欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 旧瓶新酒之ngx_lua & fail2ban实现主动诱捕
  • 服务器承担着业务运行及数据存储的重要作用,因此极易成为攻击者的首要目标。如何对业务服务器的安全进行防护,及时找出针对系统的攻击,并阻断攻击,最大程度地降低主机系统安全的风险程度,是企业安全从业人员面临......
  • 所属分类:WEB安全 更新时间:2017-07-27 相关标签: 阅读全文...
  • HTTPS真的就是安全的象征吗?HTTPS检查工具带来的安全威胁
  • 在很多人印象中,HTTPS就是安全的象征,而为了对这些“安全”的流量进行检查,很多安全产品,包括杀毒软件和防火墙都具备HTTPS检查的功能,通过这样的功能排除其中的安全威胁。然而近日US-CERT却发布了一则预警,TA1......
  • 所属分类:WEB安全 更新时间:2017-07-26 相关标签: 阅读全文...
  • 反击“猫眼电影”网站的反爬虫策略
  • 0×01 前言 前两天在百家号上看到一篇名为《反击爬虫,前端工程师的脑洞可以有多大?》的文章,文章从多方面结合实际情况列举了包括猫眼电影、美团、去哪儿等大型电商网站的反爬虫机制。的确,如文章所说,对于一张......
  • 所属分类:WEB安全 更新时间:2017-07-26 相关标签: 阅读全文...
  • 获取来源IP地址的正确姿势
  • 我们首次建模完成之后,迫不及待地让同事帮忙把数据提取出来,进行人工审核评估,却发现结果中有很多很多保留IP,心里哇凉哇凉的。每次和客户对接,我都花很长的时间跟对方的技术人员解释如何正确地获取来源IP地址,......
  • 所属分类:WEB安全 更新时间:2017-07-25 相关标签: 阅读全文...
  • 一个函数破解Geetest滑动验证码
  • 本文主要讨论极验滑动验证码的轨迹生成,关于js加密请参见之前的文章。 极验的验证过程 请求被保护网站,取得gt, challenge参数。响应如下{"success":1,"gt":"4a28913077af48ca6eadebe01f3be4d2","challenge":"2bc......
  • 所属分类:WEB安全 更新时间:2017-07-24 相关标签: 阅读全文...
  • QQ定位女友是否回家系列二之定位系统的打造
  • 前言 上一篇大家讨论得很激烈嘛,这篇接着水!前文中遇到二个问题,问题一:不能同时定位多人;问题二:发送构造页面给女友,但是女友点击后看不到感兴趣的内容,容易产生怀疑。 本篇主要围绕这两个问题,我们接着......
  • 所属分类:WEB安全 更新时间:2017-07-24 相关标签: 阅读全文...
  • htcap:一款实用的递归型Web漏洞扫描工具
  • 今天给大家介绍的是一款名叫 htcap 的开源 Web 漏洞扫描工具,它通过拦截 AJAX 调用和页面 DOM 结构的变化并采用递归的形式来爬取单页面应用(SPA)。htcap 并不是一款新型的漏洞扫描工具,因为它主要针对的是漏洞扫......
  • 所属分类:WEB安全 更新时间:2017-07-24 相关标签: 阅读全文...
  • 探索如何防御恶意bot流量
  • 互联网安全公司 Imperva Incapsula 公布的《2016年机器流量报告》(Bot Traffic Report 2016)显示恶意 bot 流量( bot :即“机器人”流量,即自动化程序流量)占整体网络流量的比例高达 28.9% 。 恶意 bot 流量造......
  • 所属分类:WEB安全 更新时间:2017-07-21 相关标签: 阅读全文...
  • 利用qq钓鱼或者定位女友是否回家
  • 随着手机开始普及,现在几乎是人手一部手机,而且qq是必装的app,这正好给了骗子可乘之机,根据你的爱好,给你推送相应的内容,让你防不胜防。 看看下面的聊天 哈哈此时我们看看后台(后台代码看地址定位章节) ......
  • 所属分类:WEB安全 更新时间:2017-07-18 相关标签: 阅读全文...
  • 黑产用“未来武器”破解验证码,打码小工都哭了
  • 当我们正讨论如何用AI推动产业升级、改变未来生活时,不法分子也在研究AI技术,并通过各种手段非法牟利。近日,腾讯守护者计划安全团队协助警方打掉市面上最大打码平台“快啊答题”,挖掘出一条从撞库盗号、破解验证......
  • 所属分类:WEB安全 更新时间:2017-07-16 相关标签: 阅读全文...
  • 看我如何破解OpenNMS哈希密码
  • 在最近的一次渗透测试中,我拿下了一台运行OpenNMS的服务器,并获取了该服务器的root访问权限。在后利用阶段我提取了几个本地用户的哈希密码,我想尝试破解这些哈希值因为这些密码可能会被重复用在其他重要认证上。但......
  • 所属分类:WEB安全 更新时间:2017-07-16 相关标签: 阅读全文...
  • “神起”僵尸网络的诱捕与反击(上)
  • 2017年5月中旬,蜜罐系统监测到了一起攻击事件,引起了我们的注意,小伙伴们迅速跟进分析,并通过技术手段拿下黑客控制端服务器,发现黑客使用了一款名为“神起ddos集群”的软件,控制了3000+的僵尸网络肉鸡,经分析......
  • 所属分类:WEB安全 更新时间:2017-07-13 相关标签: 阅读全文...
  • 大型网站系统架构的演化
  • 前言 一个成熟的大型网站(如淘宝、京东等)的系统架构并不是开始设计就具备完整的高性能、高可用、安全等特性,它总是随着用户量的增加,业务功能的扩展逐渐演变完善的,在这个过程中,开发模式、技术架构、设计思......
  • 所属分类:WEB安全 更新时间:2017-07-12 相关标签: 阅读全文...
  • 对安全审计软件的一次安全审计
  • 前段时间,我们注意到,一些安全研究者正对杀毒软件等安全产品的重要漏洞进行了相关研究,而这些安全产品可能对企业和桌面用户造成破坏性影响。看看Google Project Zero对Kaspersky、Comodo、Avast等多种杀毒软件高......
  • 所属分类:WEB安全 更新时间:2017-07-12 相关标签: 阅读全文...
  • 反击爬虫,前端工程师的脑洞可以有多大?
  • 对于一张网页,我们往往希望它是结构良好,内容清晰的,这样搜索引擎才能准确地认知它。 而反过来,又有一些情景,我们不希望内容能被轻易获取,比方说电商网站的交易额,教育网站的题目等。因为这些内容,往往是......
  • 所属分类:WEB安全 更新时间:2017-07-09 相关标签: 阅读全文...
  • 拒绝挂马、灌水,从现在做起!(WAF篇)
  • 在正文开始之前,先简单做下知识点科普,什么是挂马、灌水? 挂马,简而言之就是网站被入侵后被黑客恶意上传代码,具体危害及影响,由恶意代码决定;对于网站而言,挂马的发生源于被动入侵; 灌水,多发生在论坛,......
  • 所属分类:WEB安全 更新时间:2017-07-09 相关标签: 阅读全文...
  • Java 9 HTTP2的支持功能前瞻
  • Java 9预期将于本月27日发布,本文由László Csontos发布在Springuni,讨论了Java 9与HTTP/2有关的特性。 在HTTP/1.1发布后16年,国际互联网工程任务组(IETF)的流媒体工作组在2015年批准了HTTP/2协......
  • 所属分类:WEB安全 更新时间:2017-07-07 相关标签: 阅读全文...
  • 调查Web应用攻击事件:如何通过服务器日志文件追踪攻击者
  • 如果你想寻找那些让你系统遭受攻击的漏洞或起因的话,我建议你可以从日志记录开始着手调查。 存储在服务器端的日志文件是一种非常有价值的信息,几乎所有的服务器、在线服务和应用程序都会提供各种各样的日志信息。......
  • 所属分类:WEB安全 更新时间:2017-07-07 相关标签: 阅读全文...
  • 使用Python检测并绕过Web应用程序防火墙
  • Web应用防火墙通常会被部署在Web客户端与Web服务器之间,以过滤来自服务器的恶意流量。而作为一名渗透测试人员,想要更好的突破目标系统,就必须要了解目标系统的WAF规则。如今,许多WAF都是基于签名的。下图简单描绘......
  • 所属分类:WEB安全 更新时间:2017-07-03 相关标签: 阅读全文...
  • 通过服务器日志溯源web应用攻击路径
  • 无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹......
  • 所属分类:WEB安全 更新时间:2017-07-03 相关标签: 阅读全文...
  • 通过非数字和字符的方式实现PHP WebShell
  • 话不多说,我们直奔主题! 一般来说,我们所写的webshell通常都会包含数字或字母。比如说下面这样: if(!preg_match('/[a-z0-9]/is',$_GET['shell'])){ eval($_GET['shell']); } 但如果你想要绕过WAF的话,你......
  • 所属分类:WEB安全 更新时间:2017-07-02 相关标签: 阅读全文...
  • 什么是SSL预证书
  • 预验证是用作证书透明度(CT)一部分的特殊类型的SSL证书。 预先证书与常规SSL证书不同,因为它们不是(也不可以)用于验证服务器或形成经过身份验证的连接(例如HTTPS连接)。它们的唯一目的是允许证明证书已被记......
  • 所属分类:WEB安全 更新时间:2017-06-30 相关标签: 阅读全文...
  • 我是如何轻松拿到Google $1337现金奖励的
  • 一、 发现过程 时间回到5月8号的中午12点30分,饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了,当时记得那个漏洞是大概在5月1号出的,然后在网上迅速流出针对Jenknis2.23.1的RCE漏洞POC和EXP。 随后上了Fo......
  • 所属分类:WEB安全 更新时间:2017-06-27 相关标签: 阅读全文...
  • 利用Wireshark任意获取QQ好友IP实施精准定位
  • 虽然网上已经有了很多获取IP的qq插件,但是其原理大致都是相同的,但是插件的安全性而言就不敢恭维了,下面介绍如何利用wireshark获取好友ip。 一、打开wireshark选择本机网卡,由于我本机使用的是无线网卡,所以选......
  • 所属分类:WEB安全 更新时间:2017-06-26 相关标签: 阅读全文...
  • 看我如何利用开发人员所犯的小错误来盗取各种tokens
  • 实际上,在日常的开发过程中,开发人员很有可能会犯各种各样貌似“无伤大雅”的小错误,单独一个这样的小错误可能并不能搞什么事情,但如果将这些错误串起来形成一个漏洞链,那么后果可就严重了。在这篇文章中,我......
  • 所属分类:WEB安全 更新时间:2017-06-26 相关标签: 阅读全文...
  • 一次测试引发的探索:关于分号在java web中的一个特性
  • 还记得IIS的解析漏洞吗?xx.asp;.jpg。而最近对java网站进行测试的时候发现了一个问题,也是由分号引起的,也因此去查看了一下源码,也许很多人已经知道了这个问题,但是也许有的人不知道,所以我将内容记录下来了并......
  • 所属分类:WEB安全 更新时间:2017-06-22 相关标签: 阅读全文...
  • 国内外电商平台反爬虫机制报告
  • 电商平台的核心引擎大致分为两块,搜索架构和产品布局,应该说各有各的特色。当然今天的主题是反爬虫机制,电商平台如何能保护好自己的数据,又不影响正常用户体验,所谓当今业界一场持久的攻防博弈。 一阶爬虫(技......
  • 所属分类:WEB安全 更新时间:2017-06-22 相关标签: 阅读全文...
  • HTTP安全请求头
  • 1.X-XSS-Protection 功能 跨站脚本,通常缩写为XSS就是攻击者导致页面加载一些恶意的JavaScript攻击. X-XSS-Protection 在Chrome和Inter Explorer的中旨在防止反射型XSS 攻击者发送包含恶意代码的请求 攻击。 X......
  • 所属分类:WEB安全 更新时间:2017-06-22 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集