小白学安全第四篇之跨站脚本攻击
4产品经理 产品专家 发布于 2019-05-02
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。 有位哲人曾经说过: 所有用户输入的内容都不可信 存在可控输入的地方都可能发生跨站脚本攻击 跨站脚本攻击,简称XSS,通常指攻击者通过HTML/JS注入篡改了页面,插入了代码,先看一些XSS的分类吧 XSS按照插入...
阅读(95)赞 (0)
产品经理 产品专家 发布于 2019-05-02
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。 有位哲人曾经说过: 所有用户输入的内容都不可信 存在可控输入的地方都可能发生跨站脚本攻击 跨站脚本攻击,简称XSS,通常指攻击者通过HTML/JS注入篡改了页面,插入了代码,先看一些XSS的分类吧 XSS按照插入...
阅读(95)赞 (0)
产品经理 产品专家 发布于 2019-05-02
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。今天我们来聊一聊如何防止SQL注入。 SQL注入 当同学看到这张图的时候是否非常激动,这就是大名鼎鼎的SQLMAP扫描出结果,已经爆出数据库。旁边工位...
阅读(75)赞 (0)
产品经理 产品专家 发布于 2019-05-02
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。今天,我们就来详细了解下浏览网站经常使用到的HTTPS. 也许一个时代即将来临 2018年7月,...
阅读(133)赞 (0)
产品经理 产品专家 发布于 2019-05-02
互联网时代,网络安全凸显尤为重要。万物互联的今天,关于网络安全,信息安全的价值被全面激发,一跃成为国家战略性发展行业。360网络安全学院推出的小白学安全系列,正是在大环境的背景下,为更多想要从事网络安全的人群提供学习指南,从小白到大神的网络安全进阶之路,由这里起航。 什么是弱口令...
阅读(71)赞 (0)
产品经理 产品专家 发布于 2019-05-02
CSRF漏洞利用 哈喽!我们又见面了,大家在这期间有没有自己弄清楚CSRF的防御方法呢?想必聪明的你们已经通过暗中观察发现了其中玄机,那么我们就接着聊一聊CSRF的防御。 网页源码中加入校验机制: (1)REFERER属性 通过抓取数据包我们可以发现,在处理数据过程中加入了Ref...
阅读(79)赞 (0)
产品经理 产品专家 发布于 2019-05-02
相信经过之前的学习,大家对Web安全已经兴趣满满了,我们就趁热打铁,继续学习一种类型的Web漏洞,分上下两篇与大家一起讨论。 CSRF? 之前学习了SQL注入、XSS,现在又多了一个CSRF,好多名称缩写记不住怎么办?不要急,我们先理解CSRF是什么,有助于我们对名称的记忆。 C...
阅读(90)赞 (0)
产品经理 产品专家 发布于 2019-05-02
近日不少用户反馈电脑上会自动弹出最热搜的广告弹窗,关掉之后不久又会接着弹出,即使把广告进程文件删除了也会被反复释放出来。腾讯电脑管家分析发现,弹出广告的是一个名为mini.lohaslady.exe的广告弹窗木马进程,该广告木马由独狼木马家族进行传播释放。 近日不少用户反馈电脑上...
阅读(99)赞 (0)
产品经理 产品专家 发布于 2019-05-02
腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,不少用户反馈在电脑城、XX网店安装的系统都有主页被锁定的情况。监测数据表明,已有上万...
阅读(98)赞 (0)
产品经理 产品专家 发布于 2019-05-02
腾讯安全御见威胁情报中心监控到攻击者对WinRAR漏洞利用的手段进行了技术升级,一定程度上减少了对受害者主动重启系统的依赖,同时确保恶意木马能在第一时间启动。 一、概述 自从WinRAR被爆出unacev2.dll任意代码执行漏洞(CVE-2018-20250)以来,因为漏洞具有...
阅读(75)赞 (0)
产品经理 产品专家 发布于 2019-05-02
2017年8月,金山毒霸安全实验室拦截到一个通过PowerShell脚本作为载体进行传播的挖矿病毒,其通过下拉多个脚本完成一次攻击行为,使用“永恒之蓝”漏洞、WMIExec渗透工具进行自动化传播,同时所有载荷均写入WMI进行无文件驻留,目前仍在活跃中。 前言 金山毒霸安全实验室拦...
阅读(101)赞 (0)