- 博客(7)
- 收藏
- 关注
RSS订阅原创 CSRF
CSRF(Cross-site request forgery-跨站请求伪造)原理在第三方网站利用用户的登录状态向被攻击网站发送跨站请求思路1.Get请求,设置img的src属性发起请求2.构造隐藏表单发起Post请求3.利用a标签的hrref如何验证网站存在csrf漏洞参考方法(待验证):使用CSRFTester进行测试,抓取所有链接及表单信息,修改相应的表单信息,重新提交。若修改后的测试请求成功被网站服务器接受,则说明存在csrf漏洞。防御1.设置cookie的samesite属性
2021-05-13 22:32:14
90
原创 XSS
XSS(Cross Site Scripting,跨站脚本攻击)类型反射型XSS服务器返回带有恶意脚本的网页浏览器执行脚本并发起请求携带用户cookie诱导用户点击url基于DOM节点的XSS浏览器执行脚本并发起请求携带用户cookie诱导用户点击url存储型XSSJavaScript脚本长期保存在服务端数据库中访问页面数据,脚本将会自动执行总结I类特点是脚本存在url里II的特点是代码存在数据库里III类的特点是取出和执行都由浏览器完成前两者属于服务端,后者属于自身漏洞安全
2021-05-12 23:26:14
68
原创 条件竞争漏洞
条件竞争漏洞服务器端漏洞,由于服务器端在处理不同用户的请求时是并发进行的,当并发处理不当或相关操作逻辑顺序设计不合理便会产生条件竞争漏洞如何利用条件竞争漏洞背景知识web程序有上传文件、头像和图片的功能服务器检查文件是否满足条件,不满足的被删除实施攻击利用大量的并发请求,传递一个已生成恶意webshell的图像,访问他就可以生成webshell,在上传完成和安全检查完成并删除它的间隙,攻击者通过不断发起访问请求的方法访问该文件,该文件就会被自行,并且在服务器上生成一个恶意shell的文件.
2021-05-12 00:17:36
69
原创 文件系统的组成(一)
文件系统的基本组成文件系统,操作系统中负责管理持久数据的子系统,主要用于可持久化保存数据,预防断电情况下的文件丢失。基本数据单位:文件主要用途:对磁盘上的文件进行组织管理,因组织方式不同,会形成不同的文件系统Linux经典:一切皆文件普通的文件、目录、快设备、管道、socket等,统一由文件系统管理Linux文件系统----文件1.索引节点-inode ,记录文件的元信息:inode编号、文件大小、访问权限、创建时间、修改时间、数据在磁盘的位置。文件的唯一标识,占用磁盘空
2020-09-12 17:04:23
2175
1
原创 DenyHosts
监控系统安全日志来分析是否存在对OpenSSH的暴力破解行为如发现暴力破解,则从该系统安全日志分析出来源IP地址然后通过在/etc/hosts.deny中加入相应的条目来使用TCP Wrappers禁止该IP地址的后续连接尝试核心配置片段SECURE_LOG-日志HOSTS_DENY-封禁IPBLOCK_SERVICE-指定sshd or ALLDENY_THRESHOLD...
2019-12-15 23:46:45
72
原创 公有云上实施网络安全防护
减少公网暴露的云服务器数量使用公有云上提供的弹性负载均衡 NAT网关使用网络安全组防护使用堡垒机增加系统访问的安全性Bastion Host统一登录来源 操作可审计 可设置灵活的访问控制 便于用户授权Jumpserver身份认证 账号管理 授权控制 安全审计华为UMA运维审计系统pldsecsheterm...
2019-12-15 23:36:49
351
原创 SSL/TLS虚拟专用网络
认证过程:在SSL/TLS的握手过程中,客户端和服务端分别使用对方的证书来进行认证。加密过程:在SSL/TLS的握手过程中,客户端和服务端使用非对称算法计算出对称密钥进行数据加密tun/tap设备OpenVPN-特性...
2019-12-15 23:21:24
188
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人