CSRF攻击概述: CSRF(Cross Site Request Forgery 跨站域请求伪造)是一种网站攻击的方式,它在2007年曾被列为互联网20大安全隐患之一。其他的安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人 ...
分类:
Web程序 时间:
2020-02-22 21:55:00
阅读次数:
70
新型冠状病毒疫情发生以来,中华儿女齐心协力共克时艰。顶象作为一家创新的业务安全公司,也积极履行社会责任,在刚刚结束了首批向武汉防疫一线捐赠10000只医用防疫口罩外,紧急响应北京市中小企业公共服务平台号召,为中小企业免费提供网络安全和业务风控专业产品,即《定向网络攻击防御系统》和《业务风险防控系统》 ...
分类:
其他好文 时间:
2020-02-17 17:39:43
阅读次数:
126
1、CSRF攻击: CSRF(Cross-site request forgery):跨站请求伪造。 (1)、攻击原理: 如上图,在B网站引诱用户访问A网站(用户之前登录过A网站,浏览器 cookie 缓存了身份验证信息), 通过调用A网站的接口攻击A网站。 (2)、防御措施: 1)token验证: ...
分类:
Web程序 时间:
2020-02-14 01:01:21
阅读次数:
100
美国早在2009年就成立了专门的网络战略司令部。但和一般人想象的不同,美国的网军力量并没有独立成军,是分散在美军的各大军种中,包括陆军,海军,空军,海军陆战队。 根据2013年的报告,现有的美军网军有133支分队,分别负责网络刺探、网络进攻和网络防御等等。 但是美军的网络战士又是如何招募,如何培养的 ...
分类:
其他好文 时间:
2020-02-14 00:37:38
阅读次数:
78
"上一节" ,我们介绍了Spring Boot在JDBC模块中自动化配置使用的默认数据源HikariCP。接下来这一节,我们将介绍另外一个被广泛应用的开源数据源:Druid。 "Druid" 是由阿里巴巴数据库事业部出品的开源项目。它除了是一个高性能数据库连接池之外,更是一个自带监控的数据库连接池。 ...
分类:
数据库 时间:
2020-02-11 14:26:41
阅读次数:
108
本文介绍的是漏洞利用,以DVWA实验为例,分别介绍验证绕过,XSS利用,Cookic盗用,文件上传等漏洞的利用及实现过程。通过该课程可以了解到漏洞的原理,从而做好对应的自身防御体系。 ...
分类:
Web程序 时间:
2020-02-10 09:42:58
阅读次数:
102
1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议 代码层最佳防御sql漏洞方案:使用 ...
分类:
Web程序 时间:
2020-02-09 16:47:28
阅读次数:
246
分享10个可免费使用的网站CDN加速服务 CDN也称内容分发网络,其原理大概是将服务内容分发至全网加速节点,让用户从就近的服务器节点上获取内容,从而提高网站的访问速度。大部分服务商(如阿里云,网易蜂巢,京东云等)的CDN服务是按使用量收费的,也有一些服务商提供免费的CDN服务,本文简单的总结一下目前 ...
分类:
其他好文 时间:
2020-02-03 13:45:01
阅读次数:
68
WAF Web Application Firewall的缩写为“WAF”,中文意思“Web应用防火墙”,也称“网站应用级入侵防御系统”。WAF是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。 WAF部署在web服务器前面,串行接入,主要技术是对入侵的检测能力,尤其是对W ...
分类:
其他好文 时间:
2020-02-03 13:36:52
阅读次数:
104
接入层上传 上传问题 上传文件 再次访问上传的文件 上传的文件被当成程序解析 上传问题防御 限制上传后缀 但是可以通过改后缀名的方式,达到攻击的目的 文件类型检查 类型是从浏览器读取的,可以不经过浏览器上传文件,依然不安全 文件内容检查 但是可以通过在文件头部写入对应的内容 所以还是不安全 程序输出 ...
分类:
Web程序 时间:
2020-01-31 22:29:02
阅读次数:
111
