最新消息:

安全知识

安全事件响应系统设计探讨

安全事件响应系统设计探讨

admin 1年前 (2016-01-03) 948浏览 0评论

转自:http://blog.nsfocus.net/security-incident-response-system-design/ 层出不穷的安全事件使大家意识到,企业安全体系不是部署入侵检测,防火墙等安全设备就够了。企业安全团队在应对越来越复...

XPath盲注学习

XPath盲注学习

admin 1年前 (2015-12-21) 924浏览 0评论

一、XPath语法简介 参考:XPath 教程 XPath是一种在XML文档中查找目标信息的语言,可以用来在XML文档中对元素和属性进行遍历。XPath使用路径表达式来选取XML文档中的节点或节点集。 在XPath中,有七种类型的节点:元素、属性、文...

那些年做过的ctf之加密篇

那些年做过的ctf之加密篇

admin 1年前 (2015-11-20) 930浏览 0评论

转自:http://drops.wooyun.org/tips/10002 最近ctf做的比较多,顺便整理一下做个笔记,大概有加密篇、隐写篇、逆向破解和web方向的几篇文章,整理出来之后会陆续发出来。 0x01 Base64 Base64: ZXZ...

业务系统异常行为检测

业务系统异常行为检测

admin 2年前 (2015-08-29) 1036浏览 0评论

转自:http://www.youxia.org/yewu-yichang-jiance.html 针对近年流行的盗号扫号、灌水、恶意注册等业务安全威胁,本文提出基于用户行为的一些异常检测方法。 2011年12月21日下午,某著名IT社区后台数据库被...

(转)CC攻击的变异品种 慢速攻击

(转)CC攻击的变异品种 慢速攻击

admin 2年前 (2015-08-16) 781浏览 0评论

转自:http://blog.nsfocus.net/cc-attack-defense/ DDoS攻击凭借其严重的后果以及简单的操作,一直都是攻防中重要的攻击方式。随着DDoS攻击的演变,信息安全的防御也在同步升级。发展到今天,DDoS攻击已经多种...

(转)DDoS攻击工具演变

(转)DDoS攻击工具演变

admin 2年前 (2015-08-15) 909浏览 0评论

转自:绿盟科技博客  http://blog.nsfocus.net/evolution-of-ddos-attack-tools/ 在DDoS的领域里面,攻击工具扮演着一个重要的角色,因为事实上的DDoS攻击,都是依靠攻击工具来实施的。因此对它们进...

(转)如何发现 NTP 放大攻击漏洞

(转)如何发现 NTP 放大攻击漏洞

admin 2年前 (2015-08-15) 748浏览 0评论

转自:http://drops.wooyun.org/tips/4715 NTP 漏洞相关的文章在 Drops 已经有过了,并且不止一篇,之所以又翻译了这一片文章,是觉得文章的整体思路很不错,希望对看这篇文章的你有所帮助。 BTW:本文翻译比较随意,...

某机构网络安全检测报告

某机构网络安全检测报告

admin 2年前 (2015-06-08) 948浏览 0评论

目标信息收集: www.SecPulse.com [aa.bb.cc.138] 主站 gonghui.SecPulse.com [aa.bb.cc.146] 工会网站 iwf.SecPulse.com [aa.bb.cc.144] OA系统 mail...

华为内部的Web安全原则

华为内部的Web安全原则

admin 2年前 (2015-05-30) 942浏览 0评论

Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动...

富文本安全

富文本安全

admin 2年前 (2015-05-14) 707浏览 0评论

本文隐藏内容 登陆 后才可以浏览 转载请注明:jinglingshu的博客 » 富文本安全...

一些安全相关的HTTP响应头

一些安全相关的HTTP响应头

admin 2年前 (2015-05-12) 736浏览 0评论

转自:https://www.imququ.com/post/web-security-and-response-header.html 现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。...

HTTP 协议中的Transfer-Encoding

HTTP 协议中的Transfer-Encoding

admin 2年前 (2015-05-10) 609浏览 0评论

本文主要讨论 HTTP 协议中的 Transfer-Encoding。 Transfer-Encoding,是一个 HTTP 头部字段,字面意思是「传输编码」。实际上,HTTP 协议中还有另外一个头部与编码有关:Content-Encoding(内容...

Referrer Policy介绍,Referrer还是Referer

Referrer Policy介绍,Referrer还是Referer

admin 2年前 (2015-05-10) 659浏览 0评论

一、Referrer Policy 介绍 我们知道,在页面引入图片、JS 等资源,或者从一个页面跳到另一个页面,都会产生新的 HTTP 请求,浏览器一般都会给这些请求头加上表示来源的 Referer 字段。Referer 在分析用户来源时很有用,有着...

APT防御走向立体化

APT防御走向立体化

admin 2年前 (2015-05-08) 491浏览 0评论

转自:http://sec.chinabyte.com/226/13377726.shtml 高级持续性威胁到针对性攻击的演化解析 APT无疑是近几年来最火的安全词汇了。APT(Advanced Persistent Threats),高级持...

验证码常见安全问题

验证码常见安全问题

admin 2年前 (2015-05-06) 949浏览 0评论

0x00 前言 首先,我们来看下整个验证码实现的原理 1.客户端发起一个请求 2.服务端响应并创建一个新的SessionID同时生成一个随机验证码。 3.服务端将验证码和SessionID一并返回给客户端 4.客户端提交验证码连同SessionI...

攻与防的较量—信息化安全提升的源动力

攻与防的较量—信息化安全提升的源动力

admin 2年前 (2015-04-30) 587浏览 1评论

摘要: 信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平和能力愈加速发展;而防守越强,同时也刺激攻击手段不断“创新”与“求变”。 本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量...

一次对抗大规模DDoS的真实经历

一次对抗大规模DDoS的真实经历

admin 2年前 (2015-04-28) 899浏览 0评论

转自:http://www.aqniu.com/news/7527.html 每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。 在 网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披...

如何通过用数据挖掘技术来分析Web网站日志

如何通过用数据挖掘技术来分析Web网站日志

admin 2年前 (2015-04-28) 600浏览 0评论

转自:http://www.itongji.cn/article/041644112015.html 收集web日志的目的 Web日志挖掘是指采用数据挖掘技术,对站点用户访问Web服务器过程中产生的日志数据进行分析处理,从而发现Web用户的访问模式...

WEB 应用安全的总结

WEB 应用安全的总结

admin 2年前 (2015-04-27) 1483浏览 0评论

转自:http://sbilly.com/2015/04/15/web-application-security-2016/ WEB 应用安全的总结 应用安全越来越重要 —— 互联网上看到的大多数安全事件1基本都和应用安全,尤其是 WEB 应...