腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
天存信息的专栏
致力Web安全20年
专栏成员
举报
38
文章
53542
阅读量
14
订阅数
订阅专栏
申请加入专栏
全部文章(38)
网络安全(37)
运维(35)
Web 应用防火墙(16)
http(13)
天御验证码(11)
url 安全(6)
javascript(2)
html(2)
linux(2)
网站(2)
c 语言(1)
python(1)
汇编语言(1)
数据库(1)
sqlite(1)
搜索引擎(1)
apache(1)
nginx(1)
数据安全(1)
压力测试(1)
windows(1)
https(1)
网站渗透测试(1)
搜索文章
搜索
搜索
关闭
披着羊皮的Neo-reGeorg
网络安全
天御验证码
运维
http
python
混迹 Web 安全行业许久,查杀网站后门已是家常便饭。时间久了,养“马”场也见的多了,Neo-reGeorg 算得上是同类中战斗力超群的“野马”了,也深受黑客和安全渗透人员的喜爱。Neo-reGeorg 能够简化攻击流程。通常,拿下 Web 服务器并进一步横向渗透时,在 Web 服务器上安装必要辅助工具的过程往往不会很顺利。而 Neo-reGeorg 可以让问题变得轻松很多,只需在本地安装好扫描工具,通过 Neo-reGeorg 把流量透传到 Web 服务器内部就可以了。
天存信息
2021-08-18
2.2K
1
WEB安全新玩法 [11] 防范批量注册
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。
天存信息
2021-08-03
1K
0
WEB安全新玩法 [10] 防范竞争条件支付漏洞
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。
天存信息
2021-07-30
989
0
WEB安全新玩法 [9] 重置密码之验证流程防绕过
Web 应用防火墙
网络安全
天御验证码
运维
http
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。
天存信息
2021-07-29
1.1K
0
WEB安全新玩法 [8] 阻止订单重复提交
Web 应用防火墙
天御验证码
网络安全
运维
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品,也有可能造成实际损失。订单重复提交的检查工作本应该由网站自身实现,而 iFlow 业务安全加固平台则可以为未实现这项功能的网站提供防护。
天存信息
2021-07-28
1.5K
0
WEB安全新玩法 [7] 加密不安全下载路径
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
提供下载功能的网站,其下载资源的链接是任何用户都能获取的。如若设计不当,攻击者通过分析链接的文本,能够构造出意外但有效的链接,访问网站功能之外的资源,从而窃取主机上的敏感信息。
天存信息
2021-07-01
518
0
WEB安全新玩法 [6] 防范图形验证码重复使用
Web 应用防火墙
天御验证码
网络安全
运维
数据安全
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。
天存信息
2021-06-30
1K
0
WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
Web 应用防火墙
网络安全
天御验证码
运维
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。
天存信息
2021-06-29
1.1K
0
WEB安全新玩法 [4] 防护邮箱密码重置漏洞
Web 应用防火墙
天御验证码
网络安全
运维
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全而被攻击者加以利用。iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。
天存信息
2021-06-28
2.2K
0
WEB安全新玩法 [3] 防护交易数据篡改
Web 应用防火墙
网络安全
url 安全
运维
天御验证码
在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中,这些交易数据逐渐形成;待客户提交订单时,交易数据被商家接收,形成双方认可的订单。交易数据在形成过程中必须要有可靠的临时存储,而不可靠的存储会允许攻击者提交伪造的交易数据,使商家利益受损。
天存信息
2021-06-24
1.7K
0
WEB安全新玩法 [2] 防范前端验证绕过
Web 应用防火墙
网络安全
天御验证码
运维
用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的攻击难度。
天存信息
2021-06-23
1.7K
0
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
立即查看
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档