猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器。已经发现一个漏洞,可以在应用程序服务器上执行任意操作系统命令。是否可以利用这个漏洞获取保存在数据库中的敏感应用 ...
分类:
Web程序 时间:
2019-05-19 11:42:19
阅读次数:
156
隐藏服务器真实IP是解决问题最好和最快的方法,但只针对小流量,大流量同样会扛不住。 服务器前端加CDN中转,比如阿里云、百度云加速、360网站卫士、加速乐、安全宝等,如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外, ...
分类:
其他好文 时间:
2018-01-21 12:37:28
阅读次数:
197
原文地址: 历经沧桑,安全大牛吴翰清(道哥)回阿里的29个月 无欲则刚 回到阿里已经29个月了,算上此前在阿里的七年时间,已经为这家公司服役了将近十年。这十年的时光,加上2012年到2014年期间参与到安全宝创业的那两年,组成了迄今为止我的职业生涯。这些年经历的所有事情,吃过的所有苦头,所有的酸甜苦 ...
分类:
其他好文 时间:
2017-02-10 11:49:30
阅读次数:
292
1.工程硕士答辩通过,等通知拿证书 2.1月份买的车,快一年了,开车要注意安全 3.宝宝读三年级了,要开始抓学习了 4.工作一般,期待新的机会 2017年展望: 学习: 1.年初拿到学位证书,顺利毕业。 2.系统分析师和系统架构师,继续复习考试,有精力准备年底的双证考研。 3.抽空多看学习热门的技术 ...
分类:
其他好文 时间:
2016-12-01 22:19:06
阅读次数:
292
国内民间中小型网站有常见的"360网站卫士","百度云加速","云盾","安全宝"等 和国外这类CDN+云WAF的始祖"cloudflare" 以及 我国各大部级单位网站和各类大型公司所使用的cdn 例如蓝汛,网宿等等。 CDN的存在导致渗透测试时无法对web服务器进行直接攻击。攻击扫描等也会被cd ...
分类:
其他好文 时间:
2016-08-27 22:02:31
阅读次数:
758
0x01 preview
上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛、商城、资源网站等
从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击的防御能力。
这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强。常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利...
分类:
其他好文 时间:
2016-07-02 13:20:15
阅读次数:
382
迅雷将推出国内首家无限节点CDN。而这一款CDN号称目前国内最便宜的CDN,售价仅为0.1元/GB(流量计价)和9999元/G/月(带宽计价),目前已经正式接受预定。...
分类:
Web程序 时间:
2015-06-08 15:07:50
阅读次数:
214
转自腾讯博文作者:TSRC白帽子发布日期:2014-09-03阅读次数:1338博文内容:博文作者:lol [TSRC 白帽子]第二作者:Conqu3r、花开若相惜来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,...
分类:
数据库 时间:
2014-11-02 00:30:13
阅读次数:
305
XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。构建如下HTML表单:...
分类:
其他好文 时间:
2014-08-01 15:41:51
阅读次数:
203
