NetWork Security Essentials

在过去的十几年中,一个机构内部对信息安全的要求经历了两个重大变革。在广泛应用数据处理设备之前,对机构非常重要的信息安全保障主要是靠武力管理的方法实现的。前者的一个例子是用于存储敏感文档的带有组合锁的档案柜的应用。而后者的一个例子是在聘用过程中使用的人事屏蔽步骤。

在引入计算机之后,对于用来保护存储在计算机的文件和其他信息的自动工具的需求变得显而易见。对于共享系统更是如此,例如分时共享系统,对于能通过公共电话网络、数据网络或者互联网访问的系统而言这种需求更加迫切。用于保护数据安全和防范黑客工具集合的通用名称便是计算机安全。

WordPress 网站浩劫

2017年03月07日

WordPress 网站浩劫:黑客两天篡改全球 150 多万网页虽然 WordPress 已经在 1 月发布的 4.7.2 版中修复了相关漏洞,但似乎很多网站都没把升级放在心上。过去几天,黑客利用 REST API 漏洞对使用 WordPress 的网站发动攻击,纂改了超过 3.9 万域名的 150 多万网页,如此大规模的攻击可看做是 WordPress 网站遭遇的一场浩劫。 漏洞允许攻击者发送一...

关于阿里云经典网络的问题

2017年02月28日

我本来想推动更成熟更为安全的VPC解决方案的,但发现阿里云官方的这个言论相当的误导用户,似乎还是想让用户信任阿里云的经典网络。既然这样,我觉得我非常有必要写下这一篇文章来更为详细地说明一下这个事。2013年的阿里云2013年,我在阿里商家业务部做聚石塔,聚石塔的底层是阿里云。当时,聚石塔的安全问题很严重,有很多商家和买家的业务数据外泄,所以,成立了一个专门负责安全的小组。阿里安全部门也专门派人来强...

存储型XSS从易到难的挖掘过程

2017年02月15日

一日在某站点发现一个找茬活动,感觉是另类的src就参与了一下。就发生了这次有趣的XSS测试过程。0×00 开始(注意1)XSS不仅存在于页面上直观所在的位置,所有用户输入的信息都有可能通过不同形式返回到页面上,因此直接操作数据包来查找XSS显得更加有效。回到该站点,在该站点一处生成app处存在一处忘记过滤。发送的数据包如下:appName=TEST&icon=&loadimage=%2Ftempl...

搜狐视频爆XSS漏洞变身DDoS怪兽

2017年02月15日

2014年4月29日消息 近日,DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型注入点(这个漏洞现已被修复)。攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并...

解析检查——存储型XSS漏洞解决方案

2017年02月15日

Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞。整篇文章着眼点在“方案”,后续有机会我们还可以说说API的运营故事(这个元老级项目故事很多)。通过对API的精细化运营是可以发现0day漏洞的——API自身的,甚至包括浏览器。比如CVE-2009-1862、CVE-2011-2458 ...

万兆环境下的Web安全思考

2017年02月15日

万兆网络并不仅仅意味着网络带宽的增加,与之相匹配的业务系统亦随之而变得更加复杂。万兆安全解决方案并不是简单的选择相应安全设备的万兆型号,还会包括更为复杂的部分。拿最为常见的Web业务安全举例,我们可以清楚的看到,随着业务系统的复杂化,安全防护措施也在不断完善。单一技术对抗简单的攻击手段的时期这个时期,由于Web威胁行为的危害程度不是非常高,调整网络结构或者是部署WAF产品,都可以在很大程度上解决W...

WEB安全之XSS注入预防策略——CSP

2017年02月15日

WEB的盛行让这个网络社会更非富,随之而来的就是安全问题。如果何安全的接受用户输入并正确的显示出来是绝大多部WEB程序的致追求。其中之一就是防止XSS,一般性而言XSS的主要危害主要是:一是页面可能被恶意或其他原因所定制,二是有可能造成站内数据外泄。XSS页面定制现代WEB内容很多由厂商和用户共同产生,下面的例子说明一个由厂商和用户共同产生的数据:<div class="profile"><dl>...

网络爬虫与Web安全

2017年02月15日

网络爬虫概述网络爬虫(Web Crawler),又称网络蜘蛛(Web Spider)或网络机器人(Web Robot),是一种按照一定的规则自动抓取万维网资源的程序或者脚本,已被广泛应用于互联网领域。搜索引擎使用网络爬虫抓取Web网页、文档甚至图片、音频、视频等资源,通过相应的索引技术组织这些信息,提供给搜索用户进行查询。随着网络的迅速发展,万维网成为大量信息的载体,如何有效地提取并利用这些信息成...

搜索文章

文章分类

  • 随笔
  • C#
  • 前端技术
  • Linux
  • 工程建设
  • ASP.NET MVC
  • 经济管理
  • Entity Freamework
  • GitHub
  • 网络安全
  • The Art of SEO
  • 数据库
  • 创新、创意、创业
  • Angular
  • Python
  • 书籍收集整理
  • 分布式消息队列
  • 运维
  • 安卓开发
  • Java
  • Crawl IP Range
  • 大数据
  • 图片精选

    • 文章归档

  • 2016年11月
  • 2016年12月
  • 2017年1月
  • 2017年2月
  • 2017年3月
  • 2017年4月
  • 2017年5月
  • 2017年6月
  • 2017年7月
  • 2017年8月
  • 2017年9月
  • 2017年10月
  • 2017年11月
  • 2017年12月
  • 2018年1月
  • 2018年2月
  • 2018年3月
  • 2018年4月
  • 2018年5月
  • 2018年6月
  • 2018年7月
  • 2018年8月
  • 2018年9月
  • 2018年10月
  • 2018年11月
  • 2018年12月
  • 2019年1月
  • 2019年2月
  • 2019年3月
  • 2019年4月
  • 2019年5月
  • 2019年6月
  • 2019年7月
  • 2019年8月
  • 2019年9月
  • 2019年10月
  • 2019年11月
  • 2019年12月
  • 2020年1月
  • 2020年2月
  • 2020年3月
  • 2020年4月
  • 2020年5月
  • 2020年6月
  • 2020年7月
  • 2020年8月
  • 2020年9月
  • 2020年10月
  • 2020年11月
  • 2020年12月
  • 2021年1月
  • 2021年2月
  • 2021年3月
  • 2021年4月
  • 2021年5月
  • 2021年6月
  • 2021年7月
  • 2021年8月
  • 2021年9月
  • 2021年10月
  • 2021年11月
  • 2021年12月
  • 2022年1月
  • 2022年2月
  • 2022年3月
  • 2022年4月
  • 2022年5月
  • 2022年6月
  • 2022年7月
  • 2022年8月
  • 2022年9月
  • 2022年10月
  • 2022年11月
  • 2022年12月
  • 2023年1月
  • 2023年2月
  • 2023年3月
  • 2023年4月
  • 2023年5月
  • 2023年6月
  • 2023年7月
  • 2023年8月
  • 2023年9月
  • 2023年10月
  • 2023年11月
  • 2023年12月
  • 2024年1月
  • 2024年2月
  • 2024年3月
  • 2024年4月
  • 2024年5月
  • 2024年6月
  • 2024年7月
  • 2024年8月
  • 2024年9月
  • 2024年10月
  • 2024年11月
  • 2024年12月
  • 2025年1月
  • 2025年2月
  • 2025年3月
  • 2025年4月
  • 2025年5月
  • 2025年7月
  • 2025年8月
  • 2025年9月
  • 2025年10月
  • 2025年11月