腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
天存信息的专栏
致力Web安全20年
专栏作者
举报
38
文章
49269
阅读量
14
订阅数
订阅专栏
申请加入专栏
全部文章
网络安全
运维
Web 应用防火墙
http
天御验证码
url 安全
javascript
html
linux
网站
c 语言
python
汇编语言
数据库
sqlite
搜索引擎
apache
nginx
数据安全
压力测试
windows
https
网站渗透测试
搜索文章
搜索
搜索
关闭
HVV奇兵—网页防篡改系统在网络安全实战演习中的妙用(上)
网络安全
运维
Web 应用防火墙
http
网站
近年来,网络安全实战演习受到各大关基单位的高度关注。对于网络安全实战演习的防守方,防火墙、Web应用防火墙、态势感知、EDR、蜜罐等都是较为常见的防守工具,而网页防篡改系统则鲜有露脸的机会——
天存信息
2021-11-12
1.2K
0
进击的反爬机制
Web 应用防火墙
网络安全
运维
http
反爬方与爬虫方相互博弈,不断制造爬取难度,或一定程度上阻止了爬虫行为。爬虫方也在不断更新技术,来对抗种种反爬限制。
天存信息
2021-08-24
1.6K
0
2020 网络安全重保日记
Web 应用防火墙
网络安全
运维
http
2020 年双节前夕,国内疫情稳定,长假将启,各项安保措施比以往有所升级,而此时更是网络安全重点保障时期,信息安全工作尤其不能懈怠。各用户单位也陆续启动响应,对网络安全负责人、联络人通知到位,深度排查网络安全风险,及时调整网络安全策略,部署实施态势感知、应急响应、持续安全评估、安全监测巡检等安全措施,并确保安全人员现场保障。安保工作如火如荼,天存信息的技术工程人员也相继奔赴各个信息重保工作现场。
天存信息
2021-08-13
1.1K
0
WEB安全新玩法 [11] 防范批量注册
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。
天存信息
2021-08-03
941
0
WEB安全新玩法 [10] 防范竞争条件支付漏洞
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。
天存信息
2021-07-30
910
0
WEB安全新玩法 [9] 重置密码之验证流程防绕过
Web 应用防火墙
网络安全
天御验证码
运维
http
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。
天存信息
2021-07-29
998
0
WEB安全新玩法 [8] 阻止订单重复提交
Web 应用防火墙
天御验证码
网络安全
运维
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品,也有可能造成实际损失。订单重复提交的检查工作本应该由网站自身实现,而 iFlow 业务安全加固平台则可以为未实现这项功能的网站提供防护。
天存信息
2021-07-28
1.5K
0
WEB安全新玩法 [7] 加密不安全下载路径
Web 应用防火墙
网络安全
url 安全
天御验证码
运维
提供下载功能的网站,其下载资源的链接是任何用户都能获取的。如若设计不当,攻击者通过分析链接的文本,能够构造出意外但有效的链接,访问网站功能之外的资源,从而窃取主机上的敏感信息。
天存信息
2021-07-01
483
0
WEB安全新玩法 [6] 防范图形验证码重复使用
Web 应用防火墙
天御验证码
网络安全
运维
数据安全
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。
天存信息
2021-06-30
915
0
WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
Web 应用防火墙
网络安全
天御验证码
运维
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。
天存信息
2021-06-29
1K
0
WEB安全新玩法 [4] 防护邮箱密码重置漏洞
Web 应用防火墙
天御验证码
网络安全
运维
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全而被攻击者加以利用。iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。
天存信息
2021-06-28
2.2K
0
WEB安全新玩法 [3] 防护交易数据篡改
Web 应用防火墙
网络安全
url 安全
运维
天御验证码
在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中,这些交易数据逐渐形成;待客户提交订单时,交易数据被商家接收,形成双方认可的订单。交易数据在形成过程中必须要有可靠的临时存储,而不可靠的存储会允许攻击者提交伪造的交易数据,使商家利益受损。
天存信息
2021-06-24
1.6K
0
WEB安全新玩法 [2] 防范前端验证绕过
Web 应用防火墙
网络安全
天御验证码
运维
用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的攻击难度。
天存信息
2021-06-23
1.6K
0
WEB安全新玩法 [1] 业务安全动态加固平台
Web 应用防火墙
url 安全
网络安全
运维
http
近年来,信息安全体系建设趋于完善,以注入攻击、跨站攻击等为代表的传统 Web 应用层攻击很大程度上得到了缓解。但是,Web 应用的业务功能日益丰富、在线交易活动愈加频繁,新的安全问题也随之呈现:基于 Web 应用所承载的交易特性,某些利用其业务逻辑设计缺陷来构造的针对具体业务的攻击逐渐成为主流,我们称之为业务层攻击。
天存信息
2021-06-22
428
0
类编程的WAF(下)
Web 应用防火墙
网络安全
运维
汇编语言
天存信息的iWall3应用防火墙是一种创新式的类编程 WAF,它包含了编程语言的一些基本要素。
天存信息
2021-06-18
843
0
类编程的WAF(上)
Web 应用防火墙
网络安全
运维
WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用,其功能和运行环境往往是复杂且千差万别的,这导致即便防御某个特定的攻击方式时,用户需求也可能是细致而多样的。
天存信息
2021-06-17
677
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档