随着互联网生态蓬勃发展，也催生了一系列互联网黑灰产业链，互联网的安全问题愈来愈严峻。在 DDoS 攻击日益泛滥的今天，如何进行 DDoS 防御成为了大家研究的热点，本文就 DDoS 攻击现状、分类、DDoS 防御手段等进行了分享。一、DDoS 攻击现状从统计分析的数据中可以看到 DDoS 攻击的几个特

在谈水平权限和垂直权限设计之前需要清楚以下几个概念。认证 (Authentication): 认证的目的是为了认出用户是什么人？解决是：我是谁的问题。权限: 其实主要是针对用户和管理员这两大类角色的操作，这是一种赋予的能力，对权限进行合理分配与设计，是安全设计的核心。授权 (Authorization

漏洞简介 ZooKeeper 是一个分布式的，开放源码的分布式应用程序协调服务，是 Google 的 Chubby 一个开源的实现，是 Hadoop 和 Hbase 的重要组件。它是一个为分布式应用提供一致性服务的软件，提供的功能包括：配置维护、域名服务、分布式同步、组服务等。 ZooKeeper 默认开

当常用字符被注释无法使用时，通常采取以下方法（可自行搜索 sql 注入绕开过滤等）：字母被注释 (or、and 等)1. 大小写变形如：Or、OR、oR 等2. 改变编码如：通过 hex、urlencode、url 等编码举例：如果 or 被过滤时，我们可以采用 url 编码（其相当于把 asc

在前一篇文章中，我大致分析了 EXIN 挖矿木马主要是通过 docker 2375 端口未授权访问来实现入侵的，虽然这个漏洞我很早就知道了，而且关于这个漏洞利用的文章早在两年前就有了。不过我是第一次在实际案例中遇到，我还是决定复现一下，作为经验积累。 由于 docker 安装后是默认不允许远程访问的，所以

数据库审计系统基本原理与部署方式 发表于 2020-06-17 | 分类于 网络安全 | 阅读次数： | 字数： 1,837 | 阅读时长： 6 什么是数据库审计？ 数据库审计是记录数据库被访问行为的日志系统。 访问数据库的一般有两种行为，一种是应用服务区的访问，一种是数据库运维人员的访问。 数据库审计

做渗透测试有一段时间了，发现登录方面的问题特别多，想做个比较全面点的总结，我尽量写的全面点又适合新人，这篇文章可能需要点想象力，因为问题比较多我不可能去海找各种例子举出来，不过好在会上网就遇到过各种登录框，所以大家都比较了解 web 登录认证方面，从子功能上可以划分为登录框登录、忘记密码（密码重置）、修改密

请求头注入请求头注入就是将 http 请求中的一些头部进行注入，因为这些头部和数据库产生了交互，那么它们就有可能存在注入。下面是一个 http 请求，让我们看一可能存在注入的点：①Host（主机头）在 http1.0 中没有 Host 字段，在 http1.1 中，增加这个字段，http 协议的本

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 XSS 的攻击。 HttpOn

[TOC] 前言 担心有人不知道pwnable.kr是什么，所以觉得有必要简单介绍一下它。 pwnable.kr介绍 pwnable.kr是一个非商业性的Wargame网站 ，它提供有关系统开发的各种pwn挑战。pwnable.kr的主要目的是'有趣'。并把每个挑战视为游戏。地址：http://pwnabl

声明： 本教程是在自己的电脑上本地测试Gosec的效果，所以不涉及其他运行模式，如果想要了解其他模式可以关注后期文档，如果想要自定义交流自定义代码扫描规则，可以跟我交流沟通。 背景： Gosec是一个通过扫描Go AST来检查源代码是否存在安全问题的开源项目。公司到成长到一定程度，就需要对代码进行审计，针对

前言公司刚开始建设安全管理时，都是从一片混沌开始的，资源总是不够的，我们每个做安全的人员，又要会渗透，又要抓制度，还得管理各种漏洞。在管理楼栋是，我相信大家都遇到过以下几个问题：1. 漏洞提交太多，自己用表格管理不过来了2. 每个漏洞进度不同，自己忙着忙着可能就忘记记录各个漏洞的进度3. 漏洞进度变