web安全

任意用户密码重置(四):重置凭证未校验

*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的...

web安全 |caiji阅读(23) 标签:

Web安全学习:如何自我定位与制定学习计划

一   简介
通过本篇文章,您可以了解一个web安全从业人员所具备的大致知识面,同时我也制定了一个循序渐进的学习计划,用以帮您找准自己的定位,并可以自己制定适合自己的学习计...

web安全 |caiji阅读(22) 标签:

百度安全的OpenRASP项目,究竟是什么?

聊到最后,c0debreak 打开了一个“机密文档”给我看。这是一个宅男积累多年的秘密,我眯着眼好奇地凑过去,里面密密麻麻的都是……对最新网络安全技术的研究笔记。
“我...

web安全 |caiji阅读(26) 标签:

WAF开发之Cookie安全防护

一、前言
Cookie安全防护功能主要实现以下两个目标
1、防止XSS攻击盗取用户Cookie
2、防止基于Cookie的SQL注入\命令注入\其他乱七八糟的攻击

优点
1、安全(有破解思路麻...

web安全 |caiji阅读(22) 标签:

SQL注入 | 9种绕过Web应用程序防火墙的方式

Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务...

web安全 |caiji阅读(24) 标签:

鸡肋CSRF和Self

*本文原创作者:三只小潴,本文属FreeBuf原创奖励计划,未经许可禁止转载

昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这...

web安全 |caiji阅读(21) 标签:

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样...

web安全 |caiji阅读(25) 标签:

代码签名证书买卖黑市的真实情况

代码签名证书
根据研究人员的调查发现,目前地下网络犯罪市场买卖代码签名证书的情况越来越频繁了,而这些伪造的代码签名证书可以帮助攻击者让自己的恶意软件绕过安全防护产...

web安全 |caiji阅读(27) 标签:

HTTPS安全与兼容性配置指南

自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密...

web安全 |caiji阅读(23) 标签:

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样...

web安全 |caiji阅读(25) 标签:

SQL注入:9种绕过Web应用程序防火墙的方式

Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务...

web安全 |caiji阅读(31) 标签:

WAF开发之Cookie安全防护

一、前言
Cookie安全防护功能主要实现以下两个目标
1、防止XSS攻击盗取用户Cookie
2、防止基于Cookie的SQL注入\命令注入\其他乱七八糟的攻击

优点
1、安全(有破解思路麻...

web安全 |caiji阅读(19) 标签:

鸡肋CSRF和Self

*本文原创作者:三只小潴,本文属FreeBuf原创奖励计划,未经许可禁止转载

昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这...

web安全 |caiji阅读(21) 标签:

百度安全的OpenRASP项目,究竟是什么?

聊到最后,c0debreak 打开了一个“机密文档”给我看。这是一个宅男积累多年的秘密,我眯着眼好奇地凑过去,里面密密麻麻的都是……对最新网络安全技术的研究笔记。
“我...

web安全 |caiji阅读(21) 标签: