漏洞扫描技术的出现迄今为止已经超过20年,从早期完全依靠人工寻找漏洞,到开源漏扫工具的出现,再到商业漏扫平台,漏洞扫描技术的应用随着IT环境、数字业务的变化而不断发展。漏洞扫描技术有多种不同类型,但只有通过科学的流程设计,扫描工作才能获得更有效的漏洞检测效果,保护企业数字化业务安全开展。为了获取更好
2023-07-24
网络安全不断扩大的词汇和分支分类常常导致术语错误地成为同义词。恶意软件和勒索软件就是这个问题的很好的例子,因为尽管这两个术语所代表的含义存在明显差异,但许多术语可以互换使用。 本文提供了恶意软件与勒索软件的深入比较。我们概述了这两个重叠术语之间的差异,解释了为什么有些人会混淆两者,并帮助您更好
2023-07-16
npm注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,比如require-from-string。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用npm的项目中。按照官方报告的说法,这次意外事件的根本原因在于错误地将名为“fl
2023-07-11
使用第三方软件库通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识。因此需要保持第三方软件库的最新版本依赖,以便从安全更新中获益。即便如此,一份近期研究表明,在Alexa排名前7.5万名的网站中,有37%的网站至少存在一处漏洞,近10%的网站至少存在两处漏洞。举个例子,
2023-07-11
由于区块链技术的特性,在设计之处就想要从不同维度解决一部分安全问题:01 Hash唯一性在blockchain中,每一个区块和Hash都是以一一对应的,每个Hash都是由区块头通过sha256 计算得到的。因为区块头中包含了当前区块体的Hash和上一个区块的Hash,所以如果当前区块内容改变或者上一
2023-07-11
01 BTC比特币(Bitcoin,代号BTC)是一种用去中心化、全球通用、不需第三方机构或个人,基于区块链作为支付技术的电子加密货币。比特币由中本聪于 2009 年 1 月 3 日,基于无国界的对等网络,用共识主动性开源软件发明创立。比特币也是目前知名度与市场总值最高的加密货币。比特币区块结构钱包
2023-07-11
交易平台安全性思考随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台,部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计,然而交易平台背后的经营者能力与平
2023-07-11
区块链社区非常活跃,人们经常认为,这项技术不仅有效地推动了虚拟货币的发展,而且还加强了现有的安全解决方案,从区块链角度解决了一些安全问题。列举几个区块链技术的安全用途:01 更安全的认证机制根据区块链技术的特性,设备可以以对等的方式识别和交互,而不需要第三方权威。伴随着双重身份验证,伪造数字安全证书
2023-07-11
1.给wordpress的后台加密还是比较有必要的,但是这个只能拦住菜鸟黑客。所以除了后台加密还建议设置一道安全码。即便正常找到了网站后台真是地址,还需要一道安全码防线。需要值得一提的事,有些插件和主题存在后门的,所以额外一道安全码能很大程度组织黑客成功入侵。 //保护后台登录 add_action
2023-07-11
所阐述的服务器安全性能是站在客户的角度来分析,旨在为大家选择服务器时提供参考。让我们一起来看看选择什么样的虚拟主机比较安全。 1、服务器操作系统:UNIXLINUX安全性能大大高于WINDOWS家族,但是UNIXLINUX只能安装PHPJSP等夸平台的系统软件,且操作界面不如WINDOWS友好; 2
2023-07-11
阿里云 ECS 里都被自动安装了阿里云盾(安骑士)的 WAF 防火墙,就明月的经验和观察来看基本是没有啥卵用的,唯一的用处就是记录一些所谓的漏洞、扫描/注入攻击以便在阿里云后台提示用户购买使用收费版“安骑士”服务。可以说这玩意儿除了是阿里云营销“套路”调用获取数据外基本没有什么用的,摆设的感觉非常强
2023-07-11
360 网站卫士的设置和部署都很简单,这点儿也是蛮符合 360 一贯的产品设计风格的。开始之前明月先给大家总结一下为什么我一直极力推荐大家使用 360 网站卫士作为首选 CDN ,大家可以根据自己站点的情况来自由选择使用与否:免费,这个没有争议了!免费 CDN 里自带 WAF(可参考【LNMP 1.
2023-07-11
一直深受恶意框架嵌入的骚扰,可以说是烦不胜烦呀!几乎每天都可以在服务器日志上看到各种奇葩域名的Referring,甚至某些嚣张的直接用一个我主域名作为二级域名的仿冒域名,真的是太无耻了,据说这样的黑帽做法可以借助被嵌入域名的权重来欺骗搜索引擎的目的,总之就是不是个啥好东西,对于网站来说绝对是百害无一
2023-07-11
如果发现自己网站被黑了,改如何解决呢?以下为百度官方的《网站被黑操作指南》:一、首先自查站点是否被黑1.通过百度搜索资源平台的“网站体检工具”,可以对网站各项指标进行安全检测,排查网站的安全隐患。2.被黑网站在数据上有一个特点,即索引量和从搜索引擎带来的流量在短时间内数据异常。所以,站长可以利用百度
2023-07-11
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵?2. 判断Linux 服务器是否被入侵所谓的服务器被
2023-07-11
跨站脚本攻击(XSS)是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式。XSS 简介XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安
2023-07-11
什么是 XSS Payload上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理,并举了一些浅显的例子,接下来,我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻击的威力。在黑客 XSS 攻击成功之后,攻击者能够对用户当前浏览的页面植入各种恶意脚本,通过恶意脚本来
2023-07-11
XSS 的漏洞类型主要分为三类:反射型、存储型、DOM型,在本篇文章当中会以permeate生态测试系统为例,分析网站功能,引导攻击思路,帮助读者能够快速找出网站可能存在的漏洞。反射型 XSS 挖掘现在笔者需要进行手工XSS漏洞挖掘,在手工挖掘之前笔者需要先逛逛网站有哪些功能点,如下图是permea
2023-07-11
什么是 CSRF在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 coo
2023-07-11
本文我们将针对如何解决问题来进行详细说明,从问题入手,通过纠正或者培养良好的运维安全习惯,搭建完整的运维安全技术体系。一、培养良好的运维安全习惯想要解决运维安全的问题,首先就必须要培养良好的运维安全习惯。这包括了很多方面的做法,比如:端口开放默认监听内网或者本地;如需监听全部外网,iptables、
2023-07-11