一、背景 团队最近频繁遭受网络攻击，引起了技术负责人的重视，笔者在团队中相对来说更懂安全，因此花了点时间编辑了一份安全开发自检清单，觉得应该也有不少读者有需要，所以将其分享出来。 二、编码安全 2.1 输入验证 说明 检查项 概述 任何来自客户端的数据,如URL和参数、HTTP头部、 Javascript戓其他嵌入代码提交的信息,都属于不可信数据。在应用外部边界或内部每个组件或功能边界,都将其当做

PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的

WordPress起初是一款个人博客系统，后来逐步地演化成为一款内容管理系统软件。它使用PHP语言和MySQL数据库开发而成，用户可以在支持相应版本的PHP 和 MySQL数据库的服务器上方便快捷地搭建自己的博客或者网站。WordPress中的photo-gallery插件可以让用户在短短几分钟内构建十分漂亮精美的照片库。在photo-gallery|/”无法匹配类似于alert(“Hello”)

网页打开是这样的，好熟悉的表单页面，常规测试一下，xsss、SQL，xss我都玩腻了感觉没啥好研究的。随便碰碰运气测下SQL。 三、挖掘思路 当我在用户名处输入aaa’时， 直接返回错误，典型的IIS错误，目测可能存在注入，返回页面如下： 从上述返回结果，我大概知道了， 1、 网站是aspx 2、 中间件是IIS 3、“字符串 ‘aaa” 后的引号不完整。’aaa” 附近有语法错误。”说明单引号被

原理很简单： 搜索引擎关键词劫持的过程实际上就是，修改肉鸡站点（webshell站点）A的首页（希望被搜索引擎收录的页面，一般情况下是首页），使之做出如下判断： if（来访者是蜘蛛）{ 输出指定内容 } if（用户是从搜索引擎点击进入网站的）{ 跳转我们希望跳转的站点B } 所以我们可以达到如下效果： 针对蜘蛛来说，如果来访者是指定的蜘蛛，那么输出希望让蜘蛛看到的内容，如果来访者不是蜘蛛，则输出希

开源管理系统虽然使用方便，但漏洞也比较多。我们应该时时提高警惕心，做好网站的防护安全。今天，这篇文章将系统告诉大家如何预防和处理网站被黑 一、如何查询网站被黑 1、通过查收录 site:网站域名，查看是否有异常的页面。 2、通过查数据 通过百度搜索资源平台，查看索引量，是否有异常的变化。 3、通过查源代码 4、通过站长工具—友情链接，站长工具—机器人模拟抓取，或者站长工具—网站被黑检测查看 二、常

javascript脚本代码可以实现判断访问是否来自搜索引擎。 代码如下： 1234567891011121314151617181920 if(window.name != 'ad_app6'){var r = document.referrer;r = r.toLowerCase(); //转为小写var aSites = new Array('google.','baidu.','sm.',

收录的内容出现了类似地址，域名/e/space/?userid=xxx的链接，并且这个链接里面有大量的违法违禁广告词语。其实这个是一些不法分子利用了帝国CMS会员空间捣的“鬼”！ 具体利用方法就是，注册会员，然后到会员中心设置会员空间，那么就可以发布一个空间公告了。这个页面地址是可以被收录的，如果发布了恶意内容，就会被收录了呗！ 知道问题，就好解决了。 第一，当然是关闭用户注册了（如果必须用会员的

发现有一个域名，打开和自己网站一模一样，所有链接都能访问，URL目录结构都一样，页面源代码也一模一样，只有域名不同。这种情况下，很容易让人误判：自己网站被一锅端了，程序+数据都被拷贝出去，做了一个镜像站。 下面是解决思路： 一，查询了几个页面的源代码，发现里面的流量统计代码，都是一模一样的；而且每个页面，网页body中URL绝对路径中的域名被批量删了，但网页头部的js和css的URL中的域名是保留

引言 XSS 是目前最普遍的 Web 应用安全漏洞，它带来的危害是巨大的，是 Web 安全的头号大敌。关键词： 跨站 脚本（JavaScript、Java、 VBScript、ActiveX、 Flash 或者 HTML） 注入 执行 1. 什么是 XSS 漏洞? XSS 攻击：跨站脚本攻击(Cross Site Scripting)，为不和 前端层叠样式表(Cascading Style She

项目代码如下： app： 正常的网站 hack：模拟黑客攻击的网站 使用技术： node+express+react+mysql 项目介绍 1.代码目录 2. 建立数据库 node app/mysql.js 先执行这个文件创建表和数据 如图所示 一、XSS（Cross-Site Scripting） 跨站脚本攻击 原理：恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌

申请SSL证书 1、登录你的宝塔后台，在网站菜单下，找到对应站点的设置，然后切换到SSL选项卡，如下图所示。 注：你可以在阿里云/腾讯云等网站申请到免费的SSL证书，然后通过下图的“其他证书”选项卡下进行设置。 这里推荐大家直接使用 Let's Encrypt 的免费SSL证书服务，勾选对应的域名，然后点击申请按钮： 注：我们在申请证书的时候，一般都只能选择同一个根域名下的域名，比如 aaa.co

XML-RPC是一种远程远程过程调用协议。XML-RPC允许运行在不同操作系统上和不同环境中的两个应用程序通过Web（通过HTTP）相互通信。描述实现方法的信息以XML编码。 XML-RPC协议是SOAP协议的前身。尽管SOAP协议较新并且支持更多功能，但是XML-RPC仍在使用，并且比SOAP更受青睐，这恰恰是因为它简单易用。 许多Web应用程序都使用XML-RPC，例如WordPress、Dr

事不宜迟，让我们从头开始。 1.选择优质的主机托管商 使WordPress站点免受恶意软件攻击的最佳方法是选择一个在服务器级别提供多层安全性的托管服务提供商。 廉价的托管主机总是非常吸引人的，尤其是在您刚刚开始使用时。但是，从长远来看，如果您对网站的建设很认真，就应该选择安全性较高的主机托管商。 好的主机不仅可以提供卓越的安全性，它还带有许多其他好处，例如内置CDN、自动备份、免费迁移以及免费的W

在这篇文章中，我们将解释什么是SSL以及为什么它是您的WordPress网站的必备功能。 为什么SSL如此重要？ 如果您的网站没有SSL证书，那损失将是巨大的。为什么？如果您的网站上未启用SSL，则潜在客户将很难发现您的存在，并且那些确实找到您的网站的人可能会害怕给您付钱。 每当我们进行在线购买时，您的浏览器和在线商店之间都会发生通信。例如，当我们在浏览器中输入信用卡号时，浏览器将与在线商店共享该

phpinfo（）函数 输出 PHP 当前状态的大量信息，包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量（如果编译为一个模块的话）、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息(License)。 phpinfo() 同时是个很有价值的、包含所有 EGPCS(Environment, GET, POST, Cook

0x00 前言 织梦(DedeCms)也是一个国产内容管理系统，曾经爆出过众多漏洞，甚至还有人开发了dedecms漏洞一键扫描器 DedeCms和PHPCMS活跃的年代差不多，大概是2015年前，目前也都少部分人在使用 DedeCMS 目前最新版是dedecms v5.7sp2，最后更新时间大概为2018年 这里就不记录安装过程了，通过安装过程获知默认后台密码是admin/admin 0x01 全

能说出几种 Web攻击方式，以及如何防护？如果有些许模糊，那我们这篇就来复习一下有哪几种常见的 Web 攻击手段~！ Web攻击 在互联网中，攻击手段数不胜数，我们平时不能以自己只是普通的开发程序员而不是安全方向的开发者为理由，而不去掌握基本的 Web 攻击手段！我们来熟悉一下有哪几种常见的 Web 攻击手段 常见的 Web 攻击手段主要有 XSS 攻击、CSRF 攻击、SQL 注入攻击、DDos

互联网的兴起，各种网络攻击也随之日益频繁，各种恶意网络攻击给许多企业带来口碑、以及财务的巨大损失。近几年，最常见的网络攻击手段主要是DDoS攻击与CC攻击。 因此，企业一定要做好网络安全攻略，防御DDoS攻击与CC攻击。 那么，DDoS攻击和CC攻击到底是什么？这两者有什么区别呢？ DDoS攻击 DDoS攻击（分布式拒绝服务攻击）一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，

CC攻击英文翻译为Challenge Collapsar，是DDoS攻击的一种，是目前最常见的网络攻击方式之一。主要是针对Web服务的第7层协议启动的攻击，通过端口扫描程序在Internet上搜索匿名HTTP代理或SOCKS代理向目标发起HTTP请求。CC攻击因其见效快、成本低、难追踪，受到大量黑客的喜爱。当我们网站遭到CC攻击的时候该怎么办呢？今天墨者安全就来简单说说CC攻击有哪些特点以及如何防