一. 监测 在类Unix系统中可以使用top查看系统资源、进程、内存占用等信息。查看网络状态可以使用netstat、nmap等工具。若要查看实时的网络流量,监控TCP/IP连接等,则可以使用iftop。 一、iftop是什么? iftop是类似于top的实时流量监控工具。 官方网站:http://w ...
分类:
Web程序 时间:
2018-12-05 13:52:30
阅读次数:
1167
1、应用服务级别的安全考虑 引入web安全中的十大安全方向: OWASP: 开源web应用安全项目。Open Web Application Security Project 十大安全问题: SQL 注入、失效的身份认证和会话管理、跨站脚本(xss)、失效的访问控制、安全配置错误、 敏感信息泄露、攻 ...
分类:
移动开发 时间:
2018-12-04 15:35:12
阅读次数:
210
最近在练习sql注入写脚本,记录一下思路,刚学的and 1=1也拿出来溜溜 http://119.23.73.3:5004/?id=1 首先,没有被过滤是正常显示。 没有被过滤但是查询不到就是空白,比如?id=99999 waf过滤关键词,提示whatfuck ① 我首先判断的是有没有用trim() ...
分类:
其他好文 时间:
2018-12-02 15:22:39
阅读次数:
470
德国黑客组织“The Hacker’s Choice”发布了工具THC SSL DOS,与传统DDoS工具不同的是,只需要一台执行单一攻击的电脑就能迅速消耗服务器资源,造成服务器拒绝服务。 这个攻击方式的本质是消耗服务器的CPU资源,在协商加密算法的时候服务器CPU的开销是客户端的 15 倍左右。而 ...
分类:
其他好文 时间:
2018-12-01 20:21:37
阅读次数:
1607
使用Nginx+Lua实现waf 技术内容来自:https://github.com/loveshell/ngx_lua_waf 软件包需求: 1 .Nginx兼容性【最后测试到1.13.6】 2 .PCRE为Nginx编译安装关系的依赖 3 .下载luajit解释器和ngx_devel_kit以及 ...
分类:
其他好文 时间:
2018-11-29 20:03:04
阅读次数:
201
IPv6已来 2016年6月1日开始,苹果规定所有提交至AppStore的应用必须兼容IPv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用IPv6协议。这意味着,如果一个互联网服务不能支持IPv6,将失去大量用户流量。
分类:
其他好文 时间:
2018-11-28 15:41:49
阅读次数:
146
有一旧的WAF设备要用起来,同事已经提前测试出了管理口IP和账号密码,机器上架后登录控制台,新建“真实服务器”填了IP后点击“提交”按钮没有任何反应。试了很多次换不同IP都没反应,而且“应用防护”几个选项都显示空白,本以为是该设备恢复了出厂设置,加之会不会是授权过期导致的。再请同事通过远程连过来检查,测试一番也是同样情况。只是通过其它操作设置我看到了以前配置的服务器IP,虽然也是点击“提交”没有反
分类:
其他好文 时间:
2018-11-24 19:45:58
阅读次数:
458
一、说明 1.1 RASP和WAF的区别 WAF,Web Application Firewall,应用防火墙。其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包。正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去 ...
分类:
Web程序 时间:
2018-11-24 14:17:48
阅读次数:
469
一、安装OpenResty Linux官方建议直接通过官方提供的预编译包安装:http://openresty.org/cn/linux-packages.html openresty默认安装在/usr/local/openresty,其中已自带nginx。 二、使用安全规则ngx_lua_waf ...
分类:
其他好文 时间:
2018-11-23 20:58:58
阅读次数:
272
安全报道显示2015年DDoS攻击强度创下新纪录,那么DDoS到底是什么呢?了解一些,对产品经理与后台的同事沟通有好处。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS ...
分类:
其他好文 时间:
2018-11-23 10:14:40
阅读次数:
196
