绿盟科技技术博客

【干货分享】PHP漏洞挖掘——进阶篇

2017-09-15王陶然php, PHP 漏洞利用, php 漏洞扫描, php上传漏洞, php在线测试, php文件包含漏洞, php测试代码, php渗透, php渗透工具, PHP渗透测试, PHP漏洞, PHP漏洞修复, php漏洞全解, php漏洞大全, php漏洞怎么修复, php漏洞怎么回事, php漏洞怎么消除, php漏洞总结, php漏洞挖掘, php漏洞挖掘与修复, php网站渗透

从常见的PHP风险点告诉你如何进行PHP漏洞挖掘，以及PHP渗透测试中的黑盒与白盒。你与PHP大师只有这一篇文章的差距！

【干货分享】XSS攻击进阶篇——那些年我们看不懂的XSS

2017-09-15王陶然dom xss 原理, dom xss构造, dom xss环境, domxss漏洞, dom型xss, xss, xss 原理, XSS修复, xss分类, xss哪里体现跨站, xss攻击, XSS攻击及防御, xss攻击教程, xss攻击是什么, 什么是跨站脚本攻击, 反射xss漏洞, 反射型XSS, 反射型xss利用, 反射型xss攻击, 反射型xss漏洞, 反射型xss漏洞修复, 反射型xss防御, 基于dom的xss, 存储xss漏洞, 存储型XSS, 存储型xss代码案例, 存储型xss和反射型xss, 存储型xss攻击, 存储型xss漏洞, 存储型xss漏洞原理, 存储型xss防御, 跨站攻击, 跨站脚本, 跨站脚本攻击

你有一份XSS秘籍待查收！XSS从入门到实战1,2,3，Go!

【预警通告】WordPress的Display Widgets插件存在后门威胁预警通告

2017-09-14绿盟科技Display Widgets 漏洞, WordPress display widget 后门, WordPress display widget 漏洞, WordPress display widgets, WordPress 后门, WordPress 插件漏洞, WordPress 漏洞, wordpress最新漏洞

Display Widgets是WordPress一款插件，大约有200,000站点在使用该插件。最近，Display Widgets被发现存在有后门代码。该后门用于上传数据到第三方服务器，上传的数据包括用户IP地址，UA标识等。

【干货分享】常见高危漏洞及验证方法

2017-09-14刘永杰Apache解析漏洞, CSRF, SQL注入, Web安全漏洞, Web常见安全漏洞, Web常见安全漏洞分析, xss, 业务逻辑漏洞, 代码注入, 安全漏洞分析, 框架漏洞, 漏洞, 漏洞分析, 漏洞验证, 网络安全入门, 网络安全技术, 越权漏洞, 跨站脚本攻击, 跨站请求伪造, 非授权对象引用, 高危漏洞

相信大家对sql注入、xss、csrf、命令注入、越权等常见Web安全漏洞并不陌生。但是如何验证这些漏洞呢？且听小编一一道来。

商业银行征信系统安全托管平台—访问征信查询系统的那些事

2017-09-14许德昭商业银行数据安全, 商业银行数据防护, 堡垒机, 征信系统安全, 征信系统审计, 绿盟堡垒机, 金融安全审计, 银行信息安全, 银行安全, 银行安全审计, 银行数据安全

据不完全统计，全国集中统一的个人征信系统共收集8.8亿个自然人的信用信息，基本覆盖全国每一个有信用活动的信息主体，其中，个人贷款和信用卡账户信息21.5亿笔，开通查询用户15.9万个，对外提供29.2亿份个人信用报告。如此大量的个人信息和征信查询业务量，该如何保护呢？

【威胁通告】微软发布9月补丁修复83个安全问题

2017-09-13绿盟科技微软漏洞, 微软补丁, 微软2017年9月份补丁, 微软2017年9月补丁下载, 微软9月补丁, 微软九月补丁, 微软周二补丁, 微软周二补丁日, 微软补丁下载, 绿盟威胁通告

微软于周二发布了9月安全更新补丁，修复了83个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及Internet Explorer、Microsoft Edge、.NET Framework、Microsoft Windows、Microsoft Office、Microsoft Windows PDF、Windows Hyper-V以及Adobe Flash Player。

【干货分享】手把手教你Android Logcat组件安全

2017-09-13王盛昱Android, Android Logcat, Android Logcat 安全, android 日志, android 调试, 安卓, 安卓 logcat, 安卓 logcat 安全, 安卓日志, 安卓logcat工具, 安卓日志, 安卓日志安全, 安卓日志查看, 安卓日志级别, 安卓系统日志

在应用的开发、调试和运行期间，往往需要日志信息跟踪，以此作为辅助手段定位问题、洞察程序运行细节等。在不同的开发阶段，日志信息存在差异。一般而言，开发版（Development Version）作为正在开发的内测版本，会有很多调试信息；而发行版（Release Version）是签名后发布给用户的正式版本，日志量会较少。那么，如何避免日志输出敏感信息呢？

【专题策划】知己知彼，百战不殆——网络钓鱼面面观

2017-09-13汤夏菁2017年Q2垃圾邮件与网络钓鱼分析报告, APT, APT攻击, Backdoor.Java.QRat, DoS攻击, Necurs僵尸网络, SecurityIQ网络钓鱼模拟器, TAC-E, Trojan, Trojan-Downloader.JS.Agent, Trojan-Downloader.JS.SLoad, Trojan-PSW.Win32.Fareit, Trojan.PDF.Phish

钓鱼套路深，安全要认真！

要想玩得转，还得功夫深！

什么是网络钓鱼？

2017年网络钓鱼现状？

反钓鱼思路和解决方案？

一步一步教你成为网钓老司机！

【安全报告】卡巴斯基发布《2017年Q2垃圾邮件与网络钓鱼分析报告》我国依然形势严峻

2017-09-12汤夏菁2017年Q2垃圾邮件与网络钓鱼分析报告, Backdoor.Java.QRat, Necurs僵尸网络, Trojan, Trojan-Downloader.JS.Agent, Trojan-Downloader.JS.SLoad, Trojan-PSW.Win32.Fareit, Trojan.PDF.Phish, Worm.Win32.WBVB, 勒索邮件, 卡巴斯基报告, 卡巴斯基钓鱼 2017, 卡巴斯基钓鱼报告, 垃圾邮件, 域名欺诈, 安全报告, 网络钓鱼, 网络钓鱼报告, 网络钓鱼报告 2017, 邮件附件病毒

网络钓鱼，一个网络安全界永恒的话题。近日，卡巴斯基发布了《2017年Q2垃圾邮件与网络钓鱼分析报告》，分析和总结了2017年第二季度全球垃圾邮件和钓鱼网站的状况。值得注意的是，在早期的网络攻击活动中，钓鱼者依靠用户的粗心和技术水平低下来窃取敏感数据。然而，随着用户警惕意识和技术水平越来越高，钓鱼者不得不发展新技术，以引诱用户访问钓鱼网站，例如将网络钓鱼页面放在知名组织拥有的域名上。

网络钓鱼大讲堂 Part5 | 网络钓鱼对策（反钓鱼）

2017-09-12绿盟科技反钓鱼, 反钓鱼攻击, 反钓鱼的整体防护, 垃圾邮件, 如何防范钓鱼邮件, 网络钓鱼, 网络钓鱼对策, 网络钓鱼攻击, 钓鱼邮件安全措施, 钓鱼邮件的安全措施, 防范网络钓鱼, 防范网络钓鱼手段, 防范钓鱼网站的方法, 防钓鱼措施

对抗网络钓鱼的方法有技术性的，也有非技术性的。本文着重介绍了四种反钓鱼技术：

反钓鱼技术手段
非技术对策
模拟钓鱼攻击
反钓鱼小贴士

网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术

2017-09-12绿盟科技绿盟钓鱼, 网络钓鱼, 网络钓鱼常用手段, 网络钓鱼常用的手段是, 钓鱼, 钓鱼攻击, 钓鱼网站, 钓鱼邮件, 鱼叉式网络钓鱼攻击, 黑客常用的攻击手段

要防护网络钓鱼攻击并制定相应计划，深入了解攻击者很关键，需要更多地了解此类攻击过程，包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生，再到提交诱饵并收集数据这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患，在他们制定对抗攻击的关键步骤时还能提供重要的参考，有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业，但请记住“凡事预则立”。