什么是CC攻击？ 关于CC攻击，这里引用百度的解释： CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时

Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能（Ping标签）的大规模DDoS攻击。 新型DDoS攻击技术 在此次攻击活动中，DDoS攻击请求峰值达到了7500次请求/秒，在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。 Imperva的研究人员在其发布的安全分析报告

哪些文件和文件夹需要将权限设置为只读，怎么设置？ 需要设置只读权限的文件和文件夹： 是肯定需要设置的，它包含了你的数据库信息非常重要； 博客主索引文件，不是一般的重要； 你的 wordpress 设置文件，非常重要； Theme directory 目录也需要设置为已读，防止别人篡改你的主题文件。 将文件（夹）权限设置为只读文件： 可能还是有很多朋友不太明白文件权限，所谓文件权限通常表现为一个三位

明月收到了很多站长们有关 WordPress 站点安全的问题咨询，明月总结分析了一下几乎 90%以上都是“恶意代码”造成的，而给站点带来恶意代码的插件就占了 80%以上（有官网插件、网上流传的插件等等），其他的就是主题了（以破解版、盗版主题为主），其实无论是“恶意代码”还是“后门木马”都是以代码的形式在服务器上传播破坏的，今天明月就跟大家讲讲如何通过对代码的分析来提前找出这些“肮脏”的东西。 里恶

简单的java加密算法有： BASE 严格地说，属于编码格式，而非加密算法 MD(Message Digest algorithm ，信息摘要算法) SHA(Secure Hash Algorithm，安全散列算法) HMAC(Hash Message Authentication Code，散列消息鉴别码) 1. BASE Base是网络上最常见的用于传输Bit字节代码的编码方式之一，大家可以查

wordpress网站被发布大量的英文文章，应该是网站有漏洞导致的。这个问题之前在CNBETA看到有过报道，说是一款插件漏洞导致的问题也有类似情况。 这里老蒋将解决和排查方法整理出来，让他自己去解决。如果我们也有需要或者有更好的办法可以留言。 第一、主题问题 如果我们使用的是商业版主题，需要检查是不是有漏洞，或者有类似的问题出现。不过我问到这个网友是用的付费主题，而且都是最新版本，同时没有看到有类

1.服务器CPU被大量占用 DDoS攻击其实是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。如果服务器某段时期能突然出现CPU占用率过高，那么就可能是网站受到CC攻击影响。 2.带宽被大量占用 占用带宽资源通常是DDoS攻击的一个主要手段，毕竟对很多小型企业或者个人

今年的TCTF中，出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_function源码实现，phpinfo不能准确显示。还很多地方还不熟悉，后面再慢慢补充，膜拜RR和P总，ORZ。 调试环境 安装调试工具gdb apt install gdb 下载php源码： wget https://www.php.net/distributions/php-7.1.0.tar.gz

CMS Made Simple(CMSMS)是一个简单且便捷的内容管理系统，它使用PHP、MySQL和Smarty模板引擎开发，具有基于角色的权限管理系统，基于向导的安装与更新机制，对系统资源占用少，同时包含文件管理、新闻发布以及RSS等模块。在CMS Made Simple 这段测试代码的运行结果如下图所示： 从上图可以看出，变量idlist中的”0”被过滤掉了，”1”和“2))and(case

可能有信息敏感的同学已经了解到：Lodash 库爆出严重安全漏洞，波及 400万+ 项目。这个漏洞使得 lodash “连夜”发版以解决潜在问题，并强烈建议开发者升级版本。 我们在忙着“看热闹”或者“”升级版本”的同时，静下心来想：真的有理解这个漏洞产生的原因，明白漏洞修复背后的原理了吗？ 这篇短文将从原理层面分析这一事件，相信“小白”读者会有所收获。 漏洞原因 其实漏洞很简单，举一个例子：lod

以下提示将为您提供保护您的网站免受恶意攻击并保护您的数据和内容安全的知识。 1.暴力攻击 很容易想象有人试图使用暴力破坏家庭的前门。如果强盗付出足够的努力，他们最终会成功，让你的门成为碎片。 技术领域的暴力攻击非常相似：黑客使用自动化软件反复尝试猜测你的WordPress用户名和密码，直到他们成功入侵你的网站。他们会经常使用500个最常用密码的列表，在您的网站的WordPress登录页面上尝试每个

1、Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除，可能存在cookie、session伪造，进行后台登录操作 修复建议 1、删除样例文件 2、对apache中web.xml进行相关设置、 2、弱口令 漏洞描述 由于系统中存在有弱口令，导致攻击者通过弱口令可轻松登录系统中，从而进行下一步的攻 击，如上传webshell，获取敏感数据！ 另外攻击者利用弱口令登录网站管理后台，可

web应用在软件开发中所扮演的角色变得越来越重要，同时，web应用遭受着格外多的安全攻击，其原因在于，现在的网站以及在网站上运行的应用在某种意义上来说，它是所有公司或者组织的虚拟正门，所以比较容易遭受到攻击，存在安全隐患。 今天主要给大家分享下有关安全测试的一些知识点以及注意事项。 一、安全测试的验证点 一个系统的安全验证点包括上传功能、注册功能/登陆功能、验证码功能、密码、敏感信息泄露、越权测试

什么是 JavaScript 注入攻击？ 每当接受用户输入的内容并重新显示这些内容时，网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时，反馈信息重新显示在反馈页面上。 客户反馈网站是一个简单的网站。不幸的是，此网站容易遭受 JavaScri

有关 WordPress 站点安全的问题咨询，明月总结分析了一下几乎 90%以上都是“恶意代码”造成的，而给站点带来恶意代码的插件就占了 80%以上（有官网插件、网上流传的插件等等），其他的就是主题了（以破解版、盗版主题为主），其实无论是“恶意代码”还是“后门木马”都是以代码的形式在服务器上传播破坏的，今天明月就跟大家讲讲如何通过对代码的分析来提前找出这些“肮脏”的东西。 function.php

1、wordpress博客被恶意关键词搜索攻击 如下图所示： 不法分子利用地下室先生博客的搜索功能搜索一些违规关键词。 在博主发现这个问题之后，及时进行了处理，具体见利用百度网址安全中心和Robots.txt来减少wordpress的搜索框恶意攻击的方案一文的说明。虽然在一定程度上可以减少恶意攻击带来的影响，但是这并不能完全避免被攻击。 唯一能杜绝攻击的方案就是关闭wordppress的搜索功能。

0×01：简介 在使用GoogleHack进行SQL注入点查询时，手工的方法一般为通过谷歌语法的inurl判断是否存在动态查询参数，然后对查询的网站url进行手工判断是否存在SQL注入漏洞，如or 1=1 , or 1=2, 加单引号等方式。 在实际执行过程中，可以通过爬虫技术，定位谷歌搜索特定语句查询出的可能存在漏洞的URLS。并将这些URL通过IO写入文件中，方便执行后续的扫描工作。 这时候可

https://www.sojson.com 被劫持了。开始没发现，个别地区用户发现打开sojson.com或者从百度搜索 sojson 的关键词进入的时候，就跳转到了搜狗。 下面来看看一个跳转的图： 另外看看视频吧： 感谢 @甘肃|Java|逝月  提供的视频。 我们可以看到，点击一个页面到了搜狗，并且 搜索的关键词是“json”。 抓包看了一下头信息： 第一次请求www.sojson.com：

DNS 被劫持一般加一段js放里面，会出现广告之类的，一般出现在移动端，PC端少， 一般性的解决办法是将网站服务器部署为 https 安全协议就可以解决。 1、DNS域名拦截方式 2、DNS增加脚本方式 3、CDN + 网络运营商混合方式

公众号中挖掘到了一个 XSS 安全漏洞，具体复现流程如下： 发一篇公众号文章，标题中包含 用户打开文章后，在写留言页面中会发现标题没有被转义，正常被渲染成了 HTML 用户点击被渲染出来的输入框后执行代码 以下是复现漏洞的视频 视频链接 现在我们来分析下这个漏洞的产生过程。 首先标题中存在 HTML ，在网页中如果不对这部分文本做转义的话，就会正常渲染为 HTML。 在文章详情中其实我们并没有发现