- 综合排序
- 最热优先
- 最新优先
- 来自专栏jtti
Jtti:WAF对API滥用的防护效果如何?
Web应用防火墙(WAF)对API滥用的防护效果是显著的,能够有效减少恶意调用和攻击风险。以下是WAF在防止API滥用方面的主要功能和效果:1. API自动发现与防护WAF可以自动发现业务API,并根据预设规则对API请求进行检查和监控。通过API防护策略,WAF能够识别并拦截异常请求,确保业务安全。2. 速率限制与流量控制WAF支持对API调用频率进行限制,防止恶意流量和拒绝服务攻击(DoS)。通过设置速率限制,WAF可以控制客户端在一定时间内的API调用次数,从而减少API被滥用的可能性。4. 人机识别与二次验证在敏感API调用前,WAF可以进行人机识别(如验证码)或二次验证(如2FA/MFA),确保请求来自合法用户。 总结WAF在防止API滥用方面具有强大的防护能力,能够有效减少恶意调用和攻击风险。通过参数校验、速率限制、身份认证、敏感信息保护等机制,WAF可以为API提供全方位的安全保护。
40510编辑于 2025-02-13 - 来自专栏跟着asong学Golang
请勿滥用goroutine
goroutine就是G-P-M调度模型中的G,我们可以把goroutine看成是一种协程,创建goroutine也是有开销的,但是开销很小,初始只需要2-4k的栈空间,当goroutine数量越来越大时 context.WithCancel(context.Background()) go Speak(ctx) time.Sleep(10*time.Second) cancel() time.Sleep(2 // 同时运行的goroutine上限 Weight = 1 // 信号量的权重 ) func main() { names := []string{ "asong1", "asong2" func(name string) { sem.Acquire(context.Background(), Weight) fmt.Println(name) time.Sleep(2 wg.Done() ch <- true // 发送信号 fmt.Printf("%d 我在干活 at time %d\n",num,time.Now().Unix()) time.Sleep(2
67312编辑于 2022-07-11 - 来自专栏大数据文摘
Facebook数据被滥用?8个视频案例教你用好Facebook Graph API
大数据文摘作品 编译:Aileen 过去的一个周末,社交网络Facebook因为用户数据被第三方API滥用帮助美国大选的事情上了热搜。 有人认为作为坐拥海量用户数据的网站在获得巨大收益的同时,理应预想到数据被滥用的可能并作出防范措施,在事情发生之后也应该更积极的面对而不是回避。 这些视频将向你展示如何做基本的分析,例如: 从Facebook下载数据 从json转换为更方便的数据结构 处理Graph API中的日期变量和其他数据 第1课:介绍和了解Graph API 在本视频中, 我将向您介绍GRAPH API,我将使用GRAPH API Explorer并向您展示一些示例请求。 第2课:下载并保存Facebook数据 在本视频中,我将向您展示如何从Facebook页面或Facebook群组下载并保存所有数据,并记住某些要点。
1.9K20发布于 2018-05-23 - 来自专栏紫禁玄科
反域名的滥用
随着互联网的快速发展,网络逐渐成为人们生活的必需品,然而网络钓鱼、色情网站、网络赌博等互联网滥用信息也随之诞生,且在巨大利益的驱使下,不良应用相关技术不断演进以规避监管。 经过多年积累,CNNIC在互联网滥用信息检测领域已具备良好的数据基础、技术储备和处置能力。
85110编辑于 2022-03-24 - 来自专栏云霄雨霁
Jalangi2 API
MyAnalysis /user/ ksen / Dropbox / jalangi2 / src / js /运行/ analysisCallbackTemplate。 js,第101行 这个文件是编写定制的Jalangi 2分析的模板。简单地复制这个文件并重新编写您需要在分析中实现的回调。其他回调应该从文件中删除。 在以下方法中(也称为回调)可以选择不返回任何东西。 Jalangi 2为运行时加载的每个JavaScript脚本分配了一个唯一的id,称为sid。J $.smap将每个sid映射到一个对象,称为iids,其中包含了id为sid的脚本的源映射信息。 result,isOpAssign,isSwitchCaseComparison,isComputed){Object | undefined} /Users/ksen/Dropbox/jalangi2/ ,right,isOpAssign,isSwitchCaseComparison,isComputed){Object | undefined} /Users/ksen/Dropbox/jalangi2/
1.4K00发布于 2018-05-30 - 来自专栏python3
ansible python api 2
最近想利用python来调用anbile来实现一些功能,发现ansible的api已经升级到了2.0,使用上比以前复杂了许多。 utilizing the ``json`` callback plugin or writing your own custom callback plugin """ def v2_ "stdout_lines": [ "Sat Nov 5 21:48:38 CST 2016" ] } } 指定单台执行命令: >>> test2 961 908 \nSwap: 4047 3 4044 " } } 这里可以从输出中取到输出结果: >>> stdout = test2[ (已解决,参考更改过的exec_ansible脚本) -------后续更新--------------- 注: 新版本的api相关模块已经修改,故使用方法上也需要整改,本文档的例子已更新api
2.2K10发布于 2020-01-06 - 来自专栏MasiMaro 的技术博文
WinSock2 API
---- title: WinSock2 API tags: [WinSock, 网络编程, WinSock2.0 API, 动态加载, WinSock 异步函数] date: 2018-07-21 在Winsock中为此而专门提供了一个高效传输文件的API——TransmitFile。 API。 要加载WinSock API,首先需要将第二个控制码参数设置为SIO_GET_EXTENSION_FUNCTION_POINTER,表示获取扩展API的指针。 ,利用这个SOCKET,这个函数以及它返回的API真正做到了与协议无关。
1.4K10发布于 2018-08-31 - 来自专栏为数不多的Android技巧
请不要滥用SharedPreference
SharedPreference是Android上一种非常易用的轻量级存储方式,由于其API及其友好,得到了很多很多开发者的青睐。 File jsonFile = new File(context.getFilesDir().getParent() + File.separator + SP_DIR_NAME, "skin_beta2. getSharedPreferences("test", MODE_PRIVATE); sp.edit().putString("test1", "sss").apply(); sp.edit().putString("test2" 保证了在API 11以前的系统上,如果sp已经被读取进内存,再次获取这个sp的时候,如果有这个flag,会重新读一遍文件,仅此而已!所以,如果仰仗这个Flag做跨进程存取,简直就是丢人现眼。
1.7K40发布于 2018-09-05 - 来自专栏Java架构师历程
2、使用 API 网关
例如,图 2-1 展示了在 Amazon 的 Android 移动应用中滚动产品信息时所看到的内容。 ? 这是一个智能手机应用,产品详细信息页面展示了许多信息。 API 网关封装了内部系统架构,并针对每个客户端提供一个定制 API。它还可用于认证、监控、负载均衡、缓存和静态响应处理。 图 2-3 展示了 API 通常如何整合架构 ? API 还可以为每个客户端提供一个定制 API。它通常会为移动客户端暴露一个粗粒度的 API。例如,考虑一下产品详细信息场景。API 网关可以提供一个端点 /productdetails? productid=xxx,如图 2-3 所示,一个使用了 API 网关的微服务。允许移动客户端通过一个单独的请求来检索所有产品详细信息。 如今,他们使用了 API 网关,通过运行特定设备适配代码来为每个设备提供一个定制 API。 2.4、API 网关的优点与缺点 正如您所料,使用 API 网关同样存在好处与坏处。
2K41发布于 2018-09-26 - 来自专栏Khan安全团队
滥用反向代理,第 2 部分:内部访问 核 代理人 研究
介绍 如第 1 部分:滥用反向代理:元数据中所示,开放代理可以允许攻击者访问云元数据 API 服务。然而,即使没有可用的元数据服务,开放代理也可能成为攻击者的福音。 在大多数安全扫描程序中,开放代理检查执行基本测试以确定它们是否可以以某种明显的方式被滥用——主要是通过连接到一个通用或自定义域名。 开放代理:互联网 开放式 Internet 代理可能允许攻击者通过使用开放式代理隐藏流量的原始来源,以无意的方式滥用服务。这可能因多种原因被滥用,包括 DOS 攻击、垃圾邮件、扫描或其他情况。 测试的重要注意事项 在这种性质中滥用代理时,请务必注意以下几点: 请求中的请求行必须是RFC中指定的绝对 URI 。 Host 标头必须与绝对 URI 的主机部分匹配。 例子: 连接到 SSH/SMTP 如前所述,配置不当的 HTTP 代理可能会被滥用来连接到非 HTTP 端口。
71620编辑于 2022-01-17 - 来自专栏谢公子学安全
RBAC权限的滥用
在上一篇文章中我们讲了RBAC授权,传送门:K8s API访问控制 。并且绝大多数版本的K8s都默认使用RBAC作为其默认的授权方式。 本篇文章我们介绍在K8s集群横向移动时如何滥用RBAC权限,并通过滥用的RBAC权限横向获得集群的cluster-admin权限接管整个K8s集群。 RBAC权限滥用 首先,需要查看该pod对应的Token所拥有的权限,可以执行如下命令进行查看,查看其他的资源权限命令也一样。 =test:test-sa2 此时服务账户test-sa2的token就具有list secret的权限了。 原因在于RBAC API 会阻止用户通过编辑角色或者角色绑定来提升权限。 检测RBAC权限滥用 对于K8s集群管理员来说,可以利用下面的这款工具检测集群内的高危对象。
1.3K40编辑于 2023-02-27 - 来自专栏为数不多的Android技巧
请不要滥用SharedPreference
SharedPreference是Android上一种非常易用的轻量级存储方式,由于其API及其友好,得到了很多很多开发者的青睐。 File jsonFile = new File(context.getFilesDir().getParent() + File.separator + SP_DIR_NAME, "skin_beta2. getSharedPreferences("test", MODE_PRIVATE); sp.edit().putString("test1", "sss").apply(); sp.edit().putString("test2" 保证了在API 11以前的系统上,如果sp已经被读取进内存,再次获取这个sp的时候,如果有这个flag,会重新读一遍文件,仅此而已!所以,如果仰仗这个Flag做跨进程存取,简直就是丢人现眼。
76410发布于 2020-01-20 - 来自专栏一起学Golang
你滥用log了吗
代码Review的时候,遇到过一些log滥用的情况,今天聊一聊滥用(过渡使用)日志。 好的log能够帮助开发人员快速定位bug,而差的log各有各的不同。 你滥用日志了吗? 是什么导致了滥用log? 2. 不知道log多了,定位效率更低,试问你有没有经历过几分钟刷出了G级别日志文件?在这种日志文件里定位bug,简直是大海捞针,这让log的价值非常低。 3. 如果你有这个问题,你可能没有理解2个地方。 日志级别设置为Info,不代表log.Debug函数不执行。 log.Debug函数一定会执行,看下图,log.Info,Error等接口会调用相同的真实实现函数log.log,log.log的入参包含了log.Info等接口的入参,以及当前的log_level,比如以下2种是等价的 总结 针对滥用日志的情况给几点建议: 1条日志描述清when、where、what,提供有效信息,这就对定位很有帮助了。
1.4K20发布于 2019-07-31 - 来自专栏腾讯技术工程官方号的专栏
【Go API 开发实战 2】RESTful API 介绍
RESTful API 介绍 API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数或者接口,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力 要实现一个 API 服务器,首先要考虑两个方面:API 风格和媒体类型。 Go 语言中常用的 API 风格是 RPC 和 REST,常用的媒体类型是 JSON、XML 和 Protobuf。 REST 是一种软件架构风格,不是技术框架,REST 有一系列规范,满足这些规范的 API 均可称为 RESTful API。 服务器,本教程正是用 REST 风格来构建 API 的。 小结 本小节介绍了软件架构中 API 的实现方式,并简单介绍了相应的技术,通过对比,得出本教程所采用的实现方式:API 风格采用 REST,媒体类型选择 JSON。
1.7K22发布于 2019-05-16 - 来自专栏技术杂记
滥用MacOS授权执行代码
2.png import lief file = lief.parse('Dropbox') file.add_library('inject.dylib') file.write('Dropbox Dylib劫持与其在Windows上的合作伙伴DLL劫持相似,在于它滥用可执行文件来搜索可能存在或可能不存在的库,通常由@rpath“弱引用” 指定或有时由“弱引用” 指定。
3.2K63发布于 2020-09-03 - 来自专栏小鹏的专栏
tf API 研读2:math
TF API数学计算 tf...... :math (1)刚开始先给一个运行实例。 tf是基于图(Graph)的计算系统。 (graph=g2) as sess2: print sess2.run(c2) # result: # [ 1.0 ] # [ 2.0 ] (2)tf.a...API: tensor可以是一维 例: a = tf.constant([2, -2, -2, 5],shape=[2,2],dtype=tf.float64) RHS=tf.constant([3,10],shape=[2,1],dtype 例: a = tf.constant([1,2,3,4],shape=[2,2],dtype=tf.float64) b = tf.constant([1,2,3,4],shape=[2,2],dtype z2==>[[1. 2. 3. 4
3.2K50发布于 2018-01-09 - 来自专栏Khan安全团队
MS-FSRVP 强制滥用 PoC
FSRVP_E_SHADOW_COPY_SET_IN_PROGRESS", "A call was made to either SetContext (Opnum 1) or StartShadowCopySet (Opnum 2)
1.1K00编辑于 2022-01-15 - 来自专栏黑白天安全团队
T1218.002 Control Panel滥用
如何打开cpl 1.双击或者win+r xxx.cpl 2.control <文件名> 3.rundll32 shell32.dll,Control_RunDLL <文件名> 注意: 所有rundll32 extern "C" __declspec(dllexport) VOID CPlApplet(HWND hwndCPl, UINT msg, LPARAM lParam1, LPARAM lParam2) 检测 涉及与CPL文件,如CONTROL.EXE和相关项目监测和分析活动Control_RunDLL,并ControlRunDLLAsUser在shell32.dll中的API函数。 当从命令行执行或单击时,control.exe 将control.exe file.cpl在Rundll32用于调用 CPL 的 API 函数(例如:)之前执行 CPL 文件(例如:)rundll32. CPL 文件可以通过 CPL API 函数直接执行,只需使用后面的Rundll32命令,这可能会绕过 control.exe 的检测和/或执行过滤器。
1.3K20发布于 2021-09-28 - 来自专栏iSharkFly
Protocol buffers 的问题和滥用
在使用的过程中发现了很多 Protocol buffers 的使用问题和滥用,一个好端端的工具被用成这样也是比较郁闷。下面就对使用中的问题进行一些小的总结。 简单的解释就是使用 Protocol buffers 就等于在场景 2 上面给你重新封装了一层。Protocol buffers 传输数据量Protobuf 限制最大的数据传输量是 2GB。 解决办法就是对每个服务的功能做出界定,不要过多的滥用 Protocol buffers 进行调用。其实上面的问题都是人为导致的,再好的东西一旦滥用了,就是各种奇葩各种翔了。
97700编辑于 2022-07-23 - 来自专栏博文视点Broadview
被滥用的“架构师”!
经过近2年在解决方案架构师这个岗位上的历练,发现这类架构师实际上是作为客户的咨询顾问存在的。 在深入的思索及阅读相关的资料后,我发现,问题的根源在于对“架构师”这个名词的滥用。 我认为,“架构师”这个名词的滥用,也正是因为这个岗位关注的是重要的事物,因此,行业中在招聘时,只要涉及重要的事物,就会称其为“架构师”。 (2)连接型 连接型架构师就像黏合剂,他们更善于与他人合作。 在与各类人群针对架构师的讨论过程中,得出“架构师”一词在行业中被广泛的“滥用”这一结论。 在对架构师这一岗位深入的思索后,提出了架构师的分类体系。
41420编辑于 2022-04-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号