2022-11-10 阅读(185)

作为网站运营者，最糟糕的是你网站的内容被恶意黑客篡改或删除，导致灾难性的后果。 你已经在网站(品牌)的建设上投入了大量的精力，所以你应该积极采取一些基本的反黑保护措施...

2021-06-11 阅读(410)

在黑客的入侵面前,如果只做被动的防御,将会使网络的守护者陷入不利的境地。而传统的网络安全防护设备(例如防火墙、入侵检测系统)使用的都是被动防御技术。但是由于网络的守护者...

2021-06-11 阅读(515)

像一些数据库特有属性也可以被用作入侵者的手段,例如在MS-SQL中就会向相关函数提交一个用字符串表示的特殊语句来动态执行SQL语句,很多程序员使用exec0函数,例如请求“select* from use...

2021-06-11 阅读(557)

分块编码是HTTP1.1协议中定义的Web用户向服务器提交数据的一种方法,当服务器收到chunked编码方式的数据时会分配一个缓冲区。如果提交的数据大小未知,客户端会以一个协商好的分块大小...

2021-06-11 阅读(594)

使用注释可以对关键字进行拆分,这种方法针对使用了MysQL数据库的Web应用尤其有效。例如当DVWA里面有入侵者在进行注入攻击时,使用union注入语句“lunionselect 1,2#”,执行得到图所示的结果...

2021-06-11 阅读(392)

如果入侵者转而将每一个请求都添加上亿个参数呢?Nginx Lua在对全部参数进行处理时就会消耗极多的CPU和内存,最后甚至导致拒绝服务。实际上,这个参数数量的问题不仅仅存在于使用Ngi...

2021-06-11 阅读(253)

HTTP Pollution漏洞是这种差异最明显的表现,它是由S.di Paola与L.Caret Toni发现并在2009年的OWASP上首次公开的。这个漏洞源于入侵者对HTTP请求中的参数进行修改而得名。例如我们仍然打开DVWA中...

2021-06-11 阅读(1245)

有一些WAF产品为了减轻自己的工作量,会首先检查请求的来源。如果该请求来自外部,才会进行检查:而如果该请求来自一个可信地址,就会直接放行。由于WAF监控的主要是应用层,所以会从...