web应用安全的黄金法则是，永远不要相信来自不可信来源的数据。有时通过不可信的媒介来传递数据会非常方便。密码签名后的值可以通过不受信任的途径传递，这样是安全的，...

普通DNS没有加密能力，所有查询默认都是UDP明文传输，当然有些返回字节结果过大也会截断采用TCP传输(retrying in TCP mode)，但这些都是明...

dnsmasq支持dns及dns缓存、dhcp、tftp等服务，本文将使用dnsmasq配合国内白名单，实现国内外分流解析，拿到最优的解析节点，提升访问效率。

soap注入在webservice的soap协议，连接web服务和客户端的接口处的注入，通过在发送的soap消息参数内添加注入语句来达到注入效果

其实WGCLOUD使用的是PING机制来进行链路监测这些设备，只要PING不通就代表设备已经下线了，PING通就是在线的

一直关注QingScan，最近蜻蜓开放内测，第一时间抢先一步抢到了内测名额,使用后发现效果很赞，记录下我使用的过程。

Nginx 的 limit_req 模块虽然也能控制单个 IP 地址访问频率，但是时间最长单位是每分钟 1 次，如果想要更大的时间跨度，比如没小时一次，甚至每天...

通配符，即 * 符号，可以添加在url中，代替任意字符。假设您添加的网站域名是url.com，则通配符的使用规则如下：

一个简单的功能，完全可以在浏览器内实现，凭什么国内某些软件这么希望你去下载，去使用他们的app？

高达15%的数字业务收入来自联属营销计划，在疫情期间，这一数字甚至更高，42%的联属发布商报告站点流量激增。

WGCLOUD是一个高性能的分布式监控系统，集成度较高，轻巧实用，部署简单，容易上手使用，server基于springboot架构开发，agent采用go开发（...

网站的攻击者通过批量注册用户，能够实施大规模非法操作，如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失，而大量的垃圾用户也会占用系统资源，增加系统运行压力...

服务器端业务逻辑，特别是涉及数据库读写时，存在着关键步骤的时序问题，如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术，在数据库的余额字...

在商店里搜罗了一圈运动鞋货架后，帕巴洛-莫拉莱希终于看中了一双吸引她注意力的鞋子。她兴奋地盯着它，为这双新鲜的紫色Reeboks而着迷。"这正是我要找的那双，我...

提供下载功能的网站，其下载资源的链接是任何用户都能获取的。如若设计不当，攻击者通过分析链接的文本，能够构造出意外但有效的链接，访问网站功能之外的资源，从而窃取主...

在任何涉及交易的系统中，客户与商家之间的交易数据具有核心作用，如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中，这些交易数据逐渐形成；待客户提交订...

近年来，信息安全体系建设趋于完善，以注入攻击、跨站攻击等为代表的传统 Web 应用层攻击很大程度上得到了缓解。但是，Web 应用的业务功能日益丰富、在线交易活动...

前篇“WEB安全防护相关响应头（上）”中，我们分享了 X-Frame-Options、X-Content-Type-Options、HTTP Strict Tr...

没错，时间非常之重要。古时候，无数先贤告诫我们，要好好珍惜时间、利用时间，正所谓“一寸光阴一寸金，寸金难买寸光阴”。