展开

关键词

防护报告

仍然是目前互联的最大风险来源第一,包括现有的PC,移动端,APP,微信API接口小程序的流量越来越多,尤其移动端的访问超过了单独的PC点,手机移动用户多余PC电脑,人们的生活习惯也在改变 ,APP的流量占据整个互联的市场,简单易用的同时,也带来了新的方面的问题,APP的问题,也层出不穷。 据我们SINE公司对整个2019年的第一季度,第二季度的发现,漏洞排名第一的还是SQL注入漏洞,以及XSS跨漏洞,DDOS流量攻击等等的漏洞攻击,CSRF也挤进了漏洞的前五,可看出该漏洞的危害性也日益严重 ,许多的用户信息泄露,被攻击瘫痪打不开,给公司的运营带来了严重的影响,经济损失以及公司名誉损失都是双重的挑战,根据我们SINE对2019年一,二,季度的综合与漏洞攻击分析,来给大家呈现 2019年的报告。

98850

报告 2020最面篇

2020年即将到来,2019年的工作已经接近尾声,我们SINE平台对上万客户防护情况做了面的分析与统计,整理出2020年的报告,针对发现的漏洞以及事件来更好的完善 主要监的是漏洞监风险,敏感信息泄露风险,密码风险,搜索引擎收录劫持风险监。 ,就是前端用户输入到后端,没有对其输入的内容进行查,导致可以插入恶意的sql注入代码到当中去,从而传入到数据库当中进行了查询,更新,增加等数据库的操作。 源代码远程执行漏洞:是指客户源代码在设计过程当中,没有对get,post,cookies的传输进行严格的逻辑判断与查,导致可以溢出调用代码向外请求发包,获取数据进而到当中执行了恶意代码 敏感信息泄露以及内容查:对所有的客户进行监发现,很多之前被篡改挂马过,其中很多内容属于敏感信息,由于内容问题我们看下图:以上敏感信息都是近一年发生的,在2020年也会持续性的增长

2.8K30
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    勒索病毒防范措施与应急响应指南

    面介绍了很多解密的,并教了大家如何快速识别企业中了个勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些简单的勒索病毒应急处理方法,这篇我将重点讲解一下,作为一名应急响应人员,该如何去处理勒索病毒 有些建议和指导 企业应该如何做好防护,主要从以下几个方面入手: 1.部署可靠高质量的防火墙、装防病毒终端软件,应用程序、拦截可疑流量,使防病毒软件保持最新,设置为高强度防护级别,还可以使用软件限制策略防止未经授权的应用程序运行 2)企业内部应用程序的管控与设置,所有的软件都由IT部门统一从正规的进行下载,进行之后,然后再分发给企业内部员工,禁止员工自己从非正规的下载装软件 3)企业内部使用的office等软件 ,要进行设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机 4)从来历不明的下载的一些文档,要经过才能打开使用,切不可直接双击运行 5)谨慎打开来历不明的邮件,防止被邮件钓鱼攻击和垃圾邮件攻击 ,想交赎金,但不知道BTC从来,于时黑客就给出了详细的步骤教受害者如何进行解密,以及如果购BTC操作等,如下所示: ?

    82910

    如何用服务器建架设教程

    介绍一下如何搭建,搭建需要有服务器,和域名,需自行购 注册域名,购服务器。域名和服务器不一定需要在同一家服务商购。 但如果购的是阿云服务器或者腾讯云服务器,那就需要提供相对应的备案域名。 腾讯云新客专属福利2860元代金券 https://cloud.tencent.com/redirect.php? 登陆服务器后,下载phpstudy,装运行。如果Apache是红的,说明端口被占用,需要进行端口,点击 其他选项菜单-环境端口-环境端口,然后端口-尝试强制关闭 ? phpstudy装好后,点击 其他选项菜单-点域名管理,把你的域名添加进去,第一域名写带www的,第二域名写不带www的。你把源码放到个文件夹,目录就选择个文件夹。 源码可用到HH小铺寻找,然后点击新增,保存,需要建的朋友可以加我交流 ? 注意事项 80端口不要被占用 阿云的服务器一定要配在阿云备案的域名

    3.1K40

    之图片验证码

    在对进行整体的的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些功能方面都会用到图片验证码,针对于验证码我们SINE对其进行了详细的,以及图片验证码防护方面 首先用户会去请求这个图片验证码,第一次会在数据库生成一个相应的session值,然后返回给用户一个图片验证码,客户看到图片的验证码,会手动录入进去,并点登陆,验证码会第二次的请求到服务器中,服务器后端收到请求后会进行对比 我们SINE在对验证码的同时,会出现很多方面的隐患,以及验证码的漏洞,比较常出现的就是的验证码重复利用漏洞,该验证码漏洞可以导致攻击者对其复制,重复使用一个验证码,进而对用户的账号密码进行暴力破 图片验证码的默认配置导致存放位置被泄露,这个验证码漏洞的产生原因主要是把session这个值写到了文件目录,以及一些cookies值都会写到图片文件。 在对其他进行验证码时,也发现了一种验证码上的问题,验证验证码后,并没有将验证码删除,导致可以重复使用,应该对其验证码效验的时候进行返回MD5值,每个请求的返回都不相同,防止用户密码遭到暴力破

    44340

    渗透具体方法

    这几天整理了下渗透试中基础部分的第三节,我们SINE渗透工程师对代码审计,手工渗透查代码的危险漏洞方法,找出问题重点,配合工具扫描来达到试漏洞的目的,本试重点仅限于客户授权才能操作 以下方法只是提供的具体参考意见。 1.5. 代码审计 1.5.1. 简介 代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。 常见功能 异常协议,拒绝不符合HTTP标准的请求 对状态管理进行会话保护 Cookies保护 信息泄露保护 DDoS防护 禁止某些IP访问 可疑IPHTTP头管理 X-XSS-Protection 信息利用 中有相当多的信息,本身、各项策略、设置等都可能暴露出一些信息。 本身的交互通常不囿于单个域名,会和其他子域交互。 子域爆破 在内等不易用到以上技巧的环境,或者想监新域名上线时,可以通过批量尝试的方式,找到有效的域名,以上等内容基础面性比较覆盖方便的渗透试方法,如果对此有需求可以联系专业的公司来处理解决

    89630

    渗透试以及服务

    许多客户在,以及APP上线的同时,都会提前的对进行面的渗透试以及,提前出存在的漏洞,以免后期发展过程中出现重大的经济损失,前段时间有客户找到我们SINE公司做渗透试服务 下面开始我们的整个渗透试过程,首先客户授权我们进行试,我们才能放开手的去干,首先的是是否存在SQL注入漏洞,我们SINE是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的 代码的getenv参数是获取前端用户的https头信息,通过数据比对,如果头信息大那么久返回0值然后再将IP赋值进去,通俗来讲就是没有任何的效验与拦截,直接将变量的IP带入到mysql据库。 接下来还得的各项功能以及APP功能是否存在逻辑漏洞,越权漏洞,水平垂直等等,我们SINE技术详细的对每一个功能都试很多遍,一次,两次,多次的反复进行,在用户重置密码功能这发现有漏洞,正常功能代码设计是这样的流程 如果对代码不是太懂的话,也可以找专业公司来处理,国内SINESAFE,启明星辰,绿盟都是比较专业的。

    42610

    之逻辑漏洞 修复方案

    是整个运营中最重要的一部分,没有了,那用户的隐私如何保障,在中进行的任何交易,支付,用户的注册信息都就没有了保障,所以做好了,才能更好的去运营一个,我们SINE在对客户进行部署与的同时 的用户密码暴利破解,是目前业务逻辑漏洞出现比较多的一个漏洞,其实暴力破解简单来说就是利用用户的弱口令,比如123456,111111,22222,admin等比较常用的密码,来进行猜并尝试登陆进行用户密码登陆 在我们SINE对客户漏洞的同时,我们都会去从用户的登录,密码找回,用户注册,二级密码等等业务功能上去进行,通过我们十多年来的经验,我们来简单的介绍一下。 IP锁定机制就是一些会采用一些防护措施,当用户登录的时候,登录错误次数超过3次,或者10次,会将该用户账号锁定并锁定该登录账户的IP,IP锁定后,该攻击者将无法登录。 验证码破解与绕过,在整个当中很重要,一般验证码分为手机短信验证码,微信验证码,图片验证码,在设计过程中就使用了验证码机制,但是还是会绕过以及暴利破解,有些攻击软件会自动的识别验证码,

    49920

    中具体渗透试方法

    越来越多的以及app手机端客户注重渗透试服务,上线前必须要对平台进行面的预渗透试找出漏洞以及BUG,很多客户找我们SINE,做渗透试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透试方法流程大体写的面一点给大家呈现 查时候可以参考的配置实践。 1.内使用工具渗透的一些原则 使用适合自己的工具,工具没必要收集太多,够用就行; 能根据实际情况编写适用的工具; 不能确保的工具均要在虚拟机中运行(很 多捆绑病毒木马); 做查的话,尽量使用 远程操作 渗透注意事项 禁止使用psexec.exe 打包时避开用户工作时间 控制卷包大小<100M 选择用户常用压缩软件 错峰下载数据 控制传输流量 清除所有操作日志 登录主机前先看看管理员是否在 渗透试服务需要很多的实战经验来保障稳定运行防止被攻击被篡改等危险行为避免给客户带来更多的损失 ,把风险降到最低,如果对此有渗透需求可以联系专业的公司来进行面的渗透服务,国内做的比较面推荐Sinesafe,绿盟,启明星辰等等。

    63620

    提示该内容被禁止访问

    前端时间我们SINE对其进行面的漏洞的时候发现,Kindeditor存在严重的上传漏洞,很多公司,以及事业单位的都被上传违规内容,包括一些赌博的内容,从我们的平台发现,2019 年3月份,4月份,5月份,利用Kindeditor漏洞进行攻击的情况,日益严重,有些还被阿云拦截,并提示该内容被禁止访问,关于该漏洞的详情,我们来看下。 代码,该代码并没有对用户上传的文件格式,以及大小进行,导致用户可以伪造恶意文件进行上传,尤其html文件可以直接上传到的目录下,直接让搜索引擎抓取并收录。 dir=file 还有一个可以上传Webshell的漏洞,可以将asp,php等脚本文件直接上传到的目录下,利用方式首先上传一个图片,然后打开文件管理找到我们刚才上传的图片名字,点击改名这,我们用火狐浏览器进行查看元素 如果对代码不是太熟悉的话,可以找专业的公司来处理,国内也就Sinesafe公司和绿盟、启明星辰、深信服等公司比较专业。

    63610

    APP试 从服务器端到端做面的

    ,损失惨重,通过朋友介绍找到我们SINE做APP的防护,我们对客户APP进行渗透试,漏洞,等方位的。 如何对APP进行试与加固? 我们SINE在这跟大家详细的分享一下,希望能帮到更多APP应用企业。 例如:阿云服务器,可以在阿云控制台,端口,单独放行IP。 也叫web,很多APP都嵌入来使用一些接口调用,方便快捷的同时,也要对进行加固,包括的漏洞进行,代码人工审计,木马后门的与清除,防篡改部署,日志分析 ,定期的对进行工作,自己对加固不是太懂的话也可以找专业的公司来处理,国内SINESAFE,绿盟,启明星辰,都是比较不错的,需要启用https协议访问,通过SSL证书来加密

    36620

    腾讯云务器连接不上如何排查?

    大概工作原理是客户提交域名后,通过腾讯云的国服务器去连接用户的域名试这络质量,如以下截图2,可以看到从各个域名连接blog.puppeter.com的络质量还是可以的最高的549毫秒。 image.png 2.https://www.ipip.net/ip.html 一款上找到的质量工具支持输入IP地址,该会通过中国和海外的服务器去连接用户输入的IP并显示这络质量,见图 这就不再介绍 image.png 同样本机到远程服务器端口连接成功并不代表其他人访问就没有问题,这推荐一个在线工具(http://port.ping.pe/ )可以从球服务器同时在线实时端口的连通性 大部分用户是因为购云服务器后没有开放组(腾讯云的防火墙)所致,这可以通过腾讯云提供的工具(https://console.cloud.tencent.com/vpc/helper? rid=4)来组的规则,通过图6我们可以看到指定实例的组规则,如果有未放通的规则可以点击下面按钮一键放通。

    2.3K60

    移动端APP渗透方案

    许多客户在,以及APP上线的同时,都会提前的对进行面的渗透试以及,提前出存在的漏洞,以免后期发展过程中出现重大的经济损失,前段时间有客户找到我们SINE公司做渗透试服务 下面开始我们的整个渗透试过程,首先客户授权我们进行试,我们才能放开手的去干,首先的是是否存在SQL注入漏洞,我们SINE是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的 ,在验证的过程中guanlicheck.php并没有对传入过来的参数进行效验,导致SQL注入漏洞的产生,具体代码如下 代码的getenv参数是获取前端用户的https头信息,通过数据比对,如果头信息大那么久返回 接下来还得的各项功能以及APP功能是否存在逻辑漏洞,越权漏洞,水平垂直等等,我们SINE技术详细的对每一个功能都试很多遍,一次,两次,多次的反复进行,在用户重置密码功能这发现有漏洞,正常功能代码设计是这样的流程 如果对代码不是太懂的话,也可以找专业公司来处理,国内SINESAFE,启明星辰,绿盟都是比较专业的。

    56540

    渗透认证登录分析

    圣诞节很快就要到了,对渗透试的热情仍然有增无减。 我们SINE在此为用户认证登录制定一个面的方法和要点Json web token (JWT), 是为了在络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token 被设计为紧凑且的,特别适用于分布式点的单点登录(SSO)场景。 问题 源于ssl模式下的认证可选性,可以删除签名方式标签绕过认证,如果SAML中缺少了expiration,并且断言ID不是唯一的,那么就可能被重放攻击影响,越来越多的问题日益出现,如果想要对或平台进行面的以及渗透试 ,可以咨询下专业的公司来进行加固渗透试,国内做的比较好的推荐Sinesafe,绿盟,启明星辰,深信服等等都是比较大的公司。

    28140

    渗透登录认证分析

    我们SINE在此为用户认证登录制定一个面的方法和要点Json web token (JWT), 是为了在络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token 被设计为紧凑且的,特别适用于分布式点的单点登录(SSO)场景。 问题 ? 源于ssl模式下的认证可选性,可以删除签名方式标签绕过认证,如果SAML中缺少了expiration,并且断言ID不是唯一的,那么就可能被重放攻击影响,越来越多的问题日益出现,如果想要对或平台进行面的以及渗透试 ,可以咨询下专业的公司来进行加固渗透试,国内做的比较好的推荐Sinesafe,绿盟,启明星辰,深信服等等都是比较大的公司。

    56010

    什么是系统的渗透

    简单来说渗透试通过模拟攻击者的手段以及方法进行渗透攻击试,系统是否存在漏洞,如果有代码漏洞就会对其上传脚本文件,以此来获取系统的控制权。做渗透的前提是需要在攻击者的角度去进行。 因此系统主要是对、服务器,域名,IP等相关信息进行分析。主要内容包括存在的代码漏洞、服务器的配置问题以及软件的漏洞。 在这个工程中会进行大量的渗透攻击,以此来发现存在的问题,然后对其进行漏洞修复,加固来避免恶意攻击。 渗透试分为白盒试和黑盒试。 白盒试的意思是在知道系统后台管理信息,源代码等权限的情况下进项系统的渗透试。用时短,可以在短时间进行漏洞修复和加固,大大的提高了效率。 而黑盒试是渗透人员不知道任何系统信息仅有地址的 情况下,模拟攻击者运用渗透试工具对系统进行面的渗透试,以此来找到漏洞进行损失风险的评估,形成评估报告。

    44420

    可导致被控制、数据泄露!附解决方案

    p=4783 近日到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。 2020年2月13日,各云团队也监到应用广泛的 Apache Dubbo 出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。 当装了 Apache Dubbo 并且启用 http 协议进行通信时,攻击者可以向发送 POST 请求,在请求可以执行一个反序列化的操作,由于没有任何校验,这个反序列化过程可以执行任意代码 四、防护方案 1、Apache Dubbo官方建议用户升级到的2.7.5版本。 2、如无法快速升级版本,或希望防护更多其他漏洞,可使用各云服务公司的 WA F内置的防护规则对该漏洞进行防护,步骤如下: 1) 购 WAF。 2) 将域名添加到 WAF 中并完成域名接入。

    39810

    对帝国CMS代码的后台功能性

    最近我们SINE在对帝国CMS系统进行代码审计的时候,发现该系统存在漏洞,受影响的版本是EmpireCMS V7.5,从帝国官方下载到本地,我们人工对其代码进行详细的漏洞代码分析 我们SINE技术在对该代码进行与渗透试的手,会先大体看下代码,熟悉整个的架构,数据库配置文件,以及入口调用到的文件,通常调用到的规则是如何写的,多个方面去大体的了解该代码,目前渗透试中 代码的参数并没有做任何的效验,导致可以直接插入恶意代码写入到配置文件config.php中去。 关于帝国CMS漏洞的修复办法,对所有的get,post请求做过滤,也可以直接在eaddslashes2的参数增加恶意代码的拦截机制,先后放行,该漏洞的利用条件是需要有后台管理员权限,利用的不是太多 如果您对漏洞修复不是太懂的话,也可以找专业的公司来处理,国内SINE,启明星辰,绿盟,都是比较不错的,漏洞经常出现,也请的运营者多多关注EmpireCMS的官方,一有补丁就立即修复掉

    59520

    相关产品

    • 证书监控 SSLPod

      证书监控 SSLPod

      证书监控(SSLPod)是一款集多个 HTTPS 网站安全检测、证书有效期管理以及异常告警等功能于一体的系统。它提供了可视化评级图表和可交互的跨品牌证书管理仪表盘,支持 HTTPS 安全评级,证书品牌、证书有效期、SSL 漏洞、PCI DSS & ATS 合规监控和集中管理。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券