- 综合排序
- 最热优先
- 最新优先
- 来自专栏kali blog
浅谈Typecho安全与防范
本文简单谈谈Typecho安全相关问题。 注意!文本所有测试均为模拟环境,旨在提出安全相关问题,帮助站长防患于未然。坚决反对一切危害网络安全的行为。 前不久,提到过Typecho相关XXS漏洞。 密码恢复 Typecho目前后台登录,安全防范比较低,没有验证码,密码传输没有加密。 我自己的站,就不打码了 既然没有加密,直接可以用Burp直接恢复。 提权 当用户登录后,接下来便是提权了。 bbskali 4.php 查看生成的代码 cat 4.php 看到乱码,不要慌,复制代码到404文件 连接: weevely http://blog.bbskali.cn/404.php bbskali 安全建议
22610编辑于 2025-07-28 - 来自专栏闪石星曜CyberSecurity
后台的安全防范
我这里做的第一步是做敏感目录扫描(自己的特有字典),跑出一处某程序控制台登入界面(尝试弱口令进入)
72330发布于 2019-09-25 - 来自专栏运维之美
Nginx 安全性能配置 & DDOS 防范
最近看了一些 Nginx 的配置的文章主要和性能有关,包括一些安全上的配置,并不对所有设备适用,总结下来觉得有用的可以自取,另外是加深自己对服务器的理解。其中有一些有关 DDOS 的配置。 内容参考了两篇文章和自己的一些安全理解。 有时是一个容易联想到攻击的值 根据以上的相关特征可以做以下配置来抵抗 DDOS 攻击 限制请求速度 limit_req_zone $binary_remote_addr zone=one:10m rate=2/
1.7K20发布于 2019-08-02 Hydra-SSH 漏洞安全防范
Hydra(九头蛇)是网络安全领域一款非常强大的在线暴力破解工具,由著名的THC(The Hacker's Choice)组织开发。 它支持对各种网络服务协议(如SSH、FTP、HTTP、RDP等)进行认证信息的爆破攻击,常被安全人员用于授权下的渗透测试和系统弱口令检测。 过高的线程数 (-t 64) 会导致:触发防御:迅速被 fail2ban、denyhosts 等安全工具封禁 IP。连接被拒:SSH 守护进程 (sshd) 达到最大连接数,拒绝新连接。 隐匿性与规避检测如果你的测试是授权测试,但仍希望模拟真实攻击者或避免触发警报,可以这样做:降低频率:使用 -t 2 或 -t 1 单线程/低线程。速度极慢,但极其隐蔽,很难触发基于频率的告警。
53810编辑于 2025-09-13- 来自专栏云计算D1net
如何防范最大的云安全威胁
研究表明,企业的内部员工在网络安全方面所犯的错误仍然是巨大的云安全风险,因此需要对员工进行网络安全培训,以免受自身侵害。 (2)云计算供应商服务更新很快 由于按需提供云计算服务,并且云计算供应商不断改进他们的云计算服务,包括安全性,因此安全设置的工作方式经常发生变化。 如何防范云安全错误 企业需要采取哪些措施来避免云安全配置错误和其他可能导致违规的错误,其责任在于客户。 然而,云计算供应商还需要意识到他们在解决方案中扮演的角色。 (2)自动配置检查和测试 一个更好的解决方案是使用自动安全检查和审计来发现设置和其他配置的问题,从而将工作人员从流程中完全移除。 云安全最大的挑战是什么? 如今,企业的首席信息安全官和首席信息官一直担忧网络安全。然而,围绕系统安全的人为错误是一个更大的问题。
66210编辑于 2022-09-02 - 来自专栏天存信息的专栏
WEB安全新玩法 防范批量注册
防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。 ----- 以某电商网站为例,其用户注册功能存在被攻击者利用的可能。 在此将模拟攻击者批量注册的行为,并利用 iFlow 使用多种手段来防范攻击。 [图2] 脚本运行完毕后,可以看到大量用户被注册,均来自于攻击者准备的用户文件。 这一手段可以防范重放攻击。 我们在上述例子中看到:在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,可以成为 Web 应用的虚拟补丁。(张戈 | 天存信息)
1.5K20发布于 2021-08-03 - 来自专栏云计算D1net
如何防范私有云中的安全风险
公有云也是企业的一种选择,但私有云被认为是一种更安全的选择。私有云具有额外的安全性,并且有各种云计算资源驻留在其数据中心中。 随着安全技术的进步,私有云也面临着许多关键的安全风险。 IT管理员不知道用户是否是网络安全专家,或者是否可以遵守云安全的最佳实践。管理员还需要创建符合企业安全要求的此类虚拟机。 创建虚拟机模板时,管理员需要使模板保持最新以及企业的安全性。 某些安全功能还可以禁用某些安全功能。例如,恶意的管理员可以修改不再需要任何密码的组策略或关闭Windows的防火墙。 数据丢失风险 私有云中最关键的安全风险之一是丢失未备份的数据。 无论是公有云还是私有云,都存在一定的安全风险,但以上已经简要讨论了私有云所涉及的安全风险。 每件事都有一个解决方案,通过采取安全措施,这些安全风险也很容易重叠。 但是,如果不解决安全问题,企业可能会在安全漏洞或数据丢失方面面临一些更大的问题。 企业应始终采取安全措施,因为这些事情不能无人看管。
1.6K20编辑于 2022-09-02 - 来自专栏前端技术开发
【云安全最佳实践】WEB安全常见攻击与防范
跨站脚本攻击有可能造成以下影响利用虚假输入表单骗取用户个人信息用脚本窃取用户的cookie值,被害者在不知情况的下,帮助攻击者发送恶意请求防范手册HEAD ctx.set('X-XSS-Protection ',0) //禁止XSS过滤内容安全策略(CSP,Content Security Policy)是一个附加的安全层,用于帮助检测和缓解那些类型的攻击,包括跨站脚本(XSS)和数据注入等攻击,这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途 就可以防止网页的cookie客户端恶意JavaScript窃取,保护用cookie信息 设置方法:response.addHeader('Set-Cookie','uid=12;path=/; HttpOnly')2. 危害在未授权情况下,非法访问数据库信息防范在代码层,不准出现sql语句上线测试,需要使用sql自动注入工具进行所有的页面sql注入测试在web输入参数处,对所有的参数做sql转义4.DDOSDDOS不是一种攻击 常见的WEB安全防范密码安全人机验证 与 验证码HTTPS配置 Session管理 浏览器安全控制
13K2341编辑于 2022-10-31 - 来自专栏AI人工智能
Agent安全机制:权限控制与风险防范
Agent安全机制:权限控制与风险防范 Hello,我是摘星! 在彩虹般绚烂的技术栈中,我是那个永不停歇的色彩收集者。 每一个优化都是我培育的花朵,每一个特性都是我放飞的蝴蝶。 1 Agent零信任安全架构图2. "产出": ["分析报告", "改进建议", "流程更新", "知识库"] } } }5.2 事件响应流程图图2 "业务连续性"] }, "SOC 2": { "全称": "服务组织控制报告", 5年合规官员区块链存储系统操作配置变更、系统维护2年系统管理员时间戳服务7.
76210编辑于 2025-08-06 - 来自专栏天存信息的专栏
WEB安全新玩法 防范前端验证绕过
iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的攻击难度。 下图显示的是仅使用浏览器自带工具来修改元素: [图2] 如此,攻击者无需实际拖动滑动条验证,同样能够发出登录信息。 HTTP 协议层面交互如下: [表2] 二、iFlow虚拟补丁后的网站 我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 Web 攻击者的 HTTP 协议交互过程如下: [表4] 2.3 代码 iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。 考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。
2.2K10发布于 2021-06-23 CUPP针对性字典安全防范
CUPP 会添加2位到4位的数字串。Leet mode? (i.e. leet = 1337) (y/n): 是否启用 Leet 语变换?策略:建议选 y。
26810编辑于 2025-09-13- 来自专栏FreeBuf
等级保护主机安全:CentOS入侵防范(一)
一、说明 本篇文章主要想说一说我对入侵防范中前3个测评项的理解(对于centos系统而言),如果大家有其他的看法或者思路也可以在回复中提出,我也跟着学习学习。 也就是说: 此文件包含用于允许或拒绝与以下网络服务的连接: 1.使用了tcp包装库 2.或者通过启用了TCP_wrappers的xinetd启动。 .1 (0x00007f041663a000) libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f0416403000) libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f04161e8000) libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007f0415fa4000 入侵防范的剩余测评项,也到下篇文章一起说。 *本文原创作者:起于凡而非于凡,本文属于FreeBuf原创奖励计划,未经许可禁止转载 ?
1.7K20发布于 2019-09-17 - 来自专栏grain先森
前端面试题-安全防范
这一篇文章我们将来学习安全防范这一块的知识点。总的来说安全是很复杂的一个领域,不可能通过一篇文章就学习完。在这里,我们主要学习常见的一些安全问题及如何防范的内容。 在当下,其实安全问题对前端开发已经越来越重要,已经逐渐成为前端开发必备的技能了。 ? 前端面试题 1. XSS 涉及面试题:什么是 XSS 攻击?如何防范 XSS 攻击?什么是 CSP? CSP兼容性 2. CSRF 涉及面试题:什么是 CSRF 攻击?如何防范 CSRF 攻击? CSRF 中文名为跨站请求伪造。 如何防范中间人攻击? 中间人攻击是攻击方同时与服务端和客户端建立起了连接,并让对方认为连接是安全的,但是实际上整个通信过程都被攻击者控制了。攻击者不仅能获得双方的通信信息,还能修改通信信息。 小结 以上就是我们平时开发过程中一些常见的前端安全方面的知识以及我们应该如何防御这些攻击。但是安全的领域相当大,这些内容只是沧海一粟,如果大家对于安全有兴趣的话,可以去网上多进行拓展学习,深入原理。
1.4K40发布于 2019-03-28 - 来自专栏2024年网络安全宣传周
网络安全宣传周 - 病毒防范
1.1 网络安全病毒防范势在必行网络病毒对个人、企业和社会都有着严重的危害。 二、市场态势剖析2.1 网络安全病毒防范的宏观需求2.1.1 数字化时代的安全刚需在数字化进程中,网络病毒防范对各领域都至关重要。 五、监管政策5.1 国内网络安全政策解读5.1.1 政策法规对病毒防范的要求《中华人民共和国网络安全法》明确规定,网络运营者应采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施,保障网络安全、稳定运行 在网络病毒防范方面,网信部门主要职责包括制定网络安全战略,明确网络病毒防范的基本要求和主要目标,提出重点领域的网络安全政策和工作任务。 同时,我国应进一步完善网络安全立法体系,明确各部门在网络病毒防范中的职责和权限。加强网络安全战略的制定和实施,确立网络病毒防范的具体目标和任务。
58210编辑于 2024-11-02 TCPIP协议常见安全风险及防范办法
造成影响:(1)试交换机无法正常工作(MAC表满)(2)网络中流量增大防范策略:1.配置静态MAC转化表2.限定交换机接入的端口的mac数量。 造成影响:ARP欺骗攻击通过伪造ARP数据包来破坏网络的正常通信防范策略:1、使用防火墙或其它安全设备进行过滤,阻止伪造的ARP数据包通过。 二.网络层的安全问题及防范1.IP欺骗攻击攻击原理:IP地址欺骗是指黑客使用一台计算机上网,但借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。 三.传输层安全问题及防范1.TCP欺骗攻击原理:TCP协议是一种基于IP协议而建立的一条面向连接的、可靠的字节流。 2、端口混淆技术采用端口混淆技术是一种有效的防范手段。通过修改默认端口号,使得攻击者难以准确识别目标系统的开放端口,从而增加攻击的难度。
2.4K10编辑于 2024-03-25- 来自专栏《C++与 AI:个人经验分享合集》
C++代码安全:防范漏洞,守护程序稳定
然而,这种强大也伴随着风险,代码安全问题如影随形,尤其是缓冲区溢出、内存访问越界等安全漏洞,可能给程序带来严重的后果。本文将深入探讨 C++的代码安全问题,并提出有效的防范措施。 2. 防范措施 (1)输入验证:对用户输入进行严格的验证,确保输入的数据符合预期的长度和格式。可以使用正则表达式、输入长度限制等方法来进行输入验证。 (2)使用安全的函数:在 C++中,有一些安全的函数可以替代不安全的函数。例如,可以使用 strncpy、strncat 等函数来避免缓冲区溢出。 2. 防范措施 (1)指针初始化:确保指针在使用前被正确初始化。可以将指针初始化为 nullptr 或指向合法的内存区域。 (2)指针解引用检查:在解引用指针之前,检查指针是否为 nullptr。 缓冲区溢出、内存访问越界等安全漏洞可能给程序带来严重的后果,甚至危及系统的安全。为了避免这些安全漏洞,开发人员应该采取有效的防范措施,如输入验证、使用安全的函数、进行边界检查、使用容器类和智能指针等。
60510编辑于 2024-12-09 - 来自专栏天存信息的专栏
WEB安全新玩法 防范竞争条件支付漏洞
本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。 [图2] HTTP 交互流程如下: [表1] 二、iFlow虚拟补丁后的网站 我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 HTTP 协议交互过程如下: [表2] 代码 iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。 考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。 用 W2 语言实现上述虚拟补丁的代码如下: { "if": [ "REQUEST_FILENAME == '/race_condition/pay.php'", "REQUEST_METHOD
1.3K20发布于 2021-07-30 - 来自专栏python
Python安全编程面试:常见安全漏洞与防范措施
在Python安全编程的面试过程中,对常见安全漏洞的认知及其防范措施的理解与应用能力至关重要。本文将深入浅出地剖析这些关键点,探讨面试中常见的问题、易错点及应对策略,并通过代码示例进一步加深理解。 = "SELECT * FROM users WHERE username=%s AND password=%s"cursor.execute(query, (username, password))2. 易错点与避免策略:硬编码凭据:妥善保管密钥、密码等敏感信息,使用环境变量、密钥管理服务等安全方式存储。过度信任会话:定期更新会话标识(如session ID),实施会话过期策略,防范会话劫持。5. 密码安全常见问题:理解密码哈希与加盐:知晓为何需要使用密码哈希而非明文存储,理解加盐的重要性。选择合适的哈希算法:如bcrypt、scrypt、Argon2等。 综上所述,理解和掌握以上Python安全编程中的常见漏洞及其防范措施,是提升面试成功率的关键。面试者应具备扎实的安全意识,能够在实际编程中有效预防和抵御各类安全威胁。
47010编辑于 2024-04-22 - 来自专栏C++干货基地
Linux安全防护:加固系统安全与防范网络攻击
然而,随着网络威胁的日益增多,保障Linux系统的安全至关重要。本文将深入探讨Linux系统安全加固的方法与防范网络攻击的策略。 Linux系统安全基础概念 Linux系统安全涵盖了多个层面,包括用户权限、文件系统权限、网络访问控制等。理解这些基础概念是进行安全加固的前提。 系统更新与补丁管理 保持系统更新是防范安全漏洞的关键。Linux发行版通常提供了包管理工具来更新系统。 入侵检测与防范 使用入侵检测系统(IDS)和入侵防范系统(IPS)可以实时监控系统活动。 总结与展望 Linux系统安全是一个持续的过程,需要不断更新知识和策略。通过上述方法,可以有效加固Linux系统安全,防范网络攻击。未来,随着技术的发展,Linux安全防护将面临新的挑战和机遇。
44800编辑于 2025-05-31 - 来自专栏Java与Android技术栈
Android App安全防范措施的小结
总结 这些措施也只是冰山一角,因为安全一直是永恒的话题。我们还可以考虑使用加壳、反动态调试等等。
77520发布于 2018-08-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号