米斯特白帽培训讲义 漏洞篇 XSS Payload 分类 原理：反射型 原理：存储型 利用 附录： 米斯特白帽培训讲义 漏洞篇 XSS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style She...

Django 1.8.15 版本发行说明 在使用 Google Analytics 的网站中存在跨站请求伪造（CSRF）保护绕过。 Django 1.8.15 版本发行说明 2016 年 9 月 26 日 Django 1.8.15 修复了 1.8.14 版本中的一个安全问题。 在使用 Google Analytics 的网站中存在跨站请求伪造...

数据库加密认证 数据库加密认证 采用基于RFC5802机制的口令加密认证方法。 加密认证过程中采用单向Hash不可逆加密算法PBKDF2，可有效防止彩虹攻击。 创建用户所设置的口令被加密存储在系统表中。整个认证过程中口令加密存储和传输，通过计算相应的hash值并与服务端存储的值比较来进行正确性校验。 统一加密认证过程中的消息处理流程，可有效防止...

Linux 横向移动实验 攻击 CSK 安全网络 Linux 横向移动实验 横向移动的问题是，没有一个设置起点逐步深入的环境很难练习。因此，我们向你介绍了 CSK 网络安全实验。在这个实验中，你将在不同的设备之间进行切换，使用最近的漏洞攻击和权限提升攻击，并利用 Linux 环境中本身存在的应用程序进行攻击。 设置虚拟环境 这个虚拟实验环境的...

CSRF 防护 一个简单的 CSRF 例子 稍微复杂一点的CSRF例子 防止 CSRF 使用CSRF中间 CSRF中间件的局限 CSRF 防护 django.contrib.csrf 开发包能够防止遭受跨站请求伪造攻?(CSRF). CSRF, 又叫会话跳转，是一种网站安全攻击技术?当某个恶意网站在用户未察觉的情况下将其从一个已经通过身...

Password Storage Password Storage Password Storage 原文：https://docs.gitlab.com/ee/security/password_storage.html Password Storage GitLab 以散列格式存储用户密码，以防止密码可见. GitLab 使用...

1 登陆和配置用户 简介 登陆 暴力破解攻击的保护机制 增加用户 添加权限 1 登陆和配置用户 简介 本章你会学习到如何登陆Zabbix以及在Zabbix内建立一个系统用户。 登陆 这是Zabbix的“欢迎”界面。输入用户名 Admin 以及密码 zabbix 以作为 Zabbix超级用户 登陆。 登陆后，你将会在页面...

开启应用的 WAF 开启应用的 WAF Web 应用防火墙（Web Application Firewall）可以用于防御 SQL 注入、XSS 跨站脚本、 Web 服务器漏洞、木马等常见攻击，保障网站的安全。 我们下面介绍下如何在 Edge Admin 的应用中开启基于 OpenResty 的 WAF。 首先点击进入页面规则页面： 我们先...

1 登陆和配置用户 简介 登陆 暴力破解攻击的保护机制 增加用户 Adding permissions 1 登陆和配置用户 简介 本章你会学习如何登陆Zabbix，以及在Zabbix内建立一个系统用户。 登陆 这是Zabbix的“欢迎”界面。输入用户名 Admin 以及密码 zabbix 以作为 Zabbix超级用户 登陆。 ...

HTTP 的特性 HTTP 报文 请求报文 POST 提交数据的方式 响应报文 条件 GET 持久连接 Transfer-Encoding HTTP Pipelining（HTTP 管线化） 会话跟踪 跨站攻击 参考资料 HTTP 的特性 HTTP 协议构建于 TCP/IP 协议之上，是一个应用层协议，默认端口号是 80 HT...