随笔分类 - 移动安全
i春秋论坛移动区提供专业的移动应用安、移动数据安全、移动app安全、企业移动安全,移动安全解决方案首选i春秋论坛移动安全区。
摘要:互联网的时代,当我们把攥在手里技术局限在个人,个事的时候,是否我们可以长远的考虑一下,在企业领域这片广阔的疆土上,我们如何发展。答案在这里
阅读全文
摘要:Jenkins-CLI 反序列化代码执行(CVE-2017-1000353),巡风现已支持检测,漏洞检测插件来自社区成员 Dee-Ng。经过验证后我们稍作了修改,已经进行了推送。隔离了外网环境的同学可以手动更新下插件检测。
阅读全文
摘要:何谓越权?越过自己能够行使的权利来行使其他权利,通俗来讲,看了自己不该看到的东西,做了自己不能做的事。
a、GET请求可直接修改URL参数,POST请求只能抓包,通过修改限定订单号的参数值,实现任意订单泄漏、开房记录泄漏,当然不一定是订单存在此漏洞,个人信息、账户详情等各种私密信息都可能存在此漏洞。
b、案例分析:酒店催房处的一处越权,漏洞实例传送门
阅读全文
摘要:近日,Cybellum公司发现了一个0-day漏洞,可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍),多家安全厂商受到DoubleAgent的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和赛门铁克(Norton)
阅读全文
摘要:第一种增加带宽硬抗对于大流量的攻击来说这种方法并不可取,原因么一是太烧钱啦,如果服务器性能不行带宽还没加服务器就可以挂了。再来看第二种也是现在比较多的方法,接入第三方高防或者流量清洗系统,以国内云厂商为例,先说下阿里云默认抗5G,有钱的话可以继续加,对小打小闹的攻击者来说可以防了
阅读全文
摘要:人脑有无限的潜力,一个人的大脑如果完全被开发的话据说可以记住26国语言,4000多本图书的全部内容。全世界最聪明的人——爱因斯坦也仅仅只开发了12%而已,所以别以自己蠢为借口,你要是真的发狠了,你是不是下一个爱因斯坦谁又会知道,坚信一句话,没有人会让你输,除非你不想赢!
阅读全文
摘要:Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好。
阅读全文
摘要:网站攻击主要分为以下几类: (1) sql注入攻击 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(
阅读全文
浙公网安备 33010602011771号