无论我们在使用电脑,还是使用VPS/服务器的时候,最为担心的就是服务器是否有安全问题,尤其是网站服务器再遭受攻击的时候如何得到防护。对于大 部分站长用户来说,我们可能只会使用基础的环境,如果真遇到问题的...
一、sql注入原理 注入攻击的本质就是把用户输入的数据当作代码来执行。所以注入攻击有两个必要条件 1.用户能够控制的输入。 2.原本程序要执行的代码,拼接了用户输入的数据。 二、sql注入分类 按照请求方法可以分...
WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,...
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 介绍 本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御XSS攻击...
什么是DDoS攻击? DDoS攻击就是分布式的拒绝服务攻击,DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,随着计算机与网络技术的发展,DoS攻击的困难程度加大了...
Redis未授权访问漏洞的利用及防护 什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略,比如添加防火墙规则、避免其他非信任来源IP访问等,这样会使Redis服务完...
目录 一、前言 二、SQL 注入漏洞原理 1、概述 2、漏洞复现 3、修复建议 三、Mybatis 框架简介 1、参数符号的两种方式 2、漏洞复现 四、Mybatis 框架下的 SQL 注入问题及防护方法 1、模糊查询 2、带有 IN 谓词的查...
背景 安全是软件设计的第二个非功能性需求,一般是当软件出现安全问题的时候才会得到重视。 最明显的比如 数据库用户信息和密码泄漏等; 数据加解密技术 单向加密 md5+salt值, 这个是软件设计中使用的比较多的...
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中...
摘 要 本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云、其它公有云或者IDC)进行Web完全防护的全过程。该指南包括如下内容: 1 准备环境 1.1 在京东云上准备Web网站 1.2 ...
本文实例讲述了laravel框架中表单请求类型和csrf防护。分享给大家供大家参考,具体如下: laravel中为我们提供了绑定不同http请求类型的函数。 route::get('/test', function () {}); route::post('/test', func...
今天用极验来实验一波 极验是国内比较有名的身份验证,反爬虫的产品。其反爬虫的手段较多,大概分为: pencil、beeline、click、slide、voice 等多种验证方式,尤其slide方式是基于大数据的智能行为验证,用户体验...
一、前言 19年初,网上公开了2个thinkphp5的rce漏洞,漏洞非常好用,导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量,本文主要从流量角度简要分...
一、csrf csrf的全称是(cross site request forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。csrf实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患...
thinkphp rce漏洞和扫描流量 漏洞原理回顾 5.0.x版本漏洞 原理在于thinkphp处理请求的关键类为request(thinkphp/library/think/request.php),该类可以实现对http请求的一些设置 thinkphp支持配置“表单伪装变量...
--> (此图片来源于网络,如有侵权,请联系删除! ) 织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率...