0x01:前言 随着互联网的快速发展,我们的生活与互联网的联系愈加的紧密.各种快捷方便的信息化通信工具渐渐取代了传统的通信方式.微博.QQ.MSN.微信.陌陌, …这样的社交软件和平台已经成为了我们生活必不可少的通讯和交友平台. 但是像上述的这些软件及平台都有一个共同的特征,那就是即时性.即时性的通信虽然有其独特的优点所在但是在企业级方面的安全性却得不到全方面的保障:电子邮件却恰恰相反,虽然即时通讯的能力不强,但是在企业级的安全性方面相对于即时通信还是略占优势的.根据一则报道显示: “有52%的…

[筆記整理]Iptables網路連線限制及攻擊防護和相關設定 1. 限制每個IP連接HTTP最大併發50個連接數 iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT 2. 限制每個IP同時最多100個連接數 iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT or ip…

原文发表于百度空间,2009-03-29========================================================================== PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历.所以如何安全正确地遍历PspCidTable才是该技术的关键一.获取PspCidTable的地址常用…

原文链接:http://netsecurity.51cto.com/art/201211/364775.htm 页游,最最核心的就是客户端(swf)与服务端的游戏通信了.游戏通信产生的封包,内容是否可识别,可篡改,可重放,处理逻辑是否有漏洞,都决定了这款游戏是否有重大的漏洞. 网页游戏的安全问题,在刚入职接触的时候,写过两篇比较浅显的文章.虽然页游安全总体上并没有显著变化,没有新的攻击方法,也没有新的防御方法,我个人的工作重心也由页游安全转向了手游安全,但出于完美主义的偏执,还是希望写一篇覆盖完…

一.什么是XSS? 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种产常见的就是CSRF(后面讲到). 主要危害: 盗取各类用户帐号,如用户网银帐号.各类管理员帐号: 控制企业数据,包括读取.篡改.添加.删除企业敏…

Author:JoyChouDate:20180613 1. 前言 本文的测试环境均为 nginx/1.10.3 PHP 5.5.34 有些特性和 语言及webserver有关,有问题的地方,欢迎大家指正. 2. 文件上传的特征 先来了解下文件上传的特征,抓包看看这段文件上传代码的HTTP请求. upload.php <?php if(isset($_POST['submit_x'])){     $upfile = $_FILES['filename']['name'];     $tempf…

XML实体注入基础 当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件.执行系统命令.探测内网端口.攻击内网网站等危害. 简单了解XML以后,我们知道要在XML中使用特殊字符,需要使用实体字符,也可以将一些可能多次会用到的短语(比如公司名称)设置为实体,然后就可以在内容中使用. 如下就声明了一个名为 name 值为 bmjoker的实体. <!DOCTYPE UserData [ <!ENTITY name "bmjoker" > ]> 要在XML中使用…

一.dos攻擊 向服務器發送數量龐大的合法數據,讓服務器分不清是不是正常請求,導致服務器接收所有的請求.海量的數據請求會使得服務器停止服務和拒絕服務. 防禦:阿里云或其它資源服務器有專門web應用防火墻 自己的服務器需要相關的設置 二.sql注入攻擊 向web連接的數據發送惡意的sql'語句,使得用戶逃過驗證和私密信息洩露. 防禦:  過濾表單,驗證表單的合法性,對表單數據進行轉義處理: 盡量縮小用戶權限 使用參數查詢接口,不要直接拼接sql語句(T-SQL:SQL 程序设计语言的增强版,它是用…

LLDB是Low Level Debugger的简称,在iOS开发的调试中LLDB是经常使用的,LLDB是Xcode内置的动态调试工具.使用LLDB可以动态的调试你的应用程序,如果你不做其他的额外处理,因为debugserver缺少task_for_pid权限,所以你只能使用LLDB来调试你自己的App.那么本篇博客中就要使用LLDB来调试从AppStore下载安装的App,并且结合着Hopper来分析第三方App内部的结构.LLDB与Hopper的结合,会让你看到不一样的东西,本篇博客就会和你…

攻易防难,关于 iOS 应用安全看起来有些神秘.iOS Security , 源于@吴发伟_则平博客翻译的关于iOS安全的一系列文章,现在站点已经系统收集了大量关于 iOS 逆向.安全.反编译.静动态分析的文章.感兴趣的同学可以去看看. 同时,也推荐阅读沙梓社和吴航的<IOS应用逆向工程>,这本书以工具+代码的形式全面系统地展开知识点,有相关问题可以在iosre论坛讨论. 除此之外,本期 fir.im Weekly 也收集了最近的 iOS/Android 相关的工具.源码分享和技术文章- 『i…