Web安全

  • Web安全 CVE-2018-5002 - 2018年第二波Flash零日漏洞在野攻击分析预警

    CVE-2018-5002 - 2018年第二波Flash零日漏洞在野攻击分析预警

    CVE-2018-5002 - 2018年第二波Flash零日漏洞在野攻击分析预警背景2018年6月1日,360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞的在野攻击,黑客精心构造了一个从远程加载Flash漏洞的Office文档,打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发,此次攻击主要针对中东地区。该漏洞目...

    360安全中心 阅读全文
  • Web安全 安百科技与一线达通的战略合作,掀起网络安全时代新模式

    安百科技与一线达通的战略合作,掀起网络安全时代新模式

    安百科技与一线达通的战略合作,掀起网络安全时代新模式 近日,安百科技与政府采购平台一线达通达成战略合作,并进驻其线上采购平台,为全国各地各行业客户提供网络安全服务。一线达通主要是为政府、医疗、部队、企事业单位、集团公司等客户提供办公用品、办公耗材、IT产品、办公家具等服务,覆盖全国45个地区。此次,安百科技牵手一线达通,旨在为全国各大客户网站保驾护...

    应用安全 阅读全文
  • Web安全 国内首创,全国领先|“山东省云安全防御平台”通过科技成果评价

    国内首创,全国领先|“山东省云安全防御平台”通过科技成果评价

    近日,山东省软件行业协会在济南市组织专家对山东省电子信息产品检验院完成的“山东省云安全防御平台”项目进行了科技成果评价。国家信息安全工程技术研究中心研究员文仲慧、省委网信办网络安全协调处侯杰、山东省软件行业协会刘灿军、山东省电子信息产品检验院院长王锋、山东省电子信息产品检验院副院长张睿、山东省电子信息产品检验院副主任康伟(安百科技CEO)以及山东各名校教授等...

    隔壁安全说 阅读全文
  • Web安全 为什么 UserAgent 中出现「 iPhone;U; 」的订单都是高危的?

    为什么 UserAgent 中出现「 iPhone;U; 」的订单都是高危的?

    作者:大毛  岂安科技业务风险分析师相信大多数童靴对 UserAgent (以下简称 “UA”)都比较了解,但在开头还是简单介绍一下 UA  的基本概念,方便理解。UserAgent 是什么?UserAgent 又称为「用户代理」,简称 UA 。 UA 的存在,能够让服务器能够识别客户端的信息,从而针对不同客...

    岂安科技 阅读全文
  • Web安全 【技术分享】Django开发最佳实践(下)

    【技术分享】Django开发最佳实践(下)

    Author:[email protected]:20180321​PART 1. 安全第一修复漏洞的最佳时机便是开发的时候。1.1 CSRF TOKENCSRF TOKEN是Django安全体系中的一项非常重要的安全措施。但是很多情况下,一些刚刚接触Django的同学会发现自己好不容易写出来的表单,在POST的时候报错了,经过一番查找发现是CS...

    美丽联合集团安全应急响应中心 阅读全文
  • Web安全 【技术分享】Django开发最佳实践(上)

    【技术分享】Django开发最佳实践(上)

    Author:[email protected]:20180316PART 1. 开始之前Django作为一款功能强大的Web应用框架,近年来逐步受到大家的欢迎,越来越多的Python开发者投入到Django的怀抱中,但是同样由于Django中的众多内容,大家在初入Django时总会感到有一些『心有余而力不足』,不知道从何处下手。或是待...

    美丽联合集团安全应急响应中心 阅读全文
  • Web安全 【技术分享】枚举子域名

    【技术分享】枚举子域名

    Author:[email protected]:2018/3/91. 背景开始渗透一个网站前,需要知道网站的网络资产:域名、IP等,而IP和域名有着直接的解析关系,所以如何找到网站所有子域名是关键。2. 实现思路在知道网站主域名的情况下,可以通过以下几种方式进行域名收集。2.1. 搜索引擎使用百度、Google等搜索引擎,可通过 site&nb...

    美丽联合集团安全应急响应中心 阅读全文
  • Web安全 如何使用Charles抓包并分析Http报文

    如何使用Charles抓包并分析Http报文

    ​从Web安全的攻击防御方面来说,最多接触的应该就是Http协议了,当我们作为中间人(man-in-the-middle)查看到所有浏览器到web服务器的http报文的时候,一切就都有意思起来。比如,分析某电商在交易支付的时候请求了哪些东西,分析某网站的登录流程都请求了哪些数据,分析某社交软件有没有偷偷的上传隐私数据等等,甚至可以拿到Https加密过的请求哦...

    岂安科技 阅读全文
  • Web安全 数千知名国内网站被挂挖矿 原来竟是广告联盟监守自盗

    数千知名国内网站被挂挖矿 原来竟是广告联盟监守自盗

    日前,360云安全系统监测到,国内的璧合科技DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次,多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。如今,Web挖矿攻击已不满足...

    360安全中心 阅读全文
  • Web安全 是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

    是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

    在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。在之前的文章中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。当前我们可以看到:·0.2...

    360安全中心 阅读全文
  • Web安全 Openresty的开发闭环初探

    Openresty的开发闭环初探

    1. 为什么值得入手?Nginx 作为现在使用最广泛的高性能后端服务器,Openresty 为之提供了动态预言的灵活,当性能与灵活走在了一起,无疑对于被之前陷于臃肿架构,苦于提升性能的工程师来说是重大的利好消息,本文就是在这种背景下,将初入这一未知的领域之后的一些经验与大家分享一下,若有失言之处,欢迎指教。2. 安装现在除了能在 [Download](htt...

    岂安科技 阅读全文
  • Web安全 openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

    openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

    openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币作者:360网络安全研究院从2017年12月24日,360网络安全研究院 注意到一组网站正在滥用客户终端浏览器的算力在挖矿。攻击者在利用了 CoinHive 的浏览器端挖矿代码基础上,完全绕过 CoinHive 自己运营,避开了 CoinHive 的抽成费用。提供挖矿服务的域...

    360安全中心 阅读全文
  • Web安全 【技术分享】Nginx Lua日志收集

    【技术分享】Nginx  Lua日志收集

    Author: [email protected]: 20171229申明,如果文章内容,有任何问题,欢迎读者进行评论指正。我也是这方面的初学者,我也一直在寻找最优秀、有效的方式。0x00 背景在WAF命中规则后,需要记录拦截的日志,之前使用的方法是ngx.log。运行了一段时间,遇到一个瓶颈,ngx.log记录每行最长长度为2048字节。但这个限制...

    美丽联合集团安全应急响应中心 阅读全文
  • Web安全 Flask debug 模式 PIN 码生成机制安全性研究笔记

    Flask debug 模式 PIN 码生成机制安全性研究笔记

    本文转载自:https://zhuanlan.zhihu.com/p/32336971  0x00 前言前几天我整理了一个笔记:Flask开启debug模式等于给黑客留了后门,就Flask在生产网络中开启debug模式可能产生的安全问题做了一个简要的分析。其中有一个比较严重的安全问题是,可以在交互式Python shell中执行自定义Python...

    童话 阅读全文
共 98 条记录 12345 下一页 尾页

精彩活动

热门阅读

热门作者

最新评论

微信扫码关注 指尖安全 公众号

指尖安全