网，网络边界被打破，在“众攻”模式下，各种应用级及系统级漏洞被不断发掘及充分利用，传统的

2015-09-18 06:17:09 387

转载揭秘知名网站如何收集个人数据及应对措施

你有没有想过社交网络网站为何对你和你的偏好了如指掌?像Facebook和LinkedIn这些社交媒体网站经常会收集用户众多数据，拿来与广告商共享，向用户投放更有针对性的广告。面对这些问题，您并非完全束手无策，本文详细介绍了从个人电脑或移动设备访问社交媒体网站时幕后所发生的一切以及用户可以采取的一些措施来阻止这种行为。OAuth揭秘知名网站如何收集个人数据及应对措施

2015-09-18 06:15:39 399

转载网站后门的防范方法以及安全配置

后门防范是一个网站不能忽视的关键点，因为，对于为之的攻击，我们经常会感到束手无策。1.后门防范基本功首先要关闭本机不用的端口或只允许指定的端口访问；其次要使用专杀木马的软件，为了有效地防范木马后门；第三是要学会对进程操作，时时注意系统运行状况，看看是否有一些不明进程正运行并及时地将不明进程终止掉。2.安全配置Web服务器如果公司或企业建立了主页，该如何保证自己的Web服务器的安全性

2015-09-14 10:00:48 1671

转载 Web应用与Web应用防火墙之网络安全产品追述

网络安全产品之防火墙(FireWall)防火墙是最早采用互联网安全防护产品。但是在应用过程中逐渐发现基于网络端口防护和包过滤防护技术的防火墙产品无法有效的对应用安全进行拦截(在Web应用方面由其突出)。但防火墙产品目前依然未退出安全市场，反而因为其强大的数据转发能力、防攻击能力和灵活的安全策略设置功能被越来越多的运用在企业内网隔离、安全区域划分和网络地址转换(NAT)之中。网络安全产品之入

2015-09-11 17:41:58 819

xzb0606xzb的博客