01 BTC 比特币（Bitcoin，代号BTC）是一种用去中心化、全球通用、不需第三方机构或个人，基于区块链作为支付技术的电子加密货币。比特币由中本聪于 2009 年 1 月 3 日，基于无国界的对等网络，用共识主动性开源软件发明创立。比特币也是目前知名度与市场总值最高的加密货币。 比特币区块结构 钱包和交易 比特币钱包的地址就是公钥通过 Base58 算法编码后的一段字符串，使用该算法可以将公

交易平台安全性思考 随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台，部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计，然而交易平台背后的经营者能力与平台的自身的安全性并没有很好的保障。从 14 年至今据不完全统计，单纯由于交易所安全性导致的直接损失

区块链社区非常活跃，人们经常认为，这项技术不仅有效地推动了虚拟货币的发展，而且还加强了现有的安全解决方案，从区块链角度解决了一些安全问题。 列举几个区块链技术的安全用途： 01 更安全的认证机制 根据区块链技术的特性，设备可以以对等的方式识别和交互，而不需要第三方权威。伴随着双重身份验证，伪造数字安全证书成为不可能，使得网络结构具有更好的安全性。比如应用到密码验证服务，物联网设备认证。 02 更安

1.给wordpress的后台加密还是比较有必要的，但是这个只能拦住菜鸟黑客。所以除了后台加密还建议设置一道安全码。即便正常找到了网站后台真是地址，还需要一道安全码防线。需要值得一提的事，有些插件和主题存在后门的，所以额外一道安全码能很大程度组织黑客成功入侵。 //保护后台登录 add_action('login_enqueue_scripts','login_protection'); func

所阐述的服务器安全性能是站在客户的角度来分析，旨在为大家选择服务器时提供参考。让我们一起来看看选择什么样的虚拟主机比较安全。 1、服务器操作系统：UNIXLINUX安全性能大大高于WINDOWS家族，但是UNIXLINUX只能安装PHPJSP等夸平台的系统软件，且操作界面不如WINDOWS友好； 2、服务器所搭载的网站数量及质量：一个服务器上的网站数量越多，安全性能就越低，因为黑客可以通过其他网站

阿里云 ECS 里都被自动安装了阿里云盾（安骑士）的 WAF 防火墙，就明月的经验和观察来看基本是没有啥卵用的，唯一的用处就是记录一些所谓的漏洞、扫描/注入攻击以便在阿里云后台提示用户购买使用收费版“安骑士”服务。可以说这玩意儿除了是阿里云营销“套路”调用获取数据外基本没有什么用的，摆设的感觉非常强烈。 作为一名 Linux 服务器运维人员，保持一定程度的“洁癖”还是很有必要的，既然是没有卵用的东

360 网站卫士的设置和部署都很简单，这点儿也是蛮符合 360 一贯的产品设计风格的。 开始之前明月先给大家总结一下为什么我一直极力推荐大家使用 360 网站卫士作为首选 CDN ，大家可以根据自己站点的情况来自由选择使用与否： 免费，这个没有争议了！ 免费 CDN 里自带 WAF（可参考【LNMP 1.5 测试版体验之 ngx_lua_waf 初体验！】一文最后的附注了解什么是 WAF），并且好

一直深受恶意框架嵌入的骚扰，可以说是烦不胜烦呀！几乎每天都可以在服务器日志上看到各种奇葩域名的Referring，甚至某些嚣张的直接用一个我主域名作为二级域名的仿冒域名，真的是太无耻了，据说这样的黑帽做法可以借助被嵌入域名的权重来欺骗搜索引擎的目的，总之就是不是个啥好东西，对于网站来说绝对是百害无一利的，我曾尝试通过IP屏蔽的方法来应对，但是发现基本是无效的，因为对方会频繁的更换主机和IP，甚至有

如果发现自己网站被黑了，改如何解决呢？ 以下为百度官方的《网站被黑操作指南》： 一、首先自查站点是否被黑 1.通过百度搜索资源平台的“网站体检工具”，可以对网站各项指标进行安全检测，排查网站的安全隐患。 2.被黑网站在数据上有一个特点，即索引量和从搜索引擎带来的流量在短时间内数据异常。所以，站长可以利用百度搜索资源平台的索引量工具，观察站点索引量是否有异常；如果发现数据异常，再通过流量与关键词工具

啊，天啊，对于一个做前端开发的人来说，对服务器端的知识只略懂一二啊，黑客就知道欺负小白，入侵我的服务器。 一开始我是束手无策的，根本无从所知病毒在哪，黑客怎么入侵我的服务器。接下来，让我们一步步来排查吧，先看看如何判断 Linux 服务器是否被入侵？ 2. 判断Linux 服务器是否被入侵 所谓的服务器被入侵或者说被黑了的意思，是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源，

跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 XSS 简介 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style Sheet） 有所区别，所以在安全领域称为 XSS。 XSS 攻击，通常指黑客通过 HTML 注入 篡改网页，插入恶意脚本，从而

什么是 XSS Payload 上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理，并举了一些浅显的例子，接下来，我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻击的威力。 在黑客 XSS 攻击成功之后，攻击者能够对用户当前浏览的页面植入各种恶意脚本，通过恶意脚本来控制浏览器，这些脚本实质上就是 JavaScript 脚本（或者是其他浏览器可以运行的脚本），这

XSS 的漏洞类型主要分为三类：反射型、存储型、DOM型，在本篇文章当中会以permeate生态测试系统为例，分析网站功能，引导攻击思路，帮助读者能够快速找出网站可能存在的漏洞。 反射型 XSS 挖掘 现在笔者需要进行手工XSS漏洞挖掘，在手工挖掘之前笔者需要先逛逛网站有哪些功能点，如下图是permeate的界面 思路分析 我们知道反射型 XSS ，大多是通过 URL 传播的，那么我就需要思考哪些

什么是 CSRF 在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种，目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息，同时在 cookie 中将 session id（即刚才说的键）存储到 cookie 中。另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服

本文我们将针对如何解决问题来进行详细说明，从问题入手，通过纠正或者培养良好的运维安全习惯，搭建完整的运维安全技术体系。 一、培养良好的运维安全习惯 想要解决运维安全的问题，首先就必须要培养良好的运维安全习惯。这包括了很多方面的做法，比如： 端口开放 默认监听内网或者本地； 如需监听全部外网，iptables、password和acl能加都加上。 iptables 在cmdb为机器或者服务设计好ip

互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 XSS 的攻击。 HttpOnly HttpOnly 最早是由微软提出，并在 IE 6 中实现的，至今已经逐渐成为一个标准

php因天生支持web应用的开发，以其简单易学，开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停，以及不规范的php代码编写规范，使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发，总结记录php相关安全。新手上路，向前辈致敬。 请充分了解你的php 基本信息 注意到以下的文件结构在新版本php或者不同的发行版中略有不同，就好比在ubuntu18.04中

ecshop漏洞于2018年9月12日被某安全组织披露爆出，该漏洞受影响范围较广，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响，主要漏洞是利用远程代码执行sql注入语句漏洞，导致可以插入sql查询代码以及写入代码到网站服务器里，严重的可以直接获取服务器的管理员权限，甚至有些网站使用的是虚拟主机。 可以直接获取网站ftp的权限，该漏洞POC已公开，使

ThinkPHP 5.0是目前最新的版本，历经多年的升级完善，深受网站设计公司的喜欢，在互联网上也是一个开源的，免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序，ThinkPHP从设计以来一直秉承简洁实用的设计原则，在保证出色的性能和至简的代码的同时，也很注重实用性。 SINE安全公司在对其最新版本的程序进行网站安全审计的时候，发现该程序存在数据库密码信息泄露漏洞，在PDO PH