分类目录网站技术

启用cloudflare免费服务

启动了IPV6支持 启动了DNSSEC 启动了TLS 1.3支持

由于是免费服务,所以没有中国节点加速,导致都从国外pop节点访问,TTFB有点大。。。。

WAF防火墙评估标准。wasc-wafec-v1.0_web应用防火墙评估标准

之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文,并整理成excel方式在公司内部发了下,一直没有公开发出,一来是觉得翻译的还不够好,二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准,并公布了出来,就直接转载过来,下面为转载内容。  前言Web应用防火墙 (WAF) 代表了一种新的信息安全技术,用于保护Web站点(或者说Web应用程序),使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面,WAF 提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化,为WAF制定一个规范的评价标准显得重要起来,有了这个标准,我们就可以去准确地比较和评价WAF产品。…

Web service

无论是在计算机杂志还是在Internet上,目前最热门的话题莫过于“Web Services”。各个平台之间的锋争,各个新产品的发布,众多新标准的制订,大都和Web Services有关。Web Services的起源Web应用的巨大成功和不断发展,使其渗透到商业领域和个人生活的各个方面。人们只要使用浏览器,就可以享受到各种各样的Web服务,例如网上购物,网上交易,网络游戏,预定车票,网上聊天和交友等等。与此同时,由于Web技术所带来的优势(统一的客户端和较好的维护性),使一些传统的应用纷纷转型到BS结构上。…

网站路径绕过攻击

一个网站,如果网站目录权限设置的不严格,很可能导致黑客绕过路径限制进入系统中的其他目录,对于一些有在线编辑和管理文件功能的网站,这种危害会被放大,攻击者可以轻松的编辑一个网页木马程序从而轻易的掌握整个服务器。对于此类攻击,一方面在程序上应该严格测试,另一方面应该在服务器目录权限上下功夫,禁止web匿名用户访问网站目录以外的地方。其次可以利用WAF类产品进行严格的path访问限制或业务访问逻辑,从而避免危害。下面是一个path bypass攻击示例。1.该网站具有在线文件编辑功能,仔细分析器URI,发现系统是根据URI中的参数传递path ,则可以通过构造特殊的path参数实现对其他网站目录的访问…

XSS,CSS跨站攻击-基本原理及演示

CSS cross site scripting 跨站脚本 也叫XSS。OWASP将其列为WEB安全的头号风险,主要由于该类攻击及其常见和容易被利用。所谓跨站攻击其实也就是代码(js,vs,html等)注入,利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行,从而损害访问者。利用CSS可以实现cookie窃取,钓鱼,会话劫持,插入木马,权限提升等工作。常见的跨站类型有reflected, stored, and DOM injection。防范方法:…

http response splitting& http cache poisonhttp响应截断攻击及http缓存投毒

利用在请求中构建特殊的回车符,进而导致服务器中断正确的response的响应,并在服务器端形成一个伪造的http response,如果此时其他用户发起了http请求,将导致用户看到的是伪造的页面内容,进而攻击用户。如果这个用户是一个代理服务器则危害更大。如果构建在某个其他普通的站点页面上,则大量不同用户的点击可能导致被攻击网站的出现严重的危害。这个攻击可利用在XSS跨站,web cache投毒,浏览器投毒上。攻击原理:利用网站在读取用户提交的数据后,将用户提交的数据插入http的location的 header中,并返回302跳转响应,进而导致自动访问带有特殊构造字符的URI,最终导致服务器产生了2个response,其中第2个response的内容完全可以由用户构造,用户可以插入木马等iframe连接或其他任意内容。…

升级BLOG

今天发现Z-BLOG升级了 尽管是公测版,但看到它有了Ajax功能,忍不住还是尝鲜,由于之前的版本我自己改动很多,这次新升级增加了一些功能,变量啊,摸板啊都变了,自己又舍不得以前的摸板,于是花了2个多小时在原来摸板基础上改了改,以符合新版本的程序要求~~~改的越多以后越不好升级哦~~~不过为了尝鲜 值`~~~嘿嘿 …

ARP病毒开始危害在IDC中!

2天一夜从西安到北京又从北京回了西安 ,回来上网就发现西安EINIT群中通网网站的公告。走之前就听通网的朋友在群里说过,通网朋友的测试证明数据在跨越网关后确实出了问题,表面看确实很像路由器出了问题。但是仔细分析下,这个说法靠不住。 首先,如果是路由器漏洞导致的,我想对于路由器的漏洞其本身就是个高级的网络漏洞,能有能力控制到电信路由器的人估计还不屑于这么目的明显得插入一段网站的iframe代码。能有这样能力的人要么不攻击,要么就是大攻击。其次,如果是路由器漏洞,发生这样的情况,电信的人早…