標簽‘安全’

為你的Express應用增加CSRF防護

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為"One Click Attack"或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。

眾所周知,Web系統并沒有絕對的安全,就比如我們公司年前遇到的情況,有些惡心網站通過網絡抓包等手段,截取驗證碼發送接口,通過偽造請求實現了傳入任意手機號并發送驗證碼的功能,雖然這看起來并沒有什么用,但當這些不法分子拔了成百上千個接口后,就形成了一個瘋狂的短信轟炸機,對于服務提供者,這些地下網站只要有人使用,就會不斷得消耗短信費用,給企業帶來不必要的損失。 查看更多...

使用iptables限制訪問網站指定端口

Linux用得比較少,所以對iptables也不是很熟悉,最近部署網站,因為對外的80端口是通過nginx轉發,而內部程序都是類似8080、3000之類的端口,不做處理的情況下,很可能會看到如:地址www.pswuul.tw、地址www.pswuul.tw:8080同時可以訪問的情況,這樣對于SEO其實是很不利的,比如cnodejs.org,經常會搜到NodeJS相關文章,但是路徑是cnodejs.org:8080,這樣一來給用戶帶來不便,二來多個相同內容也一定程度上降低權重,所以,我們要禁止對帶非80端口的路徑進行訪問。

看了相關文章,都是推薦iptables配置,嘗試一番后解決了手頭上問題,特記錄一下,利人利己。

配置很簡單,命令如下:

1、在tcp協議中,禁止所有的ip訪問本機的8080端口。

iptables -I INPUT -p tcp --dport 8080 -j DROP

2、允許127.0.0.1訪問本機的8080端口 查看更多...

WEB安全,SHELL權限提升技巧大全

c: d: e:.....

C:\Documents and Settings\All Users\「開始」菜單\程序\

看這里能不能跳轉,我們從這里可以獲取好多有用的信息比如Serv-U的路徑,

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\

看能否跳轉到這個目錄,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密碼,登陸

c:\Program Files\serv-u\ 查看更多...

最新破解WEP無線網絡WLAN全攻略

WLAN技術出現之后,“安全”就成為始終伴隨在“無線”這個詞身邊的影子,針對無線網絡技術中涉及的安全認證加密協議的攻擊與破解就層出不窮。現在,因特網上可能有數以百計,甚至以千計的文章介紹關于怎么攻擊與破解WEP,但有多少人能夠真正地成功攻破WEP的加密算法呢?以下介紹一些關于WEP加密手段的知識,以及就是菜鳥只要按照步驟操作也可成功破解WEP密鑰的方法。當然最終的目的還是為了讓大家做好安全設置對破解更好的進行防范。請大家不要用于危害網絡和互聯網和信息安全的行為,本文僅供學習和參考,模仿本文產生的一切責任由實施者全部負責。

一、WEP:無線網絡安全最初的保護者
查看更多...

從路由器選購到桌面安全的組網注意事項

公司有大有小,但無論是大公司還是小公司,都不可能少了以下這四樣東西:路由器,交換機:殺毒軟件和WINDOWS。寫這篇文章的目的是為了給廣大中小型公司出謀劃策,說一說組建中小規模網絡的心得。

閑言少敘,進入正題。與其它三者不同,只有WINDOWS不存在“選擇”問題,所以我們唯一能做的是“學會”使用WINDOWS,確切的說是學會使用瀏覽器,這也要學?當然!學不會的話肯定會給你的日常工作生活帶來無盡的煩惱。殺毒軟件有360這樣的免費產品,也許360假設價格因素是用戶的唯一考量,針對小公司而設計的防毒產品相對免費產品有何優勢呢?憑什么讓用戶掏錢? 查看更多...

Windows系統端口對照詳細說明

端口:0

服務:Reserved

說明:通常用于分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口,當你試圖使用通常的閉合端口連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位并在以太網層廣播。

端口:1 查看更多...

簡簡單單,通過.htaccess提高網站安全性

網站安全性不容小視,尤其是是對于后臺管理目錄的訪問需要格外的嚴格控制,否則一旦被人得到網站管理員的密碼,再通過后臺管理可能的上傳操作就可以拿下整個網站了。但是,目前一般來說我們對后臺管理的權限都是通過程序本身的密碼限制的,而程序本身的密碼又受到了自身的安全性限制。因此需要更為底層的訪問限制來保障網站的安全性。當然,備份工作也不能忽視。

.htaccess文件便是Apache下的一個分布式配置文件,其對于網站的各種功能配置有非常重要的作用,我們也可以通過這個文件來限制對網站的訪問。下面我將具體說明配置方法: 查看更多...

淺談無線路由器安全設置

在使用無線路由器進行無線沖浪的時候,我們周圍的鄰居很有可能在無意間闖入本地無線網絡中,這些鄰居在免費享用著我們提供的寬帶的同時,或許會嘗試登錄進本地無線路由器后臺管理界面,來對本地無線網絡進行非法攻擊,導致本地無線網絡無法正常工作。為了謹防這些鄰居的破壞,我們有必要及時采取措施,對無線路由器進行合適設置,以便拒絕非法鄰居對本地無線網絡實施攻擊。

禁止Ping,預防本地目標暴露 查看更多...

Adsl寬帶上網常見的網絡攻擊與防范知識

電信級IP技術的發展成熟使得話音、數據、視頻和移動等應用的融合成為必然,統一通訊已成為發展的趨勢。以IP技術為核心進行網絡改造并承載多種新型業務以提升競爭力,是固網運營商的發展方向。而以太網技術由于標準化程度高、應用廣泛、帶寬提供能力強、擴展性良好、技術成熟,設備性價比高,對IP的良好支持,成為城域網和接入網的發展趨勢。但是,由于以太網技術的開放性和其應用廣泛,也帶來了一些安全上的問題。特別是當網絡由原有的單業務承載轉為多業務承載時,安全問題帶來的影響愈發明顯,已經逐步影響到業務的開展和部署。

目前接入網常見的攻擊包括ARP“中間人“攻擊、IP/MAC欺騙攻擊、DHCP/ARP報文泛洪攻擊等。 查看更多...

Linux Kernel 本地權限提升及拒絕服務漏洞

今天給大家帶來的是一份紅客聯盟早已經播報過的安全漏洞,相信行家一目了然,雖然漏洞已經過時,并且補丁也出來了,但不能輕視,這只是一種形式,希望我們在回過頭來看看這個漏洞,看完后我們思考下,行家歡迎發表你的看法和想象,這個漏洞更多的是給我們安全愛好者很多啟示和靈感,漏洞的分析如下:"

受影響系統: Linux kernel <=2.6.37

漏洞描敘: Linux Kernel是開放源碼操作系統Linux所使用的內核。

本漏洞可以導致本地帳號對系統進行拒絕服務或特權提升, 也就是說一個普通用戶可以通過運行這段程序后輕松獲得root shell, 以下在update過的Ubuntu 10.04 Server LTS 上測試通過: 查看更多...

黑龙江22选5开奖