Django 1.3.4 版本发行说明 Host 头部中毒 Django 1.3.4 版本发行说明 2012 年 10 月 17 日 这是 Django 1.3 系列的第四个版本。 Host 头部中毒 Django 的某些部分（与最终用户编写的应用程序无关）使用完整的 URL，包括从 HTTP Host 头生成的域名。针对此类问题的一些攻击超出...

Django 1.8.10 版本发行说明 CVE-2016-2512 ：通过包含基本身份验证的用户提供的重定向 URL，可能存在恶意重定向和 XSS 攻击。 CVE-2016-2513 ：通过密码哈希器工作因子升级的时间差异进行用户枚举。 漏洞修复 Django 1.8.10 版本发行说明 2016 年 3 月 1 日 Django 1.8.1...

第七章、网络安全与主机基本防护：限制端口, 网络升级与 SELinux 第七章、网络安全与主机基本防护：限制端口, 网络升级与 SELinux 最近更新日期：2011/07/21 通过第一篇的锻炼之后，现在你应该已经利用 Linux 连上 Internet 了。但是你的 Linux 现在恐怕还是不怎么安全的。 因此，在开始服务器设定之前，我们必须要...

4.6. 目录穿越 4.6.1. 简介 4.6.2. 攻击载荷 4.6.2.1. URL参数 4.6.2.2. Nginx Off by Slash 4.6.2.3. UNC Bypass 4.6.3. 过滤绕过 4.6.4. 防御 4.6.5. 参考链接 4.6. 目录穿越 4.6.1. 简介 目录穿越（也被称为目录遍历/dir...

第八章 ARM 利用 8.1 ARM 架构导论 执行模式 8.2 建立环境 8.3 基于栈的简单缓冲区溢出 8.4 返回导向编程 8.5 Android root 利用 总结 第八章 ARM 利用 作者：Aditya Gupta 译者：飞龙 协议：CC BY-NC-SA 4.0 在本章中，我们将了解 ARM 处理器的基础知...

前者的话： 从第三季开始引入段子，让本枯燥的学术文章，也变得生动有趣。 第二季的Demo遵循人性五条来设计，回忆这其中五条： 1：攻击方与防御方的本质是什么？ 增加对方的时间成本，人力成本，资源成本（不限制于服务器资源），金钱成本。 2：安全公司的本质是什么？ 盈利，最小投入，最大产出。 3：安全公司产品的本质是什么？ 能适应大部分客户，适...

SQL 注入 SQL 注入 有使用 SQL 语句操作数据库经验的朋友，应该都知道使用 SQL 过程中有一个安全问题叫 SQL 注入。所谓 SQL 注入，就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令的目的。 为了防止 SQL 注入，在生产环境中使用 OpenResty 的时候...

事件经过 本地演示 吸取教训 好吧，我也做了回标题党，像我这么细心的同学，怎么可能让服务器被入侵呢？ 其实是这样的，昨天我和一个朋友聊天，他说他自己有一台云服务器运行了 Redis 数据库，有一天突然发现数据库里的数据全没了 ，只剩下一个奇奇怪怪的键值对，其中值看起来像一个 RSA 公钥的字符串，他以为是误操作删库了，幸好自己的服务器里没啥重要的数...

其他配置选项 通用配置 插件相关 文件日志相关 syslog 日志相关 拦截相关 熔断配置 其他配置 PHP 版本独立配置 Java 版本独立配置 hooks.ignore 全部可选值 V8 通用 提高内存 (1.2.2 之后无需修改) 其他配置选项 通用配置 插件相关 文件日志相关 syslog 日志相关 ...

跨站请求伪造保护 如何使用它 AJAX 当 CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY 为 False 时获取令牌 当 CSRF_USE_SESSIONS 或 CSRF_COOKIE_HTTPONLY 为 True 时获取令牌 在 AJAX 请求中设置令牌 在 Jinja2 模板中使用...