展开

关键词

防护报告

仍然是目前互联的最大风险来源第一,包括现有的PC,移动端,APP,微信API接口小程序的流量越来越多,尤其移动端的访问超过了单独的PC点,手机移动用户多余PC电脑,人们的生活习惯也在改变 ,APP的流量占据整个互联的市场,简单易用的同时,也带来了新的方面的问题,APP的问题,也层出不穷。 据我们SINE公司对整个2019年的第一季度,第二季度的发现,漏洞排名第一的还是SQL注入漏洞,以及XSS跨漏洞,DDOS流量攻击等等的漏洞攻击,CSRF也挤进了漏洞的前五,可看出该漏洞的危害性也日益严重 ,许多的用户信息泄露,被攻击瘫痪打不开,给公司的运营带来了严重的影响,经济损失以及公司名誉损失都是双重的挑战,根据我们SINE对2019年一,二,季度的综合与漏洞攻击分析,来给大家呈现 2019年的报告。

83950

成为 HTTPS

HTTPS称:Hyper Text Transfer Protocol over Secure Socket Layer),是以为目标的HTTP通道,简单讲是HTTP的版。 即HTTP下加入SSL层,HTTPS基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于的HTTP数据传输。 这个系统的最初研发由景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维敏感的通讯,例如交易支付方面。 简而言之,就是让你的有下图这个小绿标: ? 选择直接通过 HTTPS 访问并删除 HTTP 的方式,或者保留 HTTP,如何你确定你中所有的链接都是按照HTTPS来配置的,那么你可以像我这样选择 2。 ?

46710
  • 广告
    关闭

    最壕十一月,敢写就有奖

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    报告 2020最面篇

    2020年即将到来,2019年的工作已经接近尾声,我们SINE平台对上万客户防护情况做了面的分析与统计,整理出2020年的报告,针对发现的漏洞以及事件来更好的完善 主要监的是漏洞监风险,敏感信息泄露风险,密码风险,搜索引擎收录劫持风险监。 ,就是前端用户输入到后端,没有对其输入的内容进行查,导致可以插入恶意的sql注入代码到当中去,从而传入到数据库当中进行了查询,更新,增加等数据库的操作。 源代码远程执行漏洞:是指客户源代码在设计过程当中,没有对get,post,cookies的传输进行严格的逻辑判断与查,导致可以溢出调用代码向外请求发包,获取数据进而到当中执行了恶意代码 敏感信息泄露以及内容查:对所有的客户进行监发现,很多之前被篡改挂马过,其中很多内容属于敏感信息,由于内容问题我们看下图:以上敏感信息都是近一年发生的,在2020年也会持续性的增长

    2.6K30

    如何设是真的“”?

    传统方式当前的查都是通过静态扫描的方式,来存在的漏洞和后门等问题,以是否存在漏洞来判断是否“”,这种方式通常都是依靠漏洞的“特征”,但是,黑客攻击的方式越来越隐蔽 基于行为的异常方式 针对可能遭受的各种已知和未知威胁,必须在络流量中对各种访问的行为进行异常,包含对请求包和响应内容的双向分析,通过无签名的动态行为分析机制,判断异常的访问行为,来发现各种隐蔽的攻击事件 基于行为的异常价值基于行为的双向流量异常,不仅发现请求报文中的异常攻击,还可以发现返回页面中包含的后门指纹信息,在发现存在访问WEBSHELL后门的事件时,可以说明该后门是真实存在且活跃的, 恒APT异常能力恒信息的明御®APT攻击(络战)预警平台可以为提供最后一层保障,通过深度的协议解析和动态的行为分析,弥补了传统产品仅依靠特征的缺陷,能到传统设备无法的攻击 以领先的性能和极高的准确率,帮助用户发现了大量有价值的恶意威胁和当前防护的弱点,极大提升了防护的策略和能力。识别恶意行为、发现未知威胁、直击新型络攻击。?

    54150

    之图片验证码

    在对进行整体的的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些功能方面都会用到图片验证码,针对于验证码我们SINE对其进行了详细的,以及图片验证码防护方面 我们SINE在对验证码的同时,会出现很多方面的隐患,以及验证码的漏洞,比较常出现的就是的验证码重复利用漏洞,该验证码漏洞可以导致攻击者对其复制,重复使用一个验证码,进而对用户的账号密码进行暴力破 在对其他进行验证码时,也发现了一种验证码上的问题,验证验证码后,并没有将验证码删除,导致可以重复使用,应该对其验证码效验的时候进行返回MD5值,每个请求的返回都不相同,防止用户密码遭到暴力破 针对于验证码的防护以及漏洞修复方案对验证码的时效时间进行限制,一般限制30秒或者50秒之间失效,对于同一IP在同一时间进行多次的验证码请求频率上做防护,限制1分钟请求的次数或者是10分钟内的请求次数 对于图片验证码的图片进行噪点渲染,防止图片被团OCR自动识别。

    38640

    渗透试以及服务

    许多客户在,以及APP上线的同时,都会提前的对进行面的渗透试以及,提前出存在的漏洞,以免后期发展过程中出现重大的经济损失,前段时间有客户找到我们SINE公司做渗透试服务 使用的是php语言开发,采用是mysql数据库,客户服务器用的是linux centos系统,用phpstudy一键环境搭,PHP的版本是5.5,mysql数据库版本是5.6.客户是一个平台, 下面开始我们的整个渗透试过程,首先客户授权我们进行试,我们才能放开手的去干,首先的是是否存在SQL注入漏洞,我们SINE是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的 代码里的getenv参数是获取前端用户的https头信息,通过数据比对,如果头信息大那么久返回0值然后再将IP赋值进去,通俗来讲就是没有任何的效验与拦截,直接将变量的IP带入到mysql据库。 接下来还得的各项功能以及APP功能是否存在逻辑漏洞,越权漏洞,水平垂直等等,我们SINE技术详细的对每一个功能都试很多遍,一次,两次,多次的反复进行,在用户重置密码功能这里发现有漏洞,正常功能代码设计是这样的流程

    37810

    渗透具体方法

    这几天整理了下渗透试中基础部分的第三节,我们SINE渗透工程师对代码审计,手工渗透查代码的危险漏洞方法,找出问题重点,配合工具扫描来达到试漏洞的目的,本试重点仅限于客户授权才能操作 以下方法只是提供的具体参考意见。1.5. 代码审计1.5.1. 简介代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。 常见功能异常协议,拒绝不符合HTTP标准的请求对状态管理进行会话保护Cookies保护信息泄露保护DDoS防护禁止某些IP访问可疑IPHTTP头管理X-XSS-ProtectionX-Frame-Options 信息利用中有相当多的信息,本身、各项策略、设置等都可能暴露出一些信息。本身的交互通常不囿于单个域名,会和其他子域交互。对于这种情况,可以通过爬取,收集点中的其他子域信息。 子域爆破在内等不易用到以上技巧的环境,或者想监新域名上线时,可以通过批量尝试的方式,找到有效的域名,以上等内容基础面性比较覆盖方便的渗透试方法,如果对此有需求可以联系专业的公司来处理解决

    73030

    之逻辑漏洞 修复方案

    是整个运营中最重要的一部分,没有了,那用户的隐私如何保障,在中进行的任何交易,支付,用户的注册信息都就没有了保障,所以做好了,才能更好的去运营一个,我们SINE在对客户进行部署与的同时 里的用户密码暴利破解,是目前业务逻辑漏洞里出现比较多的一个漏洞,其实暴力破解简单来说就是利用用户的弱口令,比如123456,111111,22222,admin等比较常用的密码,来进行猜并尝试登陆进行用户密码登陆 在我们SINE对客户漏洞的同时,我们都会去从用户的登录,密码找回,用户注册,二级密码等等业务功能上去进行,通过我们十多年来的经验,我们来简单的介绍一下。 IP锁定机制就是一些会采用一些防护措施,当用户登录的时候,登录错误次数超过3次,或者10次,会将该用户账号锁定并锁定该登录账户的IP,IP锁定后,该攻击者将无法登录。 验证码破解与绕过,在整个当中很重要,一般验证码分为手机短信验证码,微信验证码,图片验证码,在设计过程中就使用了验证码机制,但是还是会绕过以及暴利破解,有些攻击软件会自动的识别验证码,

    38320

    接口试基础知识HTTP和HTTPS的区别,8种HTTP请求方式:GETPOSTDELETE……

    HTTPS协议的主要作用可以分为两种:一种是立一个信息通道,来保证数据传输的;另一种就是确认的真实性。二、HTTP与HTTPS有什么区别? (4)客户端的浏览器根据双方同意的等级,立会话密钥,然后利用的公钥将会话密钥加密,并传送给。(5)Web服务器利用自己的私钥解密出会话密钥。 通常,这表示服务器已提供了请求的页。如果您的 robots.txt 文件显示为此状态,则表示 工具 已成功索到该文件。201(已) 请求成功且服务器已了新的资源。 但由于 工具 会继续抓取原有位置并将其编入索引,因此您不应使用此代码来通知 工具 某个页面或已被移动。 如果 工具 在尝试抓取的有效页时收到此状态代码(您可在长工具中运行工具下的抓取错误页上进行查看),则可能是因为您的服务器或主机正在阻止 工具 进行访问。

    53620

    开启 HTTPS(一、又拍云一键部署)

    为鼓励HTTPS 实现,Google 甚至调整了搜索引擎算法,让采用 HTTPS在搜索中排名更靠前。想必在不久的将来, HTTPS 势在必行。? 越来越多的选择 HTTPS 加密访问作为用户信息与的保障,所以趁着过年这几天有时间,准备把手下所有部加上小绿锁,这几天也一直在研究,终于搞定,,一通通,其实步骤也不难,只需要几步就可以搞定 进入又拍云官:又拍云,注册账号什么的不用我说了,大家都会。这个是,现在访问还是 http 形式的,非常不。?注册好账号后,进入又拍云的控制台,如图依次点击:?点击继续:? 接下来是服务:?服务名称只要自己方便记忆就好,这里回源协议选择 HTTP,服务器端的配置文件不需要更改,更加方便:?根据提示填写:?服务成功:?根据提示到域名服务商添加 CNAME 记录:? cd lnmp1.3-fulllnmp nginx restart,ssllabs:?4.总结虽然看起来步骤简单,但是大家动手才知道。

    628110

    |Dvwa渗透

    Dvwa简介DVWA(Damn Vulnerable Web Application)是一个用来进行脆弱性鉴定的PHPMySQL Web应用,旨在为专业人员试自己的专业技能和工具提供合法的环境 Dvwa第一步下载phpstudy(https:www.xp.cnwenda401.html)由于Dvwa是php,所以需要在php环境下运行。 装完成后打开phpstudy并启动以下两项,之后打开浏览器输入locahost试php环境是否搭成功。??? 第三步访问搭好的Dvwa通过cmd命令ipconfig查询本机ip地址,最后通过其他电脑访问,用户名默认为“admin”密码默认为“password”。 进入可根据个人选择不同难度,如下图所示。???结语由此完成,渗透试人员或学习渗透试的朋友们,可以在自己的开始高破坏了。希望大家留言转发关注“算法与编程之美”公众号。

    41100

    长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题

    但是其过程有一个比较复杂的问题,就是点迁移到HTTPS。?HTTP点迁移到HTTPS时,并非是新一个点。如果操作出错,Google就会认为你在新一个点。 如果只在单个页面设置HTTPS,那么该点的访问者就会从连接跳转到非连接然后返回。这种做法会给服务器带来额外的压力,因为SSL握手过程是一个复杂的过程。 因此,使用HTTPS链接到您的HTTP点时就可能会一条错误消息“点无法访问”。?WWW还是非WWW?关于是否引用WWW,在迁移HTTPS之前,各大长应提前做好最终决定。 试服务器 – 服务器如何响应和不链接的请求?用户需要添加更多的301来弥补。审核自己的址 – 通过工具来查您的址是否有重复的内容错误。 查404s – 这只是良好的习惯,使用谷歌搜索控制台来查找和补救正在生产的任何404错误。最后SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是传输的加密通道。

    30670

    中具体渗透试方法

    越来越多的以及app手机端客户注重渗透试服务,上线前必须要对平台进行面的预渗透试找出漏洞以及BUG,很多客户找我们SINE,做渗透试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透试方法流程大体写的面一点给大家呈现 SSH 为 Secure Shell 的缩写,由 IETF 的络工作小组(Network Working Group)所制定;SSH 为立在应用层和传输层基础上的协议。 此外,OpenStack也用作防火墙内的“私有云”(Private Cloud),提供机构或企业内各部门共享资源。漏洞,有漏洞但是POC基本没有。查时候可以参考的配置实践。 问题(很少有漏洞的POC,查也是基于最佳实践和官方议进行):CVE-2015-3630 1.6.0 Docker Libcontainer 绕过漏洞CVE-2015-3627 1.6.1 1.内使用工具渗透的一些原则使用适合自己的工具,工具没必要收集太多,够用就行;能根据实际情况编写适用的工具;不能确保的工具均要在虚拟机中运行(很 多捆绑病毒木马);做查的话,尽量使用 GitHub

    55420

    HTTPS-让得到更好的保障

    许多大厂已经开始发放免费SSL证书,但是由于许多长的不重视,至今仍有大量并未实现HTTPS。 但是在今年的年初,Google Chrome团队将未使用HTTPS协议的标注的“不”标签变得醒目,使得很多长选择了使用SSL证书,来提高的可信度。 简介HTTPS不是一项技术,而是一种对于HTTPS证书的部署方式。有的会采用首页HTTPS、HTTP+HTTPS密码传输的方式来在一定程度上保障。 但是相较于非HTTPSHTTPS会更加,也省去了HTTP和HTTPS互跳转所带来的延迟。实现实现HTTPS,需要先从HTTPS开始。 总结HTTPS是一个大趋势,将来可能在所有软件之中使用HTTP协议传输的内容都会被标注为不无价,只有保障了访客与的传输处在的协议之下,才能确保隐私和数据的

    8310

    提示该内容被禁止访问

    很多公司都在使用Kindeditor开源的图片上传系统,该上传系统是可视化的,采用的开发语言支持asp、aspx、php、jsp,几乎支持了所有的可以使用他们的上传系统,对浏览器的兼容以及手机端也是比较不错的 前端时间我们SINE对其进行面的漏洞的时候发现,Kindeditor存在严重的上传漏洞,很多公司,以及事业单位的都被上传违规内容,包括一些赌博的内容,从我们的平台发现,2019 代码里,该代码并没有对用户上传的文件格式,以及大小进行,导致用户可以伪造恶意文件进行上传,尤其html文件可以直接上传到的目录下,直接让搜索引擎抓取并收录。 Kindeditor漏洞修复方案以及办法该漏洞影响范围较广,攻击较多,一般都是公司企业以及政府事业单位,攻击者利用上传漏洞对其上传一些菠菜赌博棋牌等内容的html文件来进行百度快照的劫持,议将上传功能进行删除 如果对代码不是太熟悉的话,可以找专业的公司来处理,国内也就Sinesafe公司和绿盟、启明星辰、深信服等公司比较专业。

    53910

    Web应用服务器:攻击、防护与

    如果到跨脚本攻击,浏览器将清除页面(删除不的部分)。mode=block 启用XSS过滤, 如果到攻击,浏览器将不会清除页面,而是阻止页面加载。 如果到跨脚本攻击,浏览器将清除页面并使用 CSP report-uri 指令的功能发送违规报告。 研究员 Scott Helme 贡献了一个非常棒的 https:securityheaders.io,可以分析自己点的Header(报文头),并提出改进性的议。 加固前的结果 加固后的结果 扩展阅读: 专题合辑《Cyber-Security Manual》 Cyber-Security: 警惕 Wi-Fi 漏洞,争取 Cyber-Security : Web应用:攻击、防护和 Cyber-Security: IPv6 & Security Cyber-Security: OpenSSH 并不 Cyber-Security: LinuxXOR.DDoS

    92790

    10月,HTTP即将面临Chrome的又一波“大封杀”

    逐步推出的目的,旨在快速缓解严重的风险,鉴于移动平台具有更好的抵御恶意文件的本机防护功能,为开发人员提供更新其的缓冲时间,避免因不影响Chrome用户的使用体验。 您的内容混合吗? 相信多数管理者不清楚其有哪些混合内容,而Chrome 86版本的重大更新帮助用户了解所有HTTP都是不的,迫使管理员将其点升级到更HTTPS协议,保护用户的隐私和数据。  应对策略 ① 查您的上的混合内容不链接,排查内的加载文件,确保所有文件都仅通过HTTPS下载,可借助证书工具解决HTTPS的不(外链)问题,对实时监控并获取专业评估报告,以便自己部署的 HTTPS是否真正的。 ② 进行HTTPS加密,保护隐私数据,防止窃听和泄露。 ③ 担心HTTPS会消耗较多的云端服务器 CPU资源,增加延时?议制定HTTPS加速的性能优化解决方案。

    42520

    APP试 从服务器端到端做面的

    ,损失惨重,通过朋友介绍找到我们SINE做APP的防护,我们对客户APP进行渗透试,漏洞,等方位的也叫web,很多APP都嵌入来使用一些接口调用,方便快捷的同时,也要对进行加固,包括的漏洞进行,代码人工审计,木马后门的与清除,防篡改部署,日志分析 ,定期的对进行工作,自己对加固不是太懂的话也可以找专业的公司来处理,国内SINESAFE,绿盟,启明星辰,都是比较不错的,需要启用https协议访问,通过SSL证书来加密 APP的代码加密与混淆,APP在开发的同时一定要对代码进行混淆加密,对核心功能包括一些支付功能,都做代码的加密,对APP的每段代码进行人工审计,提前出APP漏洞进行修复,防止攻击者下载APK逆向进行代码的解密操作 国内比较专业的渗透试公司,像SINE,启明星辰,绿盟,深信服,都是比较专业的,APP要从多个方面去入手,服务器,APP代码,传输加密,接口等等方面去深入的加固,来增强公司团队的应急快速响应的能力

    31720

    加入Prelod List使用HSTS解决HTTPS兼容性问题

    目前,很多都开始实现 HTTPS 了,本也开启了 HTTPS,而且还开启强制 HTTPS 机制,对于的 HTTP 请求部 301 跳转到 HTTP,从而实现 HTTPS,一切为了! HSTS 协议HSTS 的称是 HTTP Strict-Transport-Security,它是一个 Web 策略机制(web security policy mechanism),是国际互联工程组织 IETE 正在推行一种新的 Web 协议,作用是强制客户端(如浏览器)使用 HTTPS 与服务器连接。 HSTS 主要目的是为了解决 HTTPS 首次请求时使用的是未加密的 HTTP 协议,也就说用户一般访问我们的都是直接在浏览器输入域名,然后我们的服务器到是 HTTP 请求,就 301 跳转到 原文章采用CC BY-NC-SA 4.0协议进行许可,转载请注明:转载自:加入Prelod List使用HSTS解决HTTPS兼容性问题

    31640

    移动端APP渗透方案

    许多客户在,以及APP上线的同时,都会提前的对进行面的渗透试以及,提前出存在的漏洞,以免后期发展过程中出现重大的经济损失,前段时间有客户找到我们SINE公司做渗透试服务 使用的是php语言开发,采用是mysql数据库,客户服务器用的是linux centos系统,用phpstudy一键环境搭,PHP的版本是5.5,mysql数据库版本是5.6.客户是一个平台, 下面开始我们的整个渗透试过程,首先客户授权我们进行试,我们才能放开手的去干,首先的是是否存在SQL注入漏洞,我们SINE是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的 ,在验证的过程中guanlicheck.php并没有对传入过来的参数进行效验,导致SQL注入漏洞的产生,具体代码如下代码里的getenv参数是获取前端用户的https头信息,通过数据比对,如果头信息大那么久返回 接下来还得的各项功能以及APP功能是否存在逻辑漏洞,越权漏洞,水平垂直等等,我们SINE技术详细的对每一个功能都试很多遍,一次,两次,多次的反复进行,在用户重置密码功能这里发现有漏洞,正常功能代码设计是这样的流程

    49340

    相关产品

    • 证书监控 SSLPod

      证书监控 SSLPod

      证书监控(SSLPod)是一款集多个 HTTPS 网站安全检测、证书有效期管理以及异常告警等功能于一体的系统。它提供了可视化评级图表和可交互的跨品牌证书管理仪表盘,支持 HTTPS 安全评级,证书品牌、证书有效期、SSL 漏洞、PCI DSS & ATS 合规监控和集中管理。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券