欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • weblogic控制台部署web应用
  • 如何使用weblogic管理控制台部署和卸载一个WEB应用呢?下面我们来分步演示! 工具/原料 Oracle WebLogic WEB应用War包 方法/步骤 1 用IE浏览器,打开管理控制台,输入管理账户用户名及密码通过安全认证。 2......
  • 所属分类:WEB安全 更新时间:2017-02-26 相关标签: 阅读全文...
  • 浅谈Web客户端追踪
  • 随着互联网络的广泛普及,数以亿计网民的网络行为数据早已成为最宝贵的资源,企业通过五花八门的各种手段了解网民的行为和隐私数据,用于广告投递、用户兴趣分析等,进而作为决策的依据。利用Web客户端对用户行为进行......
  • 所属分类:WEB安全 更新时间:2017-02-26 相关标签: 阅读全文...
  • 基于SQLite数据库的Web应用程序注入指南
  • SQL注入又称hacking之母,是造成网络世界巨大损失而臭名昭著的漏洞之一,研究人员已经发布了许多关于不同SQL服务的不同攻击技巧相关文章。对于MSSQL,MySQL和ORACLE数据库来说,SQL注入的payload一抓一大把,你可以在......
  • 所属分类:WEB安全 更新时间:2017-02-24 相关标签: 阅读全文...
  • 浅谈XXE攻击
  • 现在越来越多主要的web程序被发现和报告存在XXE(XML External Entity attack)漏洞,比如说facebook、paypal等等。 举个例子,我们扫一眼这些网站最近奖励的漏洞,充分证实了前面的说法。尽管XXE漏洞已经存在了很多年......
  • 所属分类:WEB安全 更新时间:2017-02-21 相关标签: 阅读全文...
  • snort规则之常见web漏洞扫描器
  • 之前工作中搭建开源IDS,架构是suricata+barnyard2+snort规则。跟同事测试写了一些常见web漏洞扫描器的规则,分享出来。很多都是根据UA来识别的,因此比较简单,可能也会有误报。 #Web app scan tools rules # al......
  • 所属分类:WEB安全 更新时间:2017-02-20 相关标签: 阅读全文...
  • JavaScript的注入引出技术诈骗
  • 0×01 前言 在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharing的一部分,在URL命名约定和图像文件中使用它。恶意软件最终将网站访问者重定向到......
  • 所属分类:WEB安全 更新时间:2017-02-20 相关标签: 阅读全文...
  • 一款轻量级Web漏洞教学演示系统(DSVW)
  • Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。其系统只有一个 python 的脚本文件组成, 当中涵盖了 26 种 Web应用漏洞环境, 并且脚本代码行数控制在了100行以内, 当前版本v0.......
  • 所属分类:WEB安全 更新时间:2017-02-16 相关标签: 阅读全文...
  • 如何从新闻中识别骗子们的小套路
  • 电信诈骗猖獗盛行,成为国家的重点打击对象,但是我们身边亲朋好友被骗的悲剧还在屡屡发生。小作者思考也许我们可以从新闻中提取电信诈骗的特征信息,为家里的长辈亲人提个醒,做到防患于为然。 小作者以某新闻网站......
  • 所属分类:WEB安全 更新时间:2017-02-15 相关标签: 阅读全文...
  • 产品经理眼中比较理想的WEB扫描器
  • 漏洞扫描器,也叫VA(Vulnerability Assessment)漏洞评估或者VM(Vulnerability Management)漏洞管理,一直是各大安全厂商产品线中不可或缺的一部分。本文是以一个产品经理的角度讨论其中更细分的一个领域,WEB漏洞......
  • 所属分类:WEB安全 更新时间:2017-02-14 相关标签: 阅读全文...
  • 我的日志分析之道:简单的Web日志分析脚本
  • 长话短说,事情的起因是这样的,由于工作原因需要分析网站日志,服务器是windows,iis日志,在网上找了找,github找了找,居然没找到,看来只有自己动手丰衣足食。 那么分析方法我大致可分为三种: 1. 基于时间:将......
  • 所属分类:WEB安全 更新时间:2017-02-14 相关标签: 阅读全文...
  • 大话蜜罐日志分析
  • 在部署蜜罐之后,会产生大量的日志,对于威胁情报而言,我们需要通过这些日志来提取其中的有用的数据,本文将会描述提取那些数据用来完成分析。 部署蜜罐之后会生成描述发生的事件的日志记录。能够收集到的安全事件......
  • 所属分类:WEB安全 更新时间:2017-02-13 相关标签: 阅读全文...
  • 基于机器学习的web异常检测
  • Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易......
  • 所属分类:WEB安全 更新时间:2017-02-13 相关标签: 阅读全文...
  • 阿里云云盾Web应用防火墙深度测评
  • 在今年的WitAwards 2016互联网安全年度评选中,阿里云云盾Web应用防火墙(WAF)以其技术和服务赢得了大众和评委的认可,斩获「年度云安全产品及服务」奖项。实际上,WAF已经成为企业守护web应用的常规安全产品,那么......
  • 所属分类:WEB安全 更新时间:2017-02-13 相关标签: 阅读全文...
  • HTTPS及HTTPS中间人攻击
  • 全站HTTPS正在称为潮流趋势,国内实现全站https的有淘宝和百度两家 0x01:https的作用 C I A:机密性,完整性,可用性(可用性是合法用户可以访问自己有权限访问的资源) 解决的是信息传输中数据被篡改。窃取......
  • 所属分类:WEB安全 更新时间:2017-02-10 相关标签: 阅读全文...
  • 我可能是用了假的隐身模式
  • 0x01 隐身模式 隐身模式会打开一个新窗口,以便在其中以私密方式浏览互联网,而不让浏览器记录访问的网站,当关闭隐身窗口后也不会留下 Cookie 等其他痕迹。用户可以在隐身窗口和所打开的任何常规浏览窗口之间进行......
  • 所属分类:WEB安全 更新时间:2017-02-02 相关标签: 阅读全文...
  • Web服务器的安全设置
  • 记得在网上曾经看过一个帖子,如果没有记错的话,它所介绍的关于安全设置的内容主要是针对代码的,而今天我要说的Web服务器的安全则是从安全设置角度出发的,即使你不会代码按照我介绍的方法也能做到相应的安全。 ......
  • 所属分类:WEB安全 更新时间:2017-01-31 相关标签: 阅读全文...
  • 全网服务器数据备份解决方案
  • 第1章 项目准备工作 1.1 基本备份要求 已知3台服务器主机名分别为:web01,backup,nfs01,主机信息如下表: 服务器说明 外网IP 内网IP 主机名 Nginx web服务器 10.0.0.8/24 172.16.1.8/24 web01 NFS存储......
  • 所属分类:WEB安全 更新时间:2017-01-22 相关标签: 阅读全文...
  • 使用Frida配合Burp Suite追踪API调用
  • 几周前我对某个手机银行应用进行测试。这个app用了一个框架,这个框架能够混淆、加密app与服务器进行的TLS连接。我用Frida截获了加密环节之前的明文请求/响应。我希望能够修改截获的API调用,然后看看远程服务器是如......
  • 所属分类:WEB安全 更新时间:2017-01-21 相关标签: 阅读全文...
  • 什么是流量劫持,如何防止流量劫持?
  • 流量劫持,是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗(如下图)等,很多人已经对此麻木......
  • 所属分类:WEB安全 更新时间:2017-01-19 相关标签: 阅读全文...
  • 一场屠戮MongoDB的盛宴反思:超33000个数据库遭入侵
  • 许多人没有想到,去年12月一件不起眼的小事,在新年伊始却演变成了一场屠杀。如今,受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗,一个接一个倒下。 截止本周三(1月11日),已经有20名以上的黑客加入到......
  • 所属分类:WEB安全 更新时间:2017-01-18 相关标签: 阅读全文...
  • 互联网黑势力之流量劫持
  • 在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远方的服务器。这段路程中,短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点,往往都潜伏着劫持者,他们劫持流量的手段也层出不穷,......
  • 所属分类:WEB安全 更新时间:2017-01-12 相关标签: 阅读全文...
  • 看我是如何跟羊毛党战斗的之我也变成羊毛党
  • 一、前言 快钱、飞凡双旦活动已经过去,这里跟大家分享下我是如何跟羊毛党战斗的。/doge 由于是事后写的,所以当时活动的一些截图可能就没有了,大家自行脑补~ 就当顺便给快钱、飞凡打个广告啦~ 二、导火索 作为......
  • 所属分类:WEB安全 更新时间:2017-01-12 相关标签: 阅读全文...
  • 使用Burp的intruder功能测试有csrf保护的应用程序
  • 很多Web应用会有防止跨站请求伪造的策略,比如通过request请求传一个当前页面有效或者当前会话有效的参数(如果他们没有,那就很值得研究)。这些参数用来证明这个请求是从预定用户发出的,而不是攻击者那里。 这些......
  • 所属分类:WEB安全 更新时间:2017-01-10 相关标签: 阅读全文...
  • 如何全面防御Webshell(下)?
  • 在进行调查时,最关键的部分之一是找到黑客的入口点,尤其是当运维团队将受攻击的服务器恢复正常后,我们意识到有很多的服务器已经被各种webshell、rootkits和密码导出工具感染时。 需要快速的通过时间轴法对恶意......
  • 所属分类:WEB安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 如何全面防御Webshell(上)?
  • 事实上,互联网上每时每刻都在上演着攻击和防御,本文将会重点的深入分析一下其中一个非常重要的类型:webshell。 初识webshell 接下来将演示3种黑客是如何使劲浑身解数将webshell上传到服务器上的,包括远程文件......
  • 所属分类:WEB安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 使用Docker搭建Web漏洞测试环境
  • 由于一直在做 Web 漏洞扫描器的开发, 那么就必然少不了 Web 的漏洞测试环境, 其中就包括 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。 这些漏洞环境一般搭建比较繁琐, 而且出问题后有不能像 git 那样方便的’回滚’......
  • 所属分类:WEB安全 更新时间:2016-12-28 相关标签: 阅读全文...
  • 新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS
  • 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介 DVWA(Da......
  • 所属分类:WEB安全 更新时间:2016-12-27 相关标签: 阅读全文...
  • 华为内部web安全法则
  • Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的......
  • 所属分类:WEB安全 更新时间:2016-12-25 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集