漏洞扫描技术的出现迄今为止已经超过20年，从早期完全依靠人工寻找漏洞，到开源漏扫工具的出现，再到商业漏扫平台，漏洞扫描技术的应用随着IT环境、数字业务的变化而不断发展。漏洞扫描技术有多种不同类型，但只有通过科学的流程设计，扫描工作才能获得更有效的漏洞检测效果，保护企业数字化业务安全开展。为了获取更好的漏洞扫描效果，安全专家们建议组织在扫描活动中采用以下关键步骤： 步骤1明确扫描的目标和范围 在开始

网络安全不断扩大的词汇和分支分类常常导致术语错误地成为同义词。恶意软件和勒索软件就是这个问题的很好的例子，因为尽管这两个术语所代表的含义存在明显差异，但许多术语可以互换使用。 本文提供了恶意软件与勒索软件的深入比较。我们概述了这两个重叠术语之间的差异，解释了为什么有些人会混淆两者，并帮助您更好地应对所有基于恶意软件的威胁。 恶意软件与勒索软件：主要区别 让我们首先定义这两个术语： 恶意软件（恶意软

npm注册库经历了一次运维的意外事件，导致一些被高度依赖的包变得不可用，比如require-from-string。尽管这个意外事件非常易于修复，但是它暴露了一个较为严重的安全漏洞，借助该漏洞能够尝试将恶意代码注入到使用npm的项目中。 按照官方报告的说法，这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除，并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃

使用第三方软件库通常会降低开发的时间，但同时也会增加网站暴露出的攻击表面，对此我们应有充分的认识。因此需要保持第三方软件库的最新版本依赖，以便从安全更新中获益。即便如此，一份近期研究表明，在Alexa排名前7.5万名的网站中，有37%的网站至少存在一处漏洞，近10%的网站至少存在两处漏洞。举个例子，在导入了jQuery软件库的网站中，有36.7%使用的是存在着漏洞的版本；在使用Angular的网站

由于区块链技术的特性，在设计之处就想要从不同维度解决一部分安全问题： 01 Hash唯一性 在blockchain中，每一个区块和Hash都是以一一对应的，每个Hash都是由区块头通过sha256 计算得到的。因为区块头中包含了当前区块体的Hash和上一个区块的Hash，所以如果当前区块内容改变或者上一个区块Hash改变，就一定会引起当前区块Hash改变。如果有人修改了一个区块，该区块的 Hash

01 BTC 比特币（Bitcoin，代号BTC）是一种用去中心化、全球通用、不需第三方机构或个人，基于区块链作为支付技术的电子加密货币。比特币由中本聪于 2009 年 1 月 3 日，基于无国界的对等网络，用共识主动性开源软件发明创立。比特币也是目前知名度与市场总值最高的加密货币。 比特币区块结构 钱包和交易 比特币钱包的地址就是公钥通过 Base58 算法编码后的一段字符串，使用该算法可以将公

交易平台安全性思考 随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台，部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计，然而交易平台背后的经营者能力与平台的自身的安全性并没有很好的保障。从 14 年至今据不完全统计，单纯由于交易所安全性导致的直接损失

区块链社区非常活跃，人们经常认为，这项技术不仅有效地推动了虚拟货币的发展，而且还加强了现有的安全解决方案，从区块链角度解决了一些安全问题。 列举几个区块链技术的安全用途： 01 更安全的认证机制 根据区块链技术的特性，设备可以以对等的方式识别和交互，而不需要第三方权威。伴随着双重身份验证，伪造数字安全证书成为不可能，使得网络结构具有更好的安全性。比如应用到密码验证服务，物联网设备认证。 02 更安

1.给wordpress的后台加密还是比较有必要的，但是这个只能拦住菜鸟黑客。所以除了后台加密还建议设置一道安全码。即便正常找到了网站后台真是地址，还需要一道安全码防线。需要值得一提的事，有些插件和主题存在后门的，所以额外一道安全码能很大程度组织黑客成功入侵。 //保护后台登录 add_action('login_enqueue_scripts','login_protection'); func

所阐述的服务器安全性能是站在客户的角度来分析，旨在为大家选择服务器时提供参考。让我们一起来看看选择什么样的虚拟主机比较安全。 1、服务器操作系统：UNIXLINUX安全性能大大高于WINDOWS家族，但是UNIXLINUX只能安装PHPJSP等夸平台的系统软件，且操作界面不如WINDOWS友好； 2、服务器所搭载的网站数量及质量：一个服务器上的网站数量越多，安全性能就越低，因为黑客可以通过其他网站

阿里云 ECS 里都被自动安装了阿里云盾（安骑士）的 WAF 防火墙，就明月的经验和观察来看基本是没有啥卵用的，唯一的用处就是记录一些所谓的漏洞、扫描/注入攻击以便在阿里云后台提示用户购买使用收费版“安骑士”服务。可以说这玩意儿除了是阿里云营销“套路”调用获取数据外基本没有什么用的，摆设的感觉非常强烈。 作为一名 Linux 服务器运维人员，保持一定程度的“洁癖”还是很有必要的，既然是没有卵用的东

360 网站卫士的设置和部署都很简单，这点儿也是蛮符合 360 一贯的产品设计风格的。 开始之前明月先给大家总结一下为什么我一直极力推荐大家使用 360 网站卫士作为首选 CDN ，大家可以根据自己站点的情况来自由选择使用与否： 免费，这个没有争议了！ 免费 CDN 里自带 WAF（可参考【LNMP 1.5 测试版体验之 ngx_lua_waf 初体验！】一文最后的附注了解什么是 WAF），并且好

一直深受恶意框架嵌入的骚扰，可以说是烦不胜烦呀！几乎每天都可以在服务器日志上看到各种奇葩域名的Referring，甚至某些嚣张的直接用一个我主域名作为二级域名的仿冒域名，真的是太无耻了，据说这样的黑帽做法可以借助被嵌入域名的权重来欺骗搜索引擎的目的，总之就是不是个啥好东西，对于网站来说绝对是百害无一利的，我曾尝试通过IP屏蔽的方法来应对，但是发现基本是无效的，因为对方会频繁的更换主机和IP，甚至有

如果发现自己网站被黑了，改如何解决呢？ 以下为百度官方的《网站被黑操作指南》： 一、首先自查站点是否被黑 1.通过百度搜索资源平台的“网站体检工具”，可以对网站各项指标进行安全检测，排查网站的安全隐患。 2.被黑网站在数据上有一个特点，即索引量和从搜索引擎带来的流量在短时间内数据异常。所以，站长可以利用百度搜索资源平台的索引量工具，观察站点索引量是否有异常；如果发现数据异常，再通过流量与关键词工具

啊，天啊，对于一个做前端开发的人来说，对服务器端的知识只略懂一二啊，黑客就知道欺负小白，入侵我的服务器。 一开始我是束手无策的，根本无从所知病毒在哪，黑客怎么入侵我的服务器。接下来，让我们一步步来排查吧，先看看如何判断 Linux 服务器是否被入侵？ 2. 判断Linux 服务器是否被入侵 所谓的服务器被入侵或者说被黑了的意思，是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源，

跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 XSS 简介 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style Sheet） 有所区别，所以在安全领域称为 XSS。 XSS 攻击，通常指黑客通过 HTML 注入 篡改网页，插入恶意脚本，从而

什么是 XSS Payload 上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理，并举了一些浅显的例子，接下来，我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻击的威力。 在黑客 XSS 攻击成功之后，攻击者能够对用户当前浏览的页面植入各种恶意脚本，通过恶意脚本来控制浏览器，这些脚本实质上就是 JavaScript 脚本（或者是其他浏览器可以运行的脚本），这

XSS 的漏洞类型主要分为三类：反射型、存储型、DOM型，在本篇文章当中会以permeate生态测试系统为例，分析网站功能，引导攻击思路，帮助读者能够快速找出网站可能存在的漏洞。 反射型 XSS 挖掘 现在笔者需要进行手工XSS漏洞挖掘，在手工挖掘之前笔者需要先逛逛网站有哪些功能点，如下图是permeate的界面 思路分析 我们知道反射型 XSS ，大多是通过 URL 传播的，那么我就需要思考哪些

什么是 CSRF 在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种，目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息，同时在 cookie 中将 session id（即刚才说的键）存储到 cookie 中。另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服

本文我们将针对如何解决问题来进行详细说明，从问题入手，通过纠正或者培养良好的运维安全习惯，搭建完整的运维安全技术体系。 一、培养良好的运维安全习惯 想要解决运维安全的问题，首先就必须要培养良好的运维安全习惯。这包括了很多方面的做法，比如： 端口开放 默认监听内网或者本地； 如需监听全部外网，iptables、password和acl能加都加上。 iptables 在cmdb为机器或者服务设计好ip