WEB安全新玩法 [2] 防范前端验证绕过

博主头像 用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要 ...

WEB安全新玩法 [1] 业务安全动态加固平台

博主头像 近年来,信息安全体系建设趋于完善,以注入攻击、跨站攻击等为代表的传统 Web 应用层攻击很大程度上得到了缓解。但是,Web 应用的业务功能日益丰富、在线交易活动愈加频繁,新的安全问题也随之呈现:基于 Web 应用所承载的交易特性,某些利用其业务逻辑设计缺陷来构造的针对具体业务的攻击逐渐成为主流,我们 ...

小饼干Cookie的大魅力

博主头像 早期互联网只是用于简单的页面浏览,并没有交互,服务器也无法知道不同的请求是否来自同一个浏览器,不知道某用户上一次做了什么。每次请求都是相互完全独立的,这也是 HTTP 协议无状态特征的表现。这种缺陷显然无法满足交互式 Web 发展的需求,Cookie 作为一种解决这一问题的方案,被当时最强大的网景浏 ...

API安全Checklist

博主头像 API安全Checklist API设计,测试以及发布你的 API 的时候所需要核对的重要安全措施: 身份认证 不要使用 Basic Auth ,请使用标准的认证协议(如 JWT,OAuth)。 不要重新实现 Authentication、token generating 和 password st ...

类编程的WAF(下)

博主头像 一、编程语言的要素 天存信息的iWall3应用防火墙是一种创新式的类编程 WAF,它包含了编程语言的一些基本要素。 1. 变量 iWall3 中广义的变量包括报文变量、环境变量和用户变量:报文变量和环境变量相当于编程语言中的常量或传入的参数,用户变量则是真正编程语言意义上的变量,即用户可以自行创建、 ...

类编程的WAF(上)

博主头像 一、复杂的需求 WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用,其功能和运行环境往往是复杂且千差万别的,这导致即便防御某个特定的攻击方式时,用户需求也可能是细致而多样的。 以最基本的 SQL 注入 (以下简称注入) 为例。注入攻击当然是要防范 ...

网站常见安全风险 — 暴露的CMS

博主头像 网站内容管理系统(CMS) 自诞生之日起,便是网站建设的一个重要领域。CMS 以其丰富多样的功能和简单易用的操作,有效地解决了用户网站建设与信息发布中常见的问题和需求,一直深受众多使用者的青睐。 正因如此,利用 CMS 对网站进行攻击,也就成为黑客的常用手段之一。无需太多复杂的技术手段,只需登录网站 ...

IP子网划分

ip基础 ip网络的架构 ip网络由多个网段构成每个网段对应一个链路。 路由器负责将网段连接起来,适配链路层协议,在网络之间转发数据包。 IP头格式 ip地址格式和表示方法 注释:1、IP地址唯一地标识一台网络设备。2、32位的二进制IP地址常以点分十进制的方式表示。3、IP地址通常分为网络号和主机 ...

TCPIP原理

恢复内容开始 OSI参考模型 osi参考模型结构 对等通信 注释: 每一层都有自己的协议 每一层都利用下层提供的服务与对等层通信 PDU=protocol data unit 协议数据单元 封装和解封装过程 封装:数据要通过网络进行传输,在发送端要从高层,一层一层的向下传送如果一个主机要传送数据到倍 ...

vulhub-structs-s2-001

博主头像 0x00 漏洞原理 类似于服务器模板注入,在输入栏中输入后,服务器会对用{{}} 包围起来的式子进行运算,而且该漏洞是java的漏洞 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败 ...

一枚通过参数污染绕过百度RASP的XSS

博主头像 日常工作过程中,偶然发现一个网站登录页面,在页面返回包中存在一个隐藏参数“mess”,且该页面部署了百度RASP进行防护,本文介绍如何发现隐藏参数以及如何通过参数污染方式造成XSS攻击。涉及信息较为敏感,请各位看官见谅。 一、参数污染 HTTP参数污染,也叫HPP(HTTP Parameter Po ...

常见的DDOS攻击

博主头像 【SYN Flood攻击】原理:***TCP协议-三次握手***1.客户端向服务器发送SYN报文,2.服务器收到SYN报文以后回复一个SYN+ACK报文,表示客户端的请求被接受,ACK表示确认3.客户端收到服务器的SYN+ACK报文,向服务器发送ACK确认报文,三次握手建立成功攻击者向服务器发送大量 ...

运用iGuard防御ADS权限维持

博主头像 权限维持是一门庞大的学问,当攻击者在入侵服务器获得主机权限后,往往会想尽办法隐藏其入侵途径以维持权限。权限维持的一般手段包括构造文件包含漏洞、构造远程任意代码执行漏洞、构造SQL注入点、利用系统自启动后门和隐藏 Webshell等。本文介绍如何利用ADS数据流隐藏Webshell,以及如何利用iGu ...

网页设计与制作(基本步骤)

博主头像 网页设计与制作 一、确定网站主题 网站主题便是你树立的网站所要bai包含的主要内容,一个网站有必要要有一个清晰的主题。特别是对于个人网站,你不可能像归纳网站那样做得内容大而全,一应俱全。你没有这个才干,也没这个精力,所以有必要要找准一个自己最感兴趣内容,做深、做透,办出自己的特征,这样才干给用户留下 ...

sql注入

博主头像 SQL注入定义: SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 注入类型: 当输 ...

DVWA - 操作手册

Dvwa 环境:dvwa + win7 或者 dvwa + win10 工具:BurpSuite、中国菜刀 Dvwa Install SourceCode 安装 DVWA # 源码 - 安装 Dvwa - 运行phpstudy - 将下载好的DVWA文件放在www文件目录下面然后在浏览器打开127. ...

123···22>