- 综合排序
- 最热优先
- 最新优先
- 来自专栏Java
深入解析XXS攻击
cookie=' + document.cookie; </script> 2. 反射型XXS 反射型XXS是指攻击者构造恶意URL,诱导用户点击,触发恶意脚本的执行。 2. 内容安全策略(Content Security Policy,CSP) CSP是一种通过HTTP头部告诉浏览器允许加载哪些资源的策略。 使用合适的框架 流行的前端框架(如React、Angular、Vue等)通常内置了一些防范XXS攻击的机制。这些框架在处理用户输入和动态渲染时,会自动进行HTML转义,减少了XXS攻击的风险。 2. Set-Cookie: sessionId=abc123; HttpOnly 2. 2. 监控漏洞数据库 保持关注安全漏洞数据库(如CVE、NVD等),及时了解您所使用的库和框架是否有已知的安全漏洞。对于有漏洞的版本,立即更新至修复漏洞的版本。
1.2K10编辑于 2025-01-21 - 来自专栏jeremy的技术点滴
使用fail2ban进行DDOS防护
朋友公司一网站被DDOS攻击了,不得已在机房呆了两天作防护工作,才算临时解决了问题。想着自己公司线上也运行着一个系统,担心有一天也会被攻击,还是提前作一下DDOS防护吧。 线上系统用的是nginx,于是我采用了比较成熟的fail2ban+nginx防护方案。 首先安装配置fail2ban zypper addrepo http://download.opensuse.org/repositories/home:Peuserik/SLE_11_SP2/home :Peuserik.repo zypper refresh zypper install fail2ban vim /etc/fail2ban/jail.conf [DEFAULT] #设置忽略内网访问及某些安全网段的访问 #设置nginx防护ddos攻击 [xxx-get-dos] enabled=true port=http,https filter=nginx-bansniffer action=iptables[name
4.1K50发布于 2018-05-09 - 来自专栏linux运维
当你在网页里“相亲相爱”(XSS)时,黑客可能在和你“小小”(XXS)地开玩笑
又或者,在安全报告上看到 XXS 时一脸懵圈:“这又是啥新威胁?比 XSS 还小一号?” 别慌! 今天我们就来聊聊这对网络安全界的“卧龙凤雏”—— XSS(跨站脚本攻击) 和它那总被叫错名的倒霉兄弟 XXS(其实不存在,但总被手滑)。第一章:名字的误会——XXS?不,是XSS! 幽默说:“XXS” 就像一个总被叫错名字的可怜娃。想象一下:黑客大会上,主持人喊:“下面有请 XXS 攻击大师!” 台下 XSS 本尊气得代码乱颤:“我叫 X!S!S!三个字母! 不是儿童服装尺码(XXS)啊喂!” 结论: 世界上没有叫 “XXS” 的网络攻击(暂时!),它只是打字手滑或眼神不好的产物。真正的恶魔是 XSS! “相亲相爱”(XSS)要不得,“小小”(XXS)错误不能犯! 给你的代码穿上“防护服”,让黑客的“玩笑”无处可开。漏洞恒久远?不!
35020编辑于 2025-05-31 - 来自专栏Elton的技术分享博客
使用fail2ban增强Linux安全防护
其他版本的Linux可以通过源码或者rpm包安装 $ sudo emerge -av fail2ban 设置fail2ban /etc/fail2ban/fail2ban.conf 是fail2ban的全局基本配置 ,基本不用动 $ cat /etc/fail2ban/fail2ban.conf loglevel = 3 logtarget = /var/log/fail2ban.log socket = /tmp /fail2ban.sock /etc/fail2ban/jail.conf 是fail2ban的规则配置文件,我们需要根据情况来编辑它 [DEFAULT] ignoreip = 127.0.0.1 # 也可以直接定义运行中的fail2ban参数 比如增加屏蔽时间为一天 fail2ban-client set ssh-iptables bantime 86400 重新读入配置文件 fail2ban-client 那么就要修改fail2ban的启动规则,把上面那条改为 iptables -I INPUT 2 -p --dport -j fail2ban- 这样fail2ban就会把自己的规则作为
79020发布于 2021-01-22 - 来自专栏授客的专栏
安全测试 web应用安全测试之XXS跨站脚本攻击检测
说明:非正常情况如上,用户输入的数据被当作脚本执行,说明存在xss攻击 实验2 构造testxss2.php,内容如下 ? 请求上述testxss2.php文件,并在打开页面的输入框中输入测试数据 ? 第一个输入框中输入测试数据:"><! 第二个输入框源代码变成 了<input type="text" value="" onclick="alert('xss')"> 注: 1、监听事件处理onclick之外,还有别的mouseover等 2、 value="输入要展示的字符"> <input type="submit"> </form>
<textarea rows=2 如果存在xss漏洞,我们可以用它来执行其它更具备破坏性的操作,比如输入恶意数据,执行恶意js脚本: <script scr="js_url"></script> pdf版下载:web应用安全测试之XXS2.2K30发布于 2019-09-10 - 来自专栏程序员充电站(itcharge)
iOS 开发:『Crash 防护系统』(二)KVO 防护
本文是 『Crash 防护系统』系列 第二篇。 通过本文,您将了解到: KVO Crash 的主要原因 KVO 防止 Crash 的常见方案 我的 KVO 防护实现 测试 KVO 防护效果 文中示例代码在: bujige / YSC-Avoid-Crash ---- 2. 那么有没有一种对项目代码侵入性小,同时还能有效防护 KVO 崩溃的防护机制呢? 网上有很多类似的方案可以参考一下。 // [self testKVOCrash13]; // 2.
5.1K41发布于 2020-10-26 - 来自专栏绿盟科技安全情报
OpenSSH防护指南
SEE MORE → 2IPS配置 3.1 IPS 模板配置 1. 选择菜单对象-规则-用户规模板-新建。 ? 2. 输入相应的ssh规则名称,点击查找并确定。 ? 2. 填入相应的名称和规则,点击确定。 ? 3风险 1. 阻断业务 2. 自定义规则会影响性能 END 作者:绿盟科技安全服务部
1.8K10发布于 2019-10-24 - 来自专栏西里网CSDN博客
动态防护waf
动态防护WAF是一种保护Web应用程序的安全解决方案,它通过实时监测和防御已知和未知威胁来保护网站和Web应用程序免受攻击。 动态防护WAF通常具有以下功能: 实时监测:实时监测网络流量的安全性,发现可疑活动立即采取行动。 威胁检测:检测各种威胁,包括已知和未知攻击,如恶意流量、跨站脚本攻击、SQL注入等。 防御攻击:通过先进的威胁防护技术,阻止攻击者对应用程序的攻击。 事件分析:分析事件并生成报告,帮助管理员了解网络流量情况,识别潜在威胁。 规则更新:可自动更新和扩展防护规则库,以应对新的威胁和漏洞。 通过实施动态防护WAF,企业可以降低安全风险,减少安全漏洞,保护其Web应用程序和数据免受攻击。XX
79610编辑于 2025-03-25 - 来自专栏开源部署
SQL攻击防护
在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!
1.8K20编辑于 2022-09-14 - 来自专栏优惠2019
基于腾讯云DDoS 防护的安全防护方案
攻击就是把来您奶茶店的路堵死,cc攻击呢,就是几个人在奶茶店点大量的单,导致奶茶店小妹没时间做其他顾客的奶茶 无论哪种攻击模式,目的都是导致您的奶茶店无法正常营业 面对DDOS攻击如何解决: 目前腾讯云有2G 的免费ddos防护,VIP客户会提高额度,具体请提交工单确定您额度 如果攻击者流量超过2G,那就要买ddos防护了,要根据攻击特点选择不同套餐 如果您的攻击比较频繁,那就要一次选择到位,比如防护30g, 如果攻击不是那么频繁,那就选择弹性的,基础防护加弹性,节省费用 image.png image.png 注意:1个 BGP 高防 IP 实例默认支持60条转发规则,最高可扩展至300条,非网站(四层 面对CC攻击如何解决: CC攻击主要特征是频繁访问某个页面,耗死数据库等CPU资源 CC攻击不能单纯说上了腾讯云web应用防火墙就解决问题了,我们要根据攻击者的攻击特征设置不同的防护规则 image.png 通过总结可以得出DDOS攻击用于腾讯云DDOS防护,CC攻击用腾讯云web应用防护,对某个页面的频繁访问设置规则 以上文章由腾讯云代理百分百原创,未经本人允许不得做任何转载
6.8K30发布于 2019-10-15 - 来自专栏云计算行业
官方推荐 | 《2分钟带你了解腾讯云网络入侵防护系统》
关注腾讯云大学,了解最新行业技术动态 戳【阅读原文】查看55个腾讯云产品全集 课程概述 网络入侵防护系统(Network Intrusion Prevention System,NIPS),是基于腾讯安全服务内部数百条业务线的运维经验积累和大数据处理能力的结合 【课程目标】 了解腾讯云网络入侵防护系统 了解腾讯云网络入侵防护系统的特性 了解腾讯云网络入侵防护系统的应用场景 【课程大纲】 知识模块 简介 2分钟带你了解腾讯云网络入侵防护系统 重保时期,企业如何做好网络入侵防范
90520编辑于 2023-05-29 X-P2P技术实现多重安全防护的技术指南
摘要 本文旨在解析X-P2P技术在实现多重安全防护方面的核心价值、挑战,并提供基于腾讯云产品的操作指南和增强方案。X-P2P技术以其分布式架构和点对点传输特性,为网络安全防护提供了新的思路。 本文将详细介绍如何利用腾讯云产品实现X-P2P技术的安全防护,并对比通用方案与腾讯云方案的差异。 在某金融科技公司实践中,通过腾讯云的多重安全防护方案,成功防御了大规模DDoS攻击,保障了业务连续性。 结论 X-P2P技术在实现多重安全防护方面具有明显优势,结合腾讯云产品,可以进一步提升安全性、性能和合规性。 通过本文的技术指南,读者可以深入了解如何利用腾讯云产品实现X-P2P技术的多重安全防护,并对比不同方案的差异,为实际应用提供参考。
34810编辑于 2025-07-28- 来自专栏运维研习社
Redis入侵及防护
Redis作为一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,由于性能高效,使用的人越来越多,但是很多人不考虑Redis的安全,导致服务器被入侵。
1.1K20发布于 2021-02-23 - 来自专栏Windows技术交流
TcpTable、基于BFE的WFP,这2种网络防护方案有什么异同
TcpTable 和 基于 BFE(基本防火墙引擎)的 WFP(Windows Filtering Platform)是两种不同的网络防护技术。 TcpTable 主要用于监视和诊断网络连接问题,而不是防护或过滤网络数据包。在 Windows 中,可以通过 netstat 命令查看 TcpTable。 基于 BFE 的 WFP 可以实现更高级的安全防护功能,如入侵检测和防止系统遭受 DDOS 攻击等。 TcpTable 更关注于网络连接的监视,而基于 BFE 的 WFP 更关注于网络安全防护。这两种技术在网络防护领域有不同的侧重点,但它们可以共同为用户提供更全面的网络安全保障。
34210编辑于 2024-02-02 - 来自专栏小夜博客
nginx防护ApacheBench脚本
今天有一个童鞋,使用AB脚本来攻击小夜博客,算是小白级别的。写个教程,记录一下,如果再有同学问这个问,直接扔给他就行。 一、首先观测到对方是使用apachebech来攻击你。 这个查看nginx日志,非常明显。cat ssl.vpsmm.log 一片带有ab的ua 二、使用nginx设置,301掉所有ab过来的访问 if ($http_user_agent ~* ApacheBench ) { rewrite ^(.*)$ http://www.baidu.com/ permanent; } 三、设置脚本
1.4K130发布于 2018-05-16 - 来自专栏灵光独耀
浅谈勒索病毒防护
spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault -1.pc_relevant_default&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST %7Edefault-1.pc_relevant_default&utm_relevant_index=2 工具2:https://blog.csdn.net/a592277860/article/details 问:有什么有效的防护手段 答:通过一些对机器的安全策略限制或购买安全产品来实现。 问:中勒索病毒了怎么办? 答:先到上面的帖子找到引擎或工具,查询信息后获取专杀或重装系统用备份恢复。 问:中勒索病毒,是否给赎金就可以了 答:仍然有被对方忽悠的可能性,可以委托专业安全机构操作代付或修复事宜 问:购买主机安全收费版本是否可以防护勒索病毒 答:目前没有证据可以表明收费版本具备100%的防护能力
1.3K30编辑于 2022-04-25 - 来自专栏Czy‘s Blog
简单安全防护
简单安全防护 一、服务器防护 1. 端口防护 尽量将端口禁用,尽量不要将端口暴露在公网,尽量仅供127.0.0.1访问 如非必要,尽量不要将服务暴露在公网,尤其是数据库等服务 设置连续登录失败禁用一段时间,防爆破 2. 网站防护 攻击者一般直接使用ip来攻击网站,可以将ip访问的默认网站只写一个首页 上述不利于搜索引擎收录,可以将搜索引擎的域名加入白名单使用Nginx转发 避免Js操作cookie,开启HTTP_ONLY 独立用户 服务器设置用户启动某服务,非该服务用户不允许访问与执行 二、PHP防护 1. pcntl_sigwaitinfo pcntl_sigtimedwait pcntl_getpriority pcntl_setpriority imap_open apache_setenv 2.
1.9K10发布于 2020-08-27 - 来自专栏全栈程序员必看
spring security CSRF防护
从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护 http.csrf().disable(); //取消csrf防护 } } 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/148894.html原文链接:https
1.3K20编辑于 2022-07-04 - 来自专栏积跬Coder
数据防护总结(PC)
为什么需要数据防护? 数据防护主要体现在何处? 数据防护可简略的划分为请求防护、数据内容防护、验证码 请求防护 User-Agent Cookie 签名验证 握手验证 协议 。。。 整体来说,压缩技术只能在很小的程度上起到防护作用,要想真正提高防护效果还得依靠混淆与加密技术。 unfined、null、Object 数字混淆 数据混淆有常见:进制转换、数字分治、其他 进制转换 将十进制转化为二进制、八进制、十六进制等,从而达到“混淆”的目的 数学分治 简而言之就是将数拆开,例如 2 设备指纹防护 设备指纹通过收集客户端设备的特征信息对用户与“机器人”进行甄别。
1.3K30发布于 2021-07-16 - 来自专栏运维研习社
WEB基础防护-Apache
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。 而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。 现在很多第三方安全公司,提供的智能云web防火墙,也是需要你把域名解析到他们的防火墙上,通过防火墙指定策略来进行web防护,也可以起到隐藏真实IP的作用。 根据判断IP地址归属地来进行IP阻断 可以充当WAF,它的安装很简单,直接通过yum install mod_security就可以安装,安装完成后,在httpd目录下,会生成一个mod_security2. 包括JAVA、PHP、IIS、SQL、XSS等防护规则,基础的防护都有了。
2.2K20发布于 2021-02-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号