【专题策划】DDoS葵花宝典:从A到Z细说DDoS
不懂DDoS,不足以聊人生。身为网安人士,不侃几句DDoS怎么能显示出自己的文化底蕴。当领导/客户/女神歪着头问你“大牛,唠5块钱的DDoS呗。”这种关键时刻可不能怂。速速打开这份“DDoS葵花宝典”,从DDoS的概念、攻击方式、工具到防御一应俱全。让你成为最闪亮的DDoS之星!
恶意样本分析手册——通讯篇
传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通 讯,在此基础上还有利用 HTTP/HTTPS,IRC,P2P 等其他应用层协议 来进行通讯的。一般来说在调试网络通信的过程中,无论恶意软件采 用何种协议均对我们所关注的内容无太多影响,只需要获取到对应的 网络通信数据即可,而且在调试方法上基本无差别,故我们将以调试 利用 TCP 通信的样本为例,讲述如何调试样本中的网络通信部分。对 于其他常见的应用层协议,我们将对其网络结构及相关的僵尸网络构 建方式和方法进行简单描述,便于读者理解。
【Web安全】浅谈Web安全验证码
2018年春运即将拉开帷幕。春运又称“年度全球最大规模的人口流动”,是一部“人民的斗争史”,起初只是与黄牛斗智斗勇,后来为了整治黄牛12306不断升级验证码,于是大家开始了与验证码斗智斗勇。那么这种验证码是否是必须的?且看小编对Web安全之验证码的解读。
【云安全】关于安全服务模型的一些思考
本文从云计算出发,结合云计算的优点,分析了云化的各种安全服务提供方式的特点和优势,总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲,其使用的门槛和难易度是逐级递加的,三种服务提供方式对用户的专业程度要求也是逐级递加的,其防护的灵活度、安全防护的效果当然也是逐级递加的。
【云安全】云安全如何站队:SDN or NFV
2017,云安全的问题又成了广大用户关注的重点,交流和需求明显的增多。可能一直以来,不管是传统的网络厂商,安全厂商还是云服务提供商,似乎始终没给云安全提出过一个合理的架构和解决方案,在经历了相当长一段时间的低谷期,伴随着近期一些新老感念的热炒,云安全似乎又重新占据了各个安全管理员的“心”。
【数据安全】一文读懂数据内容识别核心技术
小王所在企业因为办公文件通过网络出口被泄露到了互联网上被有关部门通报了……
去年单位刚刚在网络出口部署了具有拦截敏感文件外发功能的设备,为什么还会出现这种情况呢?
那我们就要从数据防泄漏通用技术说起了。
【漏洞分析】struts2漏洞中关于动态方法调用的一点思考
struts2框架是一个比较容易出问题的框架,本篇文章分享strusts2的三种调用方式:制定method调用方式、感叹号!调用和通配符调用,以及漏洞的利用方式。
聊聊CVE漏洞编号和正式公开那些事
CVE编号获得易,正式公开难!有价值更难!!
获得CVE编号并不等于这个漏洞是有价值的,甚至说这个漏洞都不一定是真实存在的。这主要源于CVE编号颁发机构开放式的工作模式,后面我们会详细介绍。
phpwind利用hash长度扩展攻击修改后台密码getshell
哈希长度扩展攻击(hash length attack)是一类针对某些哈希函数可以额外添加一些信息的攻击手段,适用于已经确定哈希值和密钥长度的情况。这里推荐有python扩展的HashPump,HashPump是一个借助于OpenSSL实现了针对多种散列函数的攻击的工具,支持针对MD5、CRC32、SHA1、SHA256和SHA512等长度扩展攻击。
OWASP TOP 10 2017 | 最新十大WEB安全风险你都GET到了吗?
近几年,云、大数据、物联网、人工智能等技术广泛应用,软件开发过程引入敏捷开发和DevOps实现开发运维工作自动化、版本快速迭代。迅速扩张的攻击面也伴随而来,攻击者总是能找到新的攻击面。在此背景下,时隔4年我们再次迎来OWASP Top 10(十大Web应用安全风险)的正式更新。
OWASP自动化WEB威胁介绍
现在的绝大多数安全厂商,始终还在对用户强调SQL注入,XSS等常见攻击的重要性、危害性以及用户的WEB防护是多么多么不堪一击,但从攻击者的角度来看,其最终目的并不是通过SQL注入、XSS等攻击形式获得用户数据,而是获得这些数据后如何加以利用,从而达到最终的目的。OAT自动化威胁手册主要描述黑客获得用户数据后,如何利用应用程序漏洞达到最终目的提供了有意义的见解。