关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  WAF开发之Cookie安全防护

WAF开发之Cookie安全防护

‍ ‍ 一、前言
Cookie安全防护功能主要实现以下两个目标
1、防止XSS攻击盗取用户Cookie
2、防止基于Cookie的SQL注入\命令注入\其他乱七八糟的攻击

优点
1、安全(有破解思路麻... ‍ ‍
  鸡肋CSRF和Self

鸡肋CSRF和Self

‍ ‍ *本文原创作者:三只小潴,本文属FreeBuf原创奖励计划,未经许可禁止转载

昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这... ‍ ‍
  百度安全的OpenRASP项目,究竟是什么?

百度安全的OpenRASP项目,究竟是什么?

‍ ‍ 聊到最后,c0debreak 打开了一个“机密文档”给我看。这是一个宅男积累多年的秘密,我眯着眼好奇地凑过去,里面密密麻麻的都是……对最新网络安全技术的研究笔记。
“我... ‍ ‍

Web安全学习:如何自我定位与制定学习计划

‍ ‍ 一   简介
通过本篇文章,您可以了解一个web安全从业人员所具备的大致知识面,同时我也制定了一个循序渐进的学习计划,用以帮您找准自己的定位,并可以自己制定适合自己的学习计... ‍ ‍
  任意用户密码重置(四):重置凭证未校验

任意用户密码重置(四):重置凭证未校验

‍ ‍ *本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的... ‍ ‍
  CSRF(跨站点请求伪造)在Flash中的利用

CSRF(跨站点请求伪造)在Flash中的利用

‍ ‍ 0×00 前言
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨... ‍ ‍
  分析CVE

分析CVE

‍ ‍
前言
每周我们都能听到或看到许多关于安全漏洞的预警或报告,虽然看上去大多数的漏洞都千篇一律,但对于我们渗透测试人员而言,其中的一些思路方法和利用点却尤为吸引我们的... ‍ ‍

一秒找出用时间和随机数生成的上传文件名

‍ ‍ * 本文作者:golang,本文属FreeBuf原创奖励计划,未经许可禁止转载
在做渗透测试或者ctf比赛的时,常遇到一种任意文件上传漏洞,上传后的文件名,是使用时间加随机数生成的。常见的如p... ‍ ‍
  如何科学合理薅FreeBuf活动“羊毛”

如何科学合理薅FreeBuf活动“羊毛”

‍ ‍ 过年前FreeBuf推出一个叫“网藤杯智能安全机器人养成计划”的活动,刚开始以为是一个养蛙类型的活动,研究过后发现,这是一个上传数据拿奖品的活动,看着礼品还挺诱人的,作为薅羊毛... ‍ ‍
  什么样的爬虫才是好爬虫:Robots协议探究

什么样的爬虫才是好爬虫:Robots协议探究

‍ ‍ 网站的管理者们通常会有这样一种心态:一方面期待百度、Google这样的搜索引擎来抓取网站的内容,另一方面又很厌恶其他来路不明的网络爬虫抓取自己的信息。正是因为这样,才有“好... ‍ ‍
  潜伏在视频网站的垃圾营销

潜伏在视频网站的垃圾营销

‍ ‍ 一.引言
Neets视频网站及公众号的出现给广大追剧用户提供了优质的管理服务,用户可以在平台上搜索到众多资源。Neets收录了近2000条剧集条目,超过30000个视频链接,覆盖了包括美剧... ‍ ‍
  ZZCMS v8.2 最新版SQL注入漏洞

ZZCMS v8.2 最新版SQL注入漏洞

‍ ‍ *本文原创作者:vr_system,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00概述
近期一直在致力于审计CMS的漏洞,当审计遇到ZZCMS v8.2,发现SQL注入漏洞。
0×01 白盒审计
通过... ‍ ‍
  任意用户密码重置(三):用户混淆

任意用户密码重置(三):用户混淆

‍ ‍ *本文原创作者:yangyangwithgnu,属于FreeBuf原创奖励计划,禁止转载

在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用... ‍ ‍
  CSS代码可能被用来收集敏感用户数据

CSS代码可能被用来收集敏感用户数据

‍ ‍ CSS不仅在网页展现时强大,在追踪用户时也能发挥作用。它能够追踪网站用户,从网页中提取和窃取数据,收集表单域中输入的数据(包括密码),甚至让暗网用户暴露身份。
在过去的一个月... ‍ ‍
  Web黑盒渗透思路之猜想

Web黑盒渗透思路之猜想

‍ ‍ *本文原创作者:心东,本文属FreeBuf原创奖励计划,未经许可禁止转载
场景:WEB后台爆破
后台爆破很多人都会选择最经典的模式,如字典爆破,挖掘未授权访问漏洞,挖掘验证码漏洞(未刷新,验... ‍ ‍
  手把手教你修改旅行青蛙三叶草抽奖券数

手把手教你修改旅行青蛙三叶草抽奖券数

‍ ‍ *本文原创作者:冰海,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00 最近有只蛙

2018年元旦过后,一款旅行青蛙(原名旅かえる)的放置类手游迅速受到广大有爱青年的热捧,朋友圈... ‍ ‍

保护Linux服务器的常用方法

‍ ‍ 在实际的生产环境中,开发和测试人员都尽可能的保证安全,以避免一些重要信息泄露甚至被窃取。许多企业或组织还拥有较为完善的威胁建模,但即便如此安全问题仍层出不穷。有的企... ‍ ‍
  某租车系统JAVA代码审计

某租车系统JAVA代码审计

‍ ‍ *本文原创作者:ADog,属于FreeBuf原创奖励计划,未经许可禁止转载

前言

由于开源的JAVA WEB项目不是很多,这里找到一个没有用struct2或是spring框架的cms,希望借此cms来帮助新手... ‍ ‍