之所以推荐使用HTMLPurifier,是因为在刚刚过去的年度地区性网络安全攻防演练中,我这边的两套PHP开发的系统面对WEB输入攻击,使用HTMLPurifier与否的遭遇是冰火两重天。这两套系统都...
09月05日5 views评论白名单
黑名单
PHP应对WEB输入攻击,必须应用HTMLPurifier
09月05日5 views评论白名单
黑名单
09月05日5 views评论白名单
黑名单
导出自己的渣浪黑名单
在PC上用Chrome访问https://weibo.com/按F12,在Console中贴入如下代码,回车执行。不必理会中间输出的各种信息,执行结束时,最后有一个大数组,右键"Copy object...
08月09日安全闲碎22 views评论ms
黑名单
开发高并发 高扩展的ai WAF尝试
针对上次写的项目的痛点进行了改进,下面回顾下:python服务器和go相当于是串行的,也就是说waf掉了整个业务就掉了完善业务,加入用户验证waf防护的太简单,需要加模块暂时想到了以下解决方式:go服...
08月07日10 views评论攻击行为
黑名单
【技术分享】OPPO应用分发业务黑灰产对抗实践
前言OPPO应用分发业务存在大量刷量、刷榜等现象。黑灰产的作弊行为,破坏平台生态,损害用户体验。OPPO安全与隐私团队一直对上述风险进行识别和对抗。整个对抗的过程经历专家规则风控、画像风控、算法参与风...
07月31日39 views评论黑名单
黑灰产
2023HVV 某大厂二面review
作者:Novatamoffat,转载于freebuf。原文地址:https://www.freebuf.com/jobs/366372.html1、内存马你怎么查杀如果发现了一些内存webshell的...
07月05日66 views评论fastjson
shiro
一次白名单绕过分析
0X0 前言 文件上传获取服务器权限,一般分为黑名单,以及白名单上传至于是否解析这就是后话了,其中黑名单,见名知其意不允许上传的文件后缀,主要表现于服务器不允许上传在黑名单数组内的后缀文件,主要探测手...
07月04日19 views评论服务器
白名单
护网hvv 2023某大厂二面review
仅参考,答案自行斟酌 一、内存马你怎么查杀 如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理, 列出一个排查思路—— 1、如果是jsp注入,日志中排...
07月03日安全职场76 views评论shiro
加密
base64的天坑
base64编码补位的坑,导致数据验证被绕过,也绕过了系统黑名单的检测。背景突然,测试人员找上我,说篡改某对象ID的值会绕过系统的黑名单检测!我非常不相信,因为该对象ID生成有随机因素,而且它的校验也...
06月16日CTF专场22 views评论origin
黑名单
hw面试
黑名单绕过 -- Ruoyi-All(若依)
一、工具介绍 前几天审的若依的后台定时任务黑名单绕过漏洞,整合了一个小工具,提供了几个功能: 1、低版本直接snakeyaml rce 2、高版本利用jdbcTemplate执行sql语句,在 。师傅...
05月31日163 views评论rce
sql语句
AI换脸诈骗猛增;黑白名单优缺点及实践 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 214期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您...
05月29日19 views评论恶意软件
白名单
Weblogic安全漫谈(四)
黑名单机制必然会推动两种研究方向的发展:一是挖掘不在黑名单的新组件,是为绕过规则;二是发掘检查的盲区,是为绕过逻辑。CVE-2020-14756二次反序列化具有对抗检查逻辑的天生丽质,在CVE-201...
04月17日30 views评论方法
黑名单
7