腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
天存信息的专栏
致力Web安全20年
专栏作者
举报
38
文章
49395
阅读量
14
订阅数
订阅专栏
申请加入专栏
全部文章
网络安全
运维
Web 应用防火墙
http
天御验证码
url 安全
javascript
html
linux
网站
c 语言
python
汇编语言
数据库
sqlite
搜索引擎
apache
nginx
数据安全
压力测试
windows
https
网站渗透测试
搜索文章
搜索
搜索
关闭
HVV奇兵—网页防篡改系统在网络安全实战演习中的妙用(上)
网络安全
运维
Web 应用防火墙
http
网站
近年来,网络安全实战演习受到各大关基单位的高度关注。对于网络安全实战演习的防守方,防火墙、Web应用防火墙、态势感知、EDR、蜜罐等都是较为常见的防守工具,而网页防篡改系统则鲜有露脸的机会——
天存信息
2021-11-12
1.2K
0
iGuard6.0—各适其用的网站防护体系
网络安全
运维
http
网站
随着互联网新技术的涌现,网站的架构技术和涉及的资源也日益多样且复杂化。这对网站各类资源的防护工作也提出了更高的挑战和更细粒度的需求。
天存信息
2021-09-26
400
0
iGuard6.0 — 有序组织的网页防篡改
网络安全
运维
http
马克·吐温和理查·芒格说过:如果你身上唯一的工具是把锤子,那么你会把所有的问题都看成钉子。网页防篡改产品诞生之初就是这样一个情形:一个产品只采用一种防护手段。这些手段有的是依托于厂商掌握的先进核心技术发展而成,有的是在成熟技术基础上稍加改变而实现。无论采取哪种防护手段,厂商往往会过度强调其普适性和有效性,一招鲜吃遍天。
天存信息
2021-09-01
1.3K
0
iGuard和NFS文件同步的解决方案
网络安全
运维
linux
一般来说,从文件系统中获得文件变化信息,调用操作系统提供的 API 即可。Windows 操作系统上有个名为 ReadDirectoryChangesW 的 API 接口,只要监视一个目录路径就可以获得包括其子目录下的所有文件变化信息,简单高效;接口的支持度也很广,现有主流的 Windows 操作系统都支持,往前还可以追溯到 Windows 2000。对码农来说,能提供稳定有效且好用的 API 的系统就是好系统。而本文将讨论 iGuard 网页防篡改系统在 Linux 上获取文件变化信息的方法及从 NFS 网络文件系统中获取文件变化时遇到的困难和心得。
天存信息
2021-08-31
699
0
iGuard和NFS文件同步的解决方案
网络安全
运维
linux
一般来说,从文件系统中获得文件变化信息,调用操作系统提供的 API 即可。Windows 操作系统上有个名为 ReadDirectoryChangesW 的 API 接口,只要监视一个目录路径就可以获得包括其子目录下的所有文件变化信息,简单高效;接口的支持度也很广,现有主流的 Windows 操作系统都支持,往前还可以追溯到 Windows 2000。对码农来说,能提供稳定有效且好用的 API 的系统就是好系统。而本文将讨论 iGuard 网页防篡改系统在 Linux 上获取文件变化信息的方法及从 NFS 网络文件系统中获取文件变化时遇到的困难和心得。
天存信息
2021-08-31
699
0
网页防篡改系统与网站安全
网络安全
运维
http
随着网络安全攻防实战演习常态化,企事业单位的网络安全规划标准、建设水平和管理能力均得到大幅提升,反过来也促进了网络安全产品的更新迭代。很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战,网页防篡改系统也不例外。
天存信息
2021-08-27
2.2K
0
网站遭遇CC攻击怎么破?
apache
运维
网络安全
nginx
压力测试
这里用一个段子做引,顾客点了份鱼香肉丝没有肉丝,找店家理论,店家矢口否认,于是第二天顾客找了 N 多闲杂人等把小饭馆全部坐满,还不消费,正常顾客无法消费就餐,店主损失巨大。
天存信息
2021-08-25
1K
0
进击的反爬机制
Web 应用防火墙
网络安全
运维
http
反爬方与爬虫方相互博弈,不断制造爬取难度,或一定程度上阻止了爬虫行为。爬虫方也在不断更新技术,来对抗种种反爬限制。
天存信息
2021-08-24
1.6K
0
披着羊皮的Neo-reGeorg
网络安全
天御验证码
运维
http
python
混迹 Web 安全行业许久,查杀网站后门已是家常便饭。时间久了,养“马”场也见的多了,Neo-reGeorg 算得上是同类中战斗力超群的“野马”了,也深受黑客和安全渗透人员的喜爱。Neo-reGeorg 能够简化攻击流程。通常,拿下 Web 服务器并进一步横向渗透时,在 Web 服务器上安装必要辅助工具的过程往往不会很顺利。而 Neo-reGeorg 可以让问题变得轻松很多,只需在本地安装好扫描工具,通过 Neo-reGeorg 把流量透传到 Web 服务器内部就可以了。
天存信息
2021-08-18
1.8K
1
2020 网络安全重保日记
Web 应用防火墙
网络安全
运维
http
2020 年双节前夕,国内疫情稳定,长假将启,各项安保措施比以往有所升级,而此时更是网络安全重点保障时期,信息安全工作尤其不能懈怠。各用户单位也陆续启动响应,对网络安全负责人、联络人通知到位,深度排查网络安全风险,及时调整网络安全策略,部署实施态势感知、应急响应、持续安全评估、安全监测巡检等安全措施,并确保安全人员现场保障。安保工作如火如荼,天存信息的技术工程人员也相继奔赴各个信息重保工作现场。
天存信息
2021-08-13
1.1K
0
WEB安全新玩法 [11] 防范批量注册
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。
天存信息
2021-08-03
942
0
WEB安全新玩法 [10] 防范竞争条件支付漏洞
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。
天存信息
2021-07-30
911
0
WEB安全新玩法 [9] 重置密码之验证流程防绕过
Web 应用防火墙
网络安全
天御验证码
运维
http
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。
天存信息
2021-07-29
1K
0
WEB安全新玩法 [8] 阻止订单重复提交
Web 应用防火墙
天御验证码
网络安全
运维
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品,也有可能造成实际损失。订单重复提交的检查工作本应该由网站自身实现,而 iFlow 业务安全加固平台则可以为未实现这项功能的网站提供防护。
天存信息
2021-07-28
1.5K
0
WEB安全新玩法 [7] 加密不安全下载路径
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
提供下载功能的网站,其下载资源的链接是任何用户都能获取的。如若设计不当,攻击者通过分析链接的文本,能够构造出意外但有效的链接,访问网站功能之外的资源,从而窃取主机上的敏感信息。
天存信息
2021-07-01
483
0
WEB安全新玩法 [6] 防范图形验证码重复使用
Web 应用防火墙
天御验证码
网络安全
运维
数据安全
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。
天存信息
2021-06-30
915
0
WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
Web 应用防火墙
网络安全
天御验证码
运维
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。
天存信息
2021-06-29
1K
0
WEB安全新玩法 [4] 防护邮箱密码重置漏洞
Web 应用防火墙
天御验证码
网络安全
运维
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全而被攻击者加以利用。iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。
天存信息
2021-06-28
2.2K
0
WEB安全新玩法 [3] 防护交易数据篡改
Web 应用防火墙
网络安全
url 安全
运维
天御验证码
在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中,这些交易数据逐渐形成;待客户提交订单时,交易数据被商家接收,形成双方认可的订单。交易数据在形成过程中必须要有可靠的临时存储,而不可靠的存储会允许攻击者提交伪造的交易数据,使商家利益受损。
天存信息
2021-06-24
1.6K
0
WEB安全新玩法 [2] 防范前端验证绕过
Web 应用防火墙
网络安全
天御验证码
运维
用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的攻击难度。
天存信息
2021-06-23
1.6K
0
点击加载更多
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档