短信验证码和安全那点事
6产品经理 产品专家 发布于 2019-05-02
短信验证码常被用于网站用户注册、安全登录以及忘记密码、修改绑定手机号码等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。那么很多网站的短信验证码接口都会或多或少的存在一些逻辑漏洞 常见漏洞 一、 短信轰炸 短信发送接...
阅读(122)赞 (0)
产品经理 产品专家 发布于 2019-05-02
短信验证码常被用于网站用户注册、安全登录以及忘记密码、修改绑定手机号码等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。那么很多网站的短信验证码接口都会或多或少的存在一些逻辑漏洞 常见漏洞 一、 短信轰炸 短信发送接...
阅读(122)赞 (0)
产品经理 产品专家 发布于 2019-05-02
本人目前还是实习生,第一次发表文章到 FreeBuf。分析的不好的地方还望各位大牛可以指导一下。 前言 对于一条威胁情报信息,我们需要分析该攻击的指纹信息、相关攻击工具、属于哪个组织、相关历史事件、历史相关攻击源IP等信息。通过这些信息进行关联分析,找到攻击来源。并根据攻击组织或...
阅读(91)赞 (0)
产品经理 产品专家 发布于 2019-05-02
关于反射型DDOS防御的一些新的思路 0×01 为啥写这个 故事的起因呢就是前些日子我们受到了一次持续几分钟的反射型DDOS攻击,根据之后查看当时的取证数据,这次攻击是一次基于DNS协议的反射型DDOS攻击,攻击流量大约20G左右。 以下是当时抓包的截图 这次攻击中使用的域名是c...
阅读(91)赞 (0)
产品经理 产品专家 发布于 2019-05-02
本文以MySQL为研究对象,总结相关WAF注入绕过技术,通过实战演练让大家了解各大WAF的相关特性,最后从攻防角度对WAF安全进行总结。 0×00 前言 随着国家安全法的出台,网络安全迎来发展的新时期,越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代,开始部署...
阅读(90)赞 (0)
产品经理 产品专家 发布于 2019-05-02
传统WAF一般来说,对业务逻辑漏洞的防护是束手无策的,今天就来讲讲基于openresty实现对业务逻辑漏洞的防护功能。 一、业务逻辑漏洞虚拟补丁功能 传统WAF一般来说,对业务逻辑漏洞的防护是束手无策的,今天就来讲讲基于openresty实现对业务逻辑漏洞的防护功能。 先来讲下常...
阅读(86)赞 (0)
产品经理 产品专家 发布于 2019-05-01
本文通过使用机器学习算法来检测HTTP的恶意外连流量,算法通过学习恶意样本间的相似性将各个恶意家族的恶意流量聚类为不同的模板。并可以通过模板发现未知的恶意流量。实验显示算法有较好的检测率和泛化能力。 本文作者:ApplePig@360云影实验室 0×00背景 攻击者为控制远程的受...
阅读(78)赞 (0)
产品经理 产品专家 发布于 2019-05-01
过去会我们多次去介绍过WAF系统的构成,这次我们将分享一下云WAF具体在云上实施。我们利用云平台提供的容器技术,快速实现一个WAF防护系统。将设计图上的系统落地成实际可运行的系统。 0×01 概要 过去会我们多次去介绍过WAF系统的构成,这次我们将分享一下云WAF具体在云上实施。...
阅读(72)赞 (0)
产品经理 产品专家 发布于 2019-05-01
我们以之前的介绍的系统结构为蓝本, 构建一个靶机系统,部署一个开源的WAF系统:NAXSI。我们通过这个简单的实例,看如何从一个典型的网站服务器应用上取得日志数据,及如何推送到日志到Kafaka上,写到Clickhouse里,和我们是通过什么工具读取的到ClickHouse中的数...
阅读(76)赞 (0)
产品经理 产品专家 发布于 2019-05-01
请慢速阅读一下,我在游戏和网络安全中的发散感悟,这些感悟我觉得我得把它记录下来,怕久了,自己忘记了。 最开始看到这个游戏火起来的时候,是看到身边的同事都在纷纷组队打对战的时候。而如今,包括我和我的女儿,都是这么一款游戏的火热粉丝。呵呵,但我们不是专业打游戏电竞职业玩家。这点我还是...
阅读(82)赞 (0)
产品经理 产品专家 发布于 2019-05-01
一个土鳖安全工程师的十年奋斗史 2008 年,我是看着《我的华为十年》这篇文章进入这家公司的,当时我的总监就是这篇文章的作者家骏。转眼云烟,第一份工作做到了现在。 菜鸟入职 我入职的时候,公司规模远没有现在这么大,北京地区的研发零星分散在中关村的几个写字楼,包括理想国际、普天大厦...
阅读(69)赞 (0)