Exp7 网络欺诈防范 0x1 SET社会工程学包 SET是一个社会工程学工具包,用来通过E mail、Web、USB或者其他途径去攻击目标,从而轻松的控制个人主机,或者拿到一些敏感信息。 配置说明 当我们使用SET时,默认使用的是基于Python的内建Web服务,为了优化服务性能,需要把apach ...
分类:
其他好文 时间:
2018-05-08 14:26:25
阅读次数:
185
知识点概要 - Session - CSRF - Model操作 - Form验证(ModelForm) - 中间件 - 缓存 - 信号 内容详细: 1. Session 基于Cookie做用户验证时:敏感信息不适合放在cookie中 a. Session原理 Cookie是保存在用户浏览器端的键值 ...
分类:
其他好文 时间:
2018-05-08 00:16:50
阅读次数:
168
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HT ...
分类:
Web程序 时间:
2018-05-06 13:26:35
阅读次数:
225
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HT ...
分类:
Web程序 时间:
2018-05-01 12:37:08
阅读次数:
162
nginx的优化 1、基本安全优化 1.1 隐藏版本信息 一般来说,软件的漏洞都和版本相关,所以我们要隐藏或消除web服务对访问用户显示的各种敏感信息。 1.2 隐藏nginx要修改源代码 要修改内容的路径: 第一路径: 第二路径 第三路径 然后重新编译 1.3 更改nginx服务的默认用户 第一种 ...
分类:
其他好文 时间:
2018-04-30 20:01:59
阅读次数:
285
把旧项目提交到git上,但是会有一些历史记录,这些历史记录中可能会有项目密码等敏感信息。如何删除这些历史记录,形成一个全新的仓库,并且保持代码不变呢? 以下方法是在当前的分支下新建一个分支,然后把之前分支删除,接着把新建的分支重命名为原分支名称,最后把分支强制推送到远程 进入文件提交目录 git i ...
分类:
其他好文 时间:
2018-04-30 10:20:05
阅读次数:
187
笔记:Node.js 的 Buffer 缓冲区 1. node.js 6.0 之前创建的 Buffer 对象使用 new Buffer() 构造函数来创建对象实例,但权限很大,可以获得敏感信息,所以建议使用 buffer.from() 接口创建 Buffer 对象。 2. Buffer 实例要以通过 ...
分类:
Web程序 时间:
2018-04-27 14:00:22
阅读次数:
168
get参数通过url传递,post放在request body中。 get请求在url中传递的参数是有长度限制的,而post没有。 get比post更不安全,因为参数直接暴露在url中,所以不能用来传递敏感信息。 get请求只能进行url编码,而post支持多种编码方式 get请求会浏览器主动cac ...
分类:
Web程序 时间:
2018-04-26 18:35:07
阅读次数:
257
get参数通过url传递,post放在request body中。 get请求在url中传递的参数是有长度限制的,而post没有。 get比post更不安全,因为参数直接暴露在url中,所以不能用来传递敏感信息。 get请求只能进行url编码,而post支持多种编码方式 get请求会浏览器主动cac ...
分类:
其他好文 时间:
2018-04-24 22:23:25
阅读次数:
190
用OSSIM平台轻松发现“心脏出血”漏洞“心脏出血”漏洞作为目前互联网中存在的最为严重网络安全漏洞,攻击者借助“心脏出血”漏洞可以获取用户上网的账户、密码以及网上交易等众多敏感信息,因此我们必须提前测试并想法对这类漏洞进行修复,从而保证网上交易的安全。下文介绍如何用OSSIM平台来检测“心脏出血”漏洞的具体方法。首先登陆OSSIM平台的WebUI界面,打开SIEM控制台菜单。我们通过数据源插件过滤
分类:
其他好文 时间:
2018-04-23 00:06:00
阅读次数:
194
