[安全防护]钓鱼新手段:苹果iPhone收到日历邀请,显示垃圾信息2016-08-16
首先需要说明的是,这种广告以及垃圾信息推广模式与苹果官方没有任何关系,苹果iOS当中存在该功能只是为方面需要即时进行备忘录提醒的用户,不过广告商却以这种模式却让不...
[安全防护]基于Antisamy项目实现防XSS攻击2014-12-13
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等...
[安全防护]轻松过D盾PHP一句话,还有狗狗和3602014-12-13
D盾,他不认识二维数组,所以就很轻松绕过了。 对了 还有360哦~ 测试了下安全狗,也查不出来,,。 ?php $item[wind] = assert; $array[] = $item...
[安全防护]分享一款刚做的过安全狗的php大马 体积仅有1kb2014-12-13
普通的php大马动辄100多kb,而且完全不过狗。小马的话过狗是过狗,但是功能只有上传文件的单一功能。php一句话过狗也容易,但是菜刀不过狗是个大问题,一句话是过狗了,用菜刀连接的时候直接被安全狗之类的waf给拦截了。而且菜刀已经不更新了,...
[安全防护]PHP过狗大马精简版【功能齐全体积仅4KB】2014-12-13
或许大家都知道,网上php大马出奇的大,130多K于是乎萌生了一个想法--没有加密版?php$password=xiaozhe;//登录密码$shellname=By:黑吧安全网;//我的版权...
[安全防护]在IIS6中申请并安装证书2014-12-13
之前通过设置基本身份验证,可以实现客户端在访问指定的虚拟目录时,必须要输入用户名和密码进行验证,但是基本身份验证的信息在网络中是明文传输的,我们可以通过为站点申请并安装证书,来实现数据的加密传输。实验环境中的CA证书服务器已经搭建好,这里只...
[安全防护]在IIS6中配置日志2014-12-13
如果网站启用了日志记录,管理员就可以通过查看日志跟踪网站被访问的情况,如哪些用户访问了本站点、访问者查看了什么内容,以及最后一次查看该信息的时间等,可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便...
[安全防护]对Web主目录进行备份2014-12-13
我们可以利用Win2003系统中自带的备份功能,定期对Web站点主目录进行备份,以做到有备无患。运行【开始程序附件备份】,打开备份还原向导,选择备份文件和设置,然后指定要备份的内容。选择要备份的站点主目录指...
[安全防护]服务器安全狗远程桌面保护使用图文教程2014-12-13
服务器安全狗远程桌面守护功能为用户服务器提供实时、主动的远程桌面登录保护,远程桌面守护针对多种类型的主流远程控制软件,包括操作系统自带的远程桌面登录工具、RealVnc、Redmin、Netman等都可以有效实现守护功能,确保服务器远程桌...
[安全防护]必须谨记!Node.js安全开发技巧2014-12-13
互联网安全事件层出不群,用户每时每刻都有可能会遭受攻击者袭击。作为软件开发人员,则是最大限度的保证应用程序安全。本文主要是对Node.js语言作出的安全开发建议。以下为译文:毫无疑问,Node.js已经变的愈加成熟,尽管这样,开发者仍然缺...
[安全防护]你所不知道的渗透测试:应用虚拟化的攻防2014-12-13
Web渗透测试大家都耳熟能详,但是针对应用虚拟化的渗透测试或许大家比较少接触,而且网上也没有相关的资料。作为前沿攻防团队,本期技术专题将结合过往的项目经验,针对应用虚拟化技术给大家介绍一下相关的攻防技术。首先介绍一下什么是应用虚拟化,其实应...
[安全防护]实施URL过滤的最佳十法2014-12-13
URL过滤是一种可以允许或阻止用户访问特定网站的内容过滤。这种方法已成为企业网络上的一种基本方法,其目标是阻止雇员访问可能损害效率或公司利益的内容。被阻止的网站可能是那些威胁到企业安全或包含恶意内容的网站,也可能是耗用大量带宽的网站。 UR...
[安全防护]提高NodeJS网站的安全性:Web服务器防黑客攻击技巧2014-12-13
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。不用eval,赢得朋友你不仅仅要避免使用eval - 你也应该避免使用在下列情况,他们等价...
[安全防护]Web攻击日志分析的过去现在与未来2014-12-13
0x00:前言谈到日志分析大多数人的感觉是这是一个事后行为,场景当黑客成功将网站黑了。运营人员发现的时候安全人员会介入分析入侵原因,通过分析黑客攻击行为往往会回溯最近几天甚至更加久远的日志。0x01:处理过程。个人认为日志分析的过程分为3个...
[安全防护]阻止PHP彩蛋信息泄漏2014-12-13
Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意,彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞,可能导致未经授权的信息披露,如果你正在运行PHP,就有可能...
[安全防护]在IIS6中配置虚拟主机2014-11-23
为了提高硬件资源的利用率,可以在一台服务器中运行多个网站,而不需要额外添加硬件,这些网站称为虚拟主机。要实现虚拟主机,必须要使不同的网站之间有能够互相区分的标记,有三种方式可以实现虚拟主机:不同的IP、不同的端口、不同的主机头。在实际应用中...
[安全防护]Sqlmap联合Nginx实现“地毯式”检测网站SQL注入漏洞2014-11-23
以安全防御方的角度来看,防御的广度比深度更具优先级,这也是信息安全中木桶原理的体现。Sqlmap是一个开源的SQL注入漏洞检测工具,Nginx是高性能的WEB服务器。今天我们将二者结合起来,对网站的SQL注入漏洞实现地毯式&r...
[安全防护]OSSIM的WebUI功能分布2014-11-23
1.Ossim 2.3.1版本的WebUI功能2.OSSIM4.1版本的WebUI功能分布 Ossim 4.8 的Web UI 功能分布...
[安全防护]在IIS6中配置ASP网站2014-11-23
本文将介绍如何在Win2003系统中通过IIS6.0来搭建一个ASP网站,网站数据库采用的是ACCESS,对于这类简单的小型数据库,无需安装数据库程序,只需直接配置IIS即可。首先在添加删除组件中选择安装应用程序服务器,在安装过程中需要插入...
[安全防护]使用 Nonce 防止 WordPress 网站受到 CSRF 攻击2014-11-19
使用 Nonce ( number used once ) 是防止 WordPress 插件受到 CSRF (cross-site request forgery) 攻击最好的方法,WordPress Nonce 通过提供一个随机数,来实...
[安全防护]背黑锅我来:Facebook为雅虎账户开发额外安全保护2014-11-19
雅虎于2013年6月决定重新启用那些12个月以上未被使用的雅虎帐号。这个做法激起了公众的强烈质疑,人们担心此举会造成安全隐患和隐私泄露问题。因为如果这些复活的雅虎邮箱账户曾绑定了第三方网站,邮箱新主人只需重置密码...
[安全防护]8个与安全相关的PHP函数2014-11-19
安全问题是编程语言中需要考虑的重要部分,几乎在任何一种实际的语言中都会提供一些函数,模块,或其它确保安全的功能。在现代互联网中,我们经常要从世界各地的用户中获得输入数据。但是,我们都知道永远不能相信那些用户输入的数据&rdq...
[安全防护]Session应用之---防止表单重复提交2014-11-19
Session应用之---防止表单重复提交客户端防止(采用JavaScript阻止方式):PS:防得住君子,防不了小人!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.01 Transit...
[安全防护]旧瓶装新酒:Google Drive是如何被用于钓鱼攻击的2014-11-19
黑客们的目标正在逐渐瞄准那些云存储服务,比如谷歌云端存储(Google Drive)。几天前,趋势科技的安全研究人员就发现了一个盗取用户敏感账户信息的钓鱼攻击活动。在这次的钓鱼事件中,攻击者精心制作了一个看似正常的Google Drive登...
[安全防护]细节决定成败,Chrome过滤XSS的功能2014-11-19
偶然发现!下面是一个非常简单的jsp页面:%@ page language=java contentType=text/html; charset=ISO-8859-1 page...