现在的客户端界面越做越好看了,很多用到了web技术,轻便、界面炫、更新快,但是这样web的缺点也就出来了,就是不稳定,容易受用户等因素影响。 因为很多客户端web是内嵌的,内部通信,所以很多对安全的考...
并发请求导致的业务处理安全风险及解决方案
0x00 背景 一段简单的购买程序,看起来没有任何问题。 剩余余额、商品库存、购买权限等判断面面俱到,从头到脚包装的严严实实。 但是为何人一多就频频漏点呐?何解? 0x01 问题分析 还是以商城购买为...
WAF指纹探测及识别技术
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HT...
[安全科普]SSRF攻击实例解析
ssrf攻击概述 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为...
web安全 | 绕过waf的14种方法及相关工具介绍
什么是WAFWeb应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,旨在检测和阻止Web应用程序上的网络攻击。WAF作用于OSI模型的应用层。渗透测试时...
waf绕过的14种方法总结及工具介绍
什么是WAFWeb应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,旨在检测和阻止Web应用程序上的网络攻击。WAF作用于OSI模型的应用层。渗透测试时...
看一名Java开发人员以红队思维五分钟审计一套代码(3)
文章来源于;https://www.freebuf.com/articles/web/253361.html作者授权转载目前为止,开发审计系列作者已发出两篇文章,平均两天推出一篇,希望读者持续跟进。也...
【分享】基于CloudFront的Web匿名代理池
背景fuzz绕过、手注、盲打等等被waf拦截,每个男孩都想拥有一个匿名且延迟优质的代理池......研究那么从经济、匿名性和IP资源量、访问延迟等考虑,好像只能有CDN成为我这个懒人的首要选择。可惜C...
IPv6改造后容易被黑客攻击?推荐一个超火的Web端安全防护神器
Web系统承载着各企事业单位的门户、注册登录、业务执行等职责,很容易遭受各种类型的恶意流量攻击,影响应用可用性、损害安全性或消耗过多的资源,UCloud Web应用防火墙UWAF则可以有效保护用户的 ...
某HW行动中的一次渗透测试
来源https://xz.aliyun.com/t/8493在某次HW行动中对一个学校的资产进行渗透测试。在其一个智慧校园管理系统发现了一处sql注入。可以看到可以选择以什么身份登陆,而且选择学生登陆...
蓝队溯源与反制
本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。一、蜜罐反制(1)商用型近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。利用蜜罐可以做到:获取...
Web服务器常见8种安全漏洞
Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本...
125