Web安全

  • 【技术分享】Django开发最佳实践(下)

    Author:[email protected]:20180321​PART 1. 安全第一修复漏洞的最佳时机便是开发的时候。1.1 CSRF TOKENCSRF TOKEN是Django安全体系中的一项非常重要的安全措施。但是很多情况下,一些刚刚接触Django的同学会发现自己好不容易写出来的表单,在POST的时候报错了,经过一番查找发现是CSRF TOKEN的问题,然后按照网上的方...

  • 【技术分享】Django开发最佳实践(上)

    Author:[email protected]:20180316PART 1. 开始之前Django作为一款功能强大的Web应用框架,近年来逐步受到大家的欢迎,越来越多的Python开发者投入到Django的怀抱中,但是同样由于Django中的众多内容,大家在初入Django时总会感到有一些『心有余而力不足』,不知道从何处下手。或是待到初步了解后,不知道当前的做法是否优雅,...

  • 【技术分享】枚举子域名

    Author:[email protected]:2018/3/91. 背景开始渗透一个网站前,需要知道网站的网络资产:域名、IP等,而IP和域名有着直接的解析关系,所以如何找到网站所有子域名是关键。2. 实现思路在知道网站主域名的情况下,可以通过以下几种方式进行域名收集。2.1. 搜索引擎使用百度、Google等搜索引擎,可通过 site 关键字查询所有收录该域名的记录,而...

  • 如何使用Charles抓包并分析Http报文

    ​从Web安全的攻击防御方面来说,最多接触的应该就是Http协议了,当我们作为中间人(man-in-the-middle)查看到所有浏览器到web服务器的http报文的时候,一切就都有意思起来。比如,分析某电商在交易支付的时候请求了哪些东西,分析某网站的登录流程都请求了哪些数据,分析某社交软件有没有偷偷的上传隐私数据等等,甚至可以拿到Https加密过的请求哦!如果我是黑客,分析过后也许就会通过工具...

    2018年02月09日 3398 0
  • 数千知名国内网站被挂挖矿 原来竟是广告联盟监守自盗

    日前,360云安全系统监测到,国内的璧合科技DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次,多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。如今,Web挖矿攻击已不满足于单个网站挖矿,而是将目标对准流量更大、...

    2018年02月08日 5382 0
  • 是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

    在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。在之前的文章中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。当前我们可以看到:·0.2% 的网站在首页嵌入了Web挖矿代码:A...

    2018年02月08日 3521 0
  • Openresty的开发闭环初探

    1. 为什么值得入手?Nginx 作为现在使用最广泛的高性能后端服务器,Openresty 为之提供了动态预言的灵活,当性能与灵活走在了一起,无疑对于被之前陷于臃肿架构,苦于提升性能的工程师来说是重大的利好消息,本文就是在这种背景下,将初入这一未知的领域之后的一些经验与大家分享一下,若有失言之处,欢迎指教。2. 安装现在除了能在 [Download](http://openresty.org/en...

    2018年01月05日 6234 1
  • openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

    openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币作者:360网络安全研究院从2017年12月24日,360网络安全研究院 注意到一组网站正在滥用客户终端浏览器的算力在挖矿。攻击者在利用了 CoinHive 的浏览器端挖矿代码基础上,完全绕过 CoinHive 自己运营,避开了 CoinHive 的抽成费用。提供挖矿服务的域名成组出现,共计22个,最早活动时间是2...

    2018年01月02日 5363 0
  • 【技术分享】Nginx Lua日志收集

    Author: [email protected]: 20171229申明,如果文章内容,有任何问题,欢迎读者进行评论指正。我也是这方面的初学者,我也一直在寻找最优秀、有效的方式。0x00 背景在WAF命中规则后,需要记录拦截的日志,之前使用的方法是ngx.log。运行了一段时间,遇到一个瓶颈,ngx.log记录每行最长长度为2048字节。但这个限制可以通过修改nginx源码修改,但是让运...

  • Flask debug 模式 PIN 码生成机制安全性研究笔记

    本文转载自:https://zhuanlan.zhihu.com/p/32336971  0x00 前言前几天我整理了一个笔记:Flask开启debug模式等于给黑客留了后门,就Flask在生产网络中开启debug模式可能产生的安全问题做了一个简要的分析。其中有一个比较严重的安全问题是,可以在交互式Python shell中执行自定义Python代码。就这一点来讲,在旧版本的Flask...

    2017年12月27日 5370 0

联系我们

邮件:[email protected]