<video id="71low"></video>

            ITPub博客

            首頁 > IT基礎架構 > 應用安全

            關于 “應用安全” 的內容如下:

            • 網站防攻擊策略 針對于JSON網站的安全解決方案

              網站,APP越來越多,安全問題也面臨著嚴重挑戰,我們SINE安全在對客戶網站做安全服務的同時,發現很多客戶網站都有使用JSON的交互方式來進行數據的傳輸,包括JSON調用,在使用JSON同時發生的安全問題以及如何做好JSON的網站安全防護,下面我們跟大家來分享一下.首先我們要理解一下什么是JSON?簡單通俗的來說,JSON是JS對象的一個類,是一種很簡單,很快捷的數據交換方式,在JS的寫作規則方面

              網站安全 應用安全 404 2019-11-03 21:40
            • WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

              作者:Longofo@知道創宇404實驗室時間:2019年10月16日原文鏈接:https://paper.seebug.org/1067/這個漏洞和之前@Matthias Kaiser提交的幾個XXE漏洞是類似的,而EJBTaglibDescriptor應該是漏掉的一個,可以參考之前幾個XXE的分析。我和@Badcode師傅反編譯了WebLogic所有的Jar包,根據之前幾個XXE漏洞的特征進行

              酷酷的曉得哥 應用安全 414 2019-10-31 10:23
            • 宜信技術學院全新升級,理念、工具、案例三大核心解讀金融科技技術解決方案

              理念、工具、案例三大核心解讀金融科技技術解決方案.

              宜信技術學院 應用安全 1286 2019-10-30 16:05
            • Linux服務器漏洞防護 可SUDO提權到管理員

              linux一直以來很少有漏洞,穩定,高效,安全.深受網站,app運營者的喜歡與青睞,很多網站服務器的運營技術和運維,在維護服務器的同時都會使用sudo命令來做安全,殊不知sudo近期被爆出漏洞,并登上CVE-2019-14287級別,可見漏洞的危害性較大.Linux漏洞,目前來看使用centos系統的服務器,以及網站都會受到該漏洞的影響,我們SINE安全建議大家盡快升級sudo的版本到最新的1.8

              網站安全 應用安全 422 2019-10-28 22:26
            • 滲透測試網站安全漏洞檢測大體方法

              近期對平臺安全滲透測試中遇到有JAVA+mysql架構的網站,針對此架構我們Sine安全滲透工程師整理了下具體的漏洞檢測方法和防護修復方法,很多像執行框架漏洞獲取到系統權限,以及跨權限寫入木馬后門等等操作,希望大家在滲透測試的道路中發現更多的知識和經驗。4.2.1. 格式化字符串在Python中,有兩種格式化字符串的方式,在Python2的較低版本中,格式化字符串的方式為 "this i

              網站安全 應用安全 396 2019-10-24 11:05
            • APP滲透測試基本內容與漏洞掃描介紹

              天氣越來越涼爽,在對客戶網站代碼進行滲透測試,漏洞測試的同時我們SINE安全滲透技術要對客戶的網站源代碼進行全方位的安全檢測與審計,只有真正的了解網站,才能更好的去滲透測試,發現網站存在的漏洞,盡可能的讓客戶的網站在上線之前,安全防護做到最極致.在后期的網站,平臺快速發展過程中,避免重大的漏洞導致的經濟損失.首先分享一下我們SINE安全前段時間對客戶的金融平臺的滲透測試過程,在審計代碼的時候發現了

              網站安全 應用安全 395 2019-10-24 11:02
            • 滲透測試公司 對PHP網站安全后門檢測

              很多想做滲透測試的朋友都想了解關于PHP后門漏洞的安全測試重點方法,以及該如何預防被中php后門,本節由我們的Sine安全高級滲透工程師進行全面的講解,來讓大家更好的理解和了解php代碼的安全檢測,讓網站得到最大化的安全保障,安全保障了,網站才能更長遠的運行下去。4.1.1. 后門4.1.1.1. php.ini構成的后門利用 auto_prepend_file 和 include_path4.1

              網站安全 應用安全 396 2019-10-23 15:31
            • 驗證ISO鏡像是否源于官方網站的辦法

              最近在做一個項目,需要安裝Redhat的操作系統,但是在redhat官網上下載實在是費勁,速度慢不說,重要的是下載到最后還會出現終止下載的情況,真的很讓人頭疼,于是想找一下國內是否有相同的ISO鏡像,但是需要驗證ISO的安全性,否則如果鏡像中被植入病毒或者***,那安裝過后豈不拜拜了~最直接有效的方法就是對比ISO鏡像的hash值是否于官網上提供的一樣,那怎么操作呢?下面就簡單的介紹一下。一般官網

              JefferyChen 應用安全 377 2019-10-21 18:09
            • 2019年APP安全漏洞檢測安全工具報告

              2019年第三季度以來,我們SINE安全,APP漏洞檢測中心發現許多APP被檢測出含有高危漏洞,包括目前漏洞比較嚴重的SIM卡漏洞以及安卓端、IOS端漏洞,根據上半年的安全檢測以及漏洞測試分析發現,目前移動APP軟件漏洞的發展速度上漲百分之30,大部分的APP漏洞都已被商業利用以及竊取用戶隱私信息,造成APP軟件的數據泄露,數據被篡改,等等。我們來統計一下目前發現的APP漏洞:第一個是就是SIM卡

              網站安全 應用安全 421 2019-10-21 15:43
            • 網站安全維護對公司網站滲透測試剖析

              天氣逐漸變涼,但滲透測試的熱情溫度感覺不到涼,因為有我們的存在公開分享滲透實戰經驗過程,才會讓這個秋冬變得不再冷,近期有反映在各個環境下的目錄解析漏洞的檢測方法,那么本節由我們Sine安全的高級滲透架構師來詳細的講解平常用到的web環境檢測點和網站漏洞防護辦法。3.14.1. IIS3.14.1.1. IIS 6.0后綴解析 /xx.asp;.jpg目錄解析 /xx.asp/xx.jpg (xx.

              網站安全 應用安全 397 2019-10-21 15:13
            • 網站滲透測試安全檢測方案

              許多客戶在網站,以及APP上線的同時,都會提前的對網站進行全面的滲透測試以及安全檢測,提前檢測出存在的網站漏洞,以免后期網站發展過程中出現重大的經濟損失,前段時間有客戶找到我們SINE安全公司做滲透測試服務,在此我們將把對客戶的整個滲透測試過程以及安全測試,發現的漏洞都記錄下來,分享給大家,也希望大家更深的去了解滲透測試。在對客戶的網站進行服務的同時,我們首先要了解分析數據包以及網站的各項功能,有

              網站安全 應用安全 409 2019-10-17 10:51
            • 邏輯注入漏洞滲透測試檢測辦法

              最近忙于工作沒有抽出時間來分享滲透測試文章,索性今天由我們Sinesafe的高級滲透大牛給大家詳細講下主要在業務中發現邏輯和越權的漏洞檢測方法,希望大家能對自己的網站安全進行提前預防和了解,再次提醒做安全測試前必須要有正規的授權才能進行測試,提供網站的安全性保障權益。3.11.1. Xpath定義XPath注入攻擊是指利用XPath解析器的松散輸入和容錯特性,能夠在 URL、表單或其它信息上附帶惡

              網站安全 應用安全 382 2019-10-17 09:42
            • 對泛微OA系統的網站安全檢測以及漏洞修復辦法

              近日,SINE安全監測中心監控到泛微OA系統被爆出存在高危的sql注入漏洞,該移動辦公OA系統,在正常使用過程中可以偽造匿名身份來進行SQL注入攻擊,獲取用戶等隱私信息,目前該網站漏洞影響較大,使用此E-cology的用戶,以及數據庫oracle都會受到該漏洞的攻擊,經過安全技術的POC安全測試,發現漏洞的利用非常簡單,危害較大,可以獲取管理員的賬號密碼,以及webshell。該OA系統漏洞的產生

              網站安全 應用安全 415 2019-10-12 14:26
            • 滲透測試對文件包含漏洞網站檢測

              昨天給大家普及到了滲透測試中執行命令漏洞的檢測方法,今天抽出時間由我們Sine安全的滲透工程師來講下遇到文件包含漏洞以及模板注入漏洞的檢測方法和防御手段,本文僅參考給有授權滲透測試的正規安全檢測的客戶,讓更多的客戶了解到具體測試的內容,是如何進行全面的網站安全測試。3.8. 文件包含3.8.1. 基礎常見的文件包含漏洞的形式為 <?php include("inc/" .

              網站安全 應用安全 436 2019-10-11 09:55
            • 滲透測試對網站漏洞修復執行命令重點檢查

              哈嘍大家好,近期我們Sine安全對客戶平臺進行滲透測試的時候,發現有一些命令執行的漏洞測試語句和函數,導致服務器被提權被入侵,上一節提到XSS跨站腳本攻擊檢測方法,本章來總和一下腳本執行命令的詳細檢測手段,以及繞過waf的辦法,只有這樣詳細的對平臺進行安全測試才能保障整個平臺安全穩定。3.5.1. 簡介命令注入通常因為指Web應用在服務器上拼接系統命令而造成的漏洞。該類漏洞通常出現在調用外部程序完

              網站安全 應用安全 410 2019-10-10 14:14
            • 滲透測試公司 對于越權漏洞的檢測與修復

              滲透測試在網站,APP剛上線之前是一定要做的一項安全服務,提前檢測網站,APP存在的漏洞以及安全隱患,避免在后期出現漏洞,給網站APP運營者帶來重大經濟損失,很多客戶找到我們SINE安全公司做滲透測試服務的同時,我們積累了十多年的漏洞檢測經驗,對客戶的網站各項功能以及APP進行全面的安全檢測,下面我們就對滲透測試中的一些知識點跟大家科普一下:越權漏洞是什么?詳細的跟大家講解一下什么是越權漏洞,在整

              網站安全 應用安全 414 2019-10-08 10:03
            • 網站被攻擊滲透測試出漏洞怎么辦

              國慶即將到來,前一期講到獲取網站信息判斷所屬環境以及各個端口的用處和弱口令密碼利用方法,這期仍有很多客戶找到我們Sine安全想要了解針對于SQL注入攻擊的測試方法,這一期我們來講解下注入的攻擊分類和使用手法,讓客戶明白漏洞是如何產生的,會給網站安全帶來怎樣的影響!3.1 SQL注入漏洞3.1.1. 注入分類SQL注入是一種代碼注入技術,用于攻擊數據驅動的應用程序。在應用程序中,如果沒有做恰當的過濾

              網站安全 應用安全 407 2019-09-30 09:53
            • 專欄講解滲透測試網站信息獲取

              上一節講到滲透測試中的代碼審計講解,對整個代碼的函數分析以及危險語句的避讓操作,近期很多客戶找我們Sine安全想要了解如何獲取到網站的具體信息,以及我們整個滲透工作的流程,因為這些操作都是通過實戰累計下來的竟然,滲透測試是對網站檢查安全性以及穩定性的一個預防針,前提是必須要有客戶的授權才能做這些操作!2.2. 站點信息判斷網站操作系統Linux大小寫敏感Windows大小寫不敏感描敏感文件robo

              網站安全 應用安全 424 2019-09-29 10:25
            • phpStudy poc漏洞復現以及漏洞修復辦法

              phpStudy于近日被暴露出有后門漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木馬后門,導致許多網站及服務器被攻擊,被篡改,目前我們SINE安全公司立即成立phpStudy安全應急響應小組,針對部分客戶服務器上安裝該PHP一鍵環境搭建的情況,進行了全面的漏洞修復與安全防護。第一時間保障客戶的網站安全,以及服務器的安全穩定運行。關于該漏洞的詳

              網站安全 應用安全 736 2019-09-27 15:09
            • 網站漏洞滲透測試復盤檢查結果分析

              最近我們Sinesafe參加的幾家機構的滲透測試防守方防護方案評估復查,部分防守方缺乏對攻擊者的正確認知,攻擊者的手法已經比較高超了,不掃描,不落地,污染日志等都很普及了。同時也要正確認知對手:攻防演練中,攻擊者并非無所不能,他們面臨著和防御方一樣的問題:時間緊,任務重。所以攻擊者的攻擊目標,攻擊手法也是有跡可循的,知己知彼才能百戰百勝。滲透測試一、知彼攻擊者也是講成本的,因此防守方最好的策略是:

              網站安全 應用安全 437 2019-09-26 10:04
            點擊加載更多下一頁

            成為大咖

            聯系我們
            itpub
            help@itpub.net
            18603471036
            掃描二維碼聯系客服
            關于? 廣告服務? 使用條款
            京ICP備16024965號
            經營性網站備案信息
            網絡110報警服務
            中國互聯網舉報中心
            北京互聯網違法和不良信息舉報中心
            妹子图每日分享