如何进行 DDoS 防御

随着互联网生态蓬勃发展,也催生了一系列互联网黑灰产业链,互联网的安全问题愈来愈严峻。在 DDoS 攻击日益泛滥的今天,如何进行 DDoS 防御成为了大家研究的热点,本文就 DDoS 攻击现状、分类、DDoS 防御手段等进行了分享。一、DDoS 攻击现状从统计分析的数据中可以看到 DDoS 攻击的几个特

水平权限、垂直权限原理及与解决方案

在谈水平权限和垂直权限设计之前需要清楚以下几个概念。认证 (Authentication): 认证的目的是为了认出用户是什么人?解决是:我是谁的问题。权限: 其实主要是针对用户和管理员这两大类角色的操作,这是一种赋予的能力,对权限进行合理分配与设计,是安全设计的核心。授权 (Authorization

Docker Remote API未授权访问漏洞复现

在前一篇文章中,我大致分析了 EXIN 挖矿木马主要是通过 docker 2375 端口未授权访问来实现入侵的,虽然这个漏洞我很早就知道了,而且关于这个漏洞利用的文章早在两年前就有了。不过我是第一次在实际案例中遇到,我还是决定复现一下,作为经验积累。 由于 docker 安装后是默认不允许远程访问的,所以

网站登录认证模块漏洞分析及防御措施探讨

做渗透测试有一段时间了,发现登录方面的问题特别多,想做个比较全面点的总结,我尽量写的全面点又适合新人,这篇文章可能需要点想象力,因为问题比较多我不可能去海找各种例子举出来,不过好在会上网就遇到过各种登录框,所以大家都比较了解 web 登录认证方面,从子功能上可以划分为登录框登录、忘记密码(密码重置)、修改密

最全的XSS防御手段

XSS 的防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。 目前来说,流行的浏览器内都内置了一些 XSS 过滤器,但是这只能防御一部分常见的 XSS,而对于网站来说,也应该一直寻求优秀的解决方案,保护网站及用户的安全,我将阐述一下网站在设计上该如何避免 XSS 的攻击。 HttpOn

免费开源的代码审计工具 Gosec 入门使用

声明: 本教程是在自己的电脑上本地测试Gosec的效果,所以不涉及其他运行模式,如果想要了解其他模式可以关注后期文档,如果想要自定义交流自定义代码扫描规则,可以跟我交流沟通。 背景: Gosec是一个通过扫描Go AST来检查源代码是否存在安全问题的开源项目。公司到成长到一定程度,就需要对代码进行审计,针对

不会开发的你也能管理好企业漏洞,开源免费工具:洞察(insight II)

前言公司刚开始建设安全管理时,都是从一片混沌开始的,资源总是不够的,我们每个做安全的人员,又要会渗透,又要抓制度,还得管理各种漏洞。在管理楼栋是,我相信大家都遇到过以下几个问题:1. 漏洞提交太多,自己用表格管理不过来了2. 每个漏洞进度不同,自己忙着忙着可能就忘记记录各个漏洞的进度3. 漏洞进度变