reGeorg简介： reGeorg简介： reGeorg 的前身是2008年 SensePost 在 BlackHat USA 2008 的 reDuh 延伸与扩展。也是目前安全从业人员使用最多，范围最广，支持多丰富的一款 http 隧道。从本质上讲，可以将 JSP/PHP/ASP/ASPX 等页面上传到目标服务器，便可以访问该服务器后面的主机。 ...

避免GUI对象缓存 详细描述 建议 CWE/OWASP 避免GUI对象缓存 远程支票存款应用程序允许人们使用他们的设备拍摄支票的照片，并将其发送到其金融机构以存入帐户。 详细描述 Android将应用程序屏幕保留在内存中，并且多任务可以导致将整个应用程序保留在内存中（即使用户注销其帐户）。 这允许发现或窃取设备的攻击者直接导航到保留的屏幕...

数据库认证机制 可获得性 特性简介 客户价值 特性描述 特性增强 特性约束 依赖关系 数据库认证机制 可获得性 本特性自openGauss 1.1.0版本开始引入。 特性简介 提供基于客户端/服务端(C/S)模式的客户端连接认证机制。 客户价值 加密认证过程中采用单向Hash不可逆加密算法PBKDF2，有效防止彩虹攻击。 特...

4.3. 架构设计 TH-Nebula 是一个互联网风控分析和检测平台, 可以对包括流量攻击, 账户攻击, 支付攻击在内的多种业务风险场景进行细致的分析, 找出威胁流量, 帮助用户减少损失. 与常见的一些简易安全防护软件不同, TH-Nebula 本质上应该是一套完整且独立的数据分析平台, 逻辑上, 它需要提供以下几个方面的功能: 数据采集与集成平...

前言 前言 Spring Security 为基于Java EE的企业软件应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的，我们试图为你提供一个有用的并且高度可配置的安全系统。 安全是一个不断移动的目标，采取一个全面的全系统的方法很重要。在安全领域，我们鼓励你采取”layers of security””(安全层)，这样每一层尽可能的在...

4.3 预防跨站脚本 links 4.3 预防跨站脚本 现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其缩写成 XSS）的威胁，而静态站点则完全不受其影响。 攻...

ActFramework中存储与验证用户密码的机制与应用 代码演示 算法 问题 1. 盐在哪里? 2. authenticate方法为什么不生成hash然后再从数据库中寻找用户 3. 有没有时间攻击防范 链接 ActFramework中存储与验证用户密码的机制与应用 @oschina的这篇博客 详细讲述了保护密码的机制. 作为应用程序开...

Wmic简介： 配置攻击机msf： 靶机执行： 附录： 注： 请多喝点热水或者凉白开，可预防肾结石，通风 等。 Wmic简介： WMIC扩展WMI（Windows Management Instrumentation，Windows管理工具），提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用...

Regsvr32简介： 配置攻击机msf： 靶机执行： 附：powershell 版 Regsvr32 注： 请多喝点热水或者凉白开，身体特别重要。 Regsvr32简介： Regsvr32命令用于注册COM组件，是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令，以命令行方式运行。WinXP及以上系统的regsvr32.ex...

使用 Fail2ban 阻止攻击者的暴力登录 设置 Fail2ban 设置反向代理 使用 Fail2ban 阻止攻击者的暴力登录 Fail2ban 检查客户端登录日志，将多次登录失败的客户端识别为攻击者并在一段时间内阻止其访问服务。如果你的实例是公开的，这一点尤其重要。请管理员仔细设置 fail2ban，错误的配置将导致防火墙阻止你访问自己的服务器...