我们在项目的具体实践中，有时候会遇到一些比较特殊的字段，例如身份证号码. 松哥之前有一个小伙伴做黑龙江省的政务服务网，里边有一些涉及到用户身份证存储的场景，由于存储的数据大部分都是当地的，此时如果想给身份证号码建立索引的话，小伙伴们知道，身份证前六位是地址码，在这样的场景下，给身份证字段建立索引的话，前六位的区分度是很低的，甚至前十位的区分度都很低（因为出生年份毕竟有限，一个省份上千万人口，出生年份重复率是很高的），不仅浪费存储空间，查询性能还低.

传统的机器学习除了使用Tfidf-ngram的方式外还有其他做特征工程方式，还可以通过定义不同维度的特征来做特征工程，这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力. 这种方法举个例子来说可以这样理解，我的输入是姚明，此时我在特征工程阶段需要将姚明转化为身高2.2米、体重400斤等等数值特征，再经过标准化等转化为机器可以识别的量纲单位进行学习预测.

在web渗透中，文件上传是最简单直接的方式之一. 但是碰到完全不做校验的代码直接上传getshell，很难有这样的运气；大部分时候都有检测，甚至多处设卡. 若按设卡点的顺序来说可大致分为：前端js检验、防护检测（waf）、服务端检测. 这里就讲如何绕过服务端代码的检测，服务端会出现文件上传的什么安全配置.

一、ModSecurity3.0介绍. ModSecurity是一个开源的跨平台Web应用程序防火墙（WAF）引擎，用于Apache，IIS和Nginx，由Trustwave的SpiderLabs开发. 作为WAF产品，ModSecurity专门关注HTTP流量，当发出HTTP请求时，ModSecurity检查请求的所有部分，如果请求是恶意的，它会被阻止和记录.

众望所归，大家期待已久的JWT渗透测试工具终于出炉啦. 没错，今天给大家介绍的这款名叫JWT Tool的工具，就可以针对JSON Web Tokens进行渗透测试. JWT是JSON Web Token的缩写，它是一串带有声明信息的字符串，由服务端使用加密算法对信息签名，以保证其完整性和不可伪造性.

本文介绍如何向Nginx增加了一个使用Tensorflow C库的软WAF模块，模块主体基于Naxsi. 这里，之前有Dalao发表过这样一篇文章： 基于卷积神经网络的SQL注入检测. 这是一个开源的项目，但是由于速度的关系，我不打算使用这篇文章的模型，仅仅采用这篇文章使用的数据集. 这样可以节省很多特征工程的时间.

对于网络犯罪分子来说，色情邮件诈骗已经成为了一种搜刮钱财的绝佳途径，而近期的一个新型色情邮件诈骗活动又将此类攻击提升到了一个新的高度. 在此活动中，攻击者会欺骗目标用户去安装Azorult信息窃取木马，而这个木马接下来会在目标主机中下载并安装GandCrab勒索软件. 在 这个攻击活动中，目标用户会收到一封声称“该计算机已被黑客入侵，而且在你浏览色情网站的时候录下了你的视频.

前段时间，看了一本书名为《Kali Linux 渗透测试的艺术》，我发现书中第四章信息搜集那部分有些内容不能适应有些内容不能适用国内，这勾起了我想总结一下国内信息搜集的欲望，于是就有了这篇文章. 信息搜集也称踩点，信息搜集毋庸置疑就是尽可能的搜集目标的信息，包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集，这些看似微乎其微的信息，对于渗透测试而言就关乎到成功与否了.

WebSocket是一种允许浏览器和服务器建立单个TCP连接然后进行全双工异步通信的技术. 由于它允许实时更新，而浏览器也无需向后台发送数百个新的HTTP polling请求，所以对于web程序来说，WebSocket非常流行. 这对于测试者来说是不好的，因为对WebSocket工具的支持不像HTTP那样普遍，有时候会更加复杂.

以下，可能你能够在各大网站上搜到，但是对于JWE 的内容，却鲜有见闻. 下文是我读了json web token handle book后，用自己的理解写下的，如有疑问，欢迎评论. 主要参考文本 JWT Hand Book，部分文字翻译自该手册. 一个JWT，应该是如下形式的：. 这些东西看上很凌乱，但是非常 紧凑，并且是 可打印的主要用于 验证签名的真实性.

严正声明：本文仅限于技术讨论，严禁用于其他用途. 文件上传漏洞是web安全中经常利用到的一种漏洞形式. 一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码. 但在一些安全性较高的web应用中，往往会有各种上传限制和过滤，导致我们无法上传特定的文件.

近期，千里目安全实验室监测到了一大批网站系统被恶意植入了网页挖矿木马，只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点，浏览器会即刻执行挖矿指令，从而沦为僵尸矿机，无偿的为网页挖矿木马植入者提供算力，间接为其生产虚拟货币，这是一种资源盗用攻击. 由于网页挖矿木马存在很广的传播面和很不错的经济效益，因此、广受黑产团体的追捧，让我们对它防不胜防.

最近老是听朋友说，被上级单位通报HTTP不安全方法漏洞，本来是低危漏洞，也没怎么注意它，最近升为中危漏洞，每天催着去整改，闹得人心惶惶，甚至经常被维护人员吐槽，做的是得不偿失的事情. 因此，有必要说明一下，为什么要禁止除GET和POST之外的HTTP方法. 换句话说，对于 这些HTTP不安全方法，到底有多不安全呢.

由于我个人时间的限制，因此我很少或者说是几乎不参加赏金计划任务. 虽然我早早的就注册了HackerOne，但你们可以到 我的主页并没有任何的记录. 在这里我不得不提及我的 同事，他与我截然相反，可以说他把大部分时间都花在了研究赏金计划上. 就在上个月的一个傍晚，当我们连接到我们的工作Jabber server时，他告诉我成人网站 YouPorn也已在HackerOne上，启动了他们的bug奖励计划：.

赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中，有76%都含有恶意软件. 如果你在用WordPress，SUCURI的另一份报告也显示，超过70％的被扫描网站也都存在一个或多个漏洞. 如果你刚好是某个网络应用程序的所有者，怎样才能保证你的网站是安全的、不会泄露敏感信息. 如果是基于云的安全解决方案，那么可能只需要进行常规漏扫.

一般来说，当你在写文件上传功能的代码时，你都需要使用”白名单”或“黑名单”来检查并限制用户上传文件的扩展名. 当我阅读了 @Idionmarcil的【 这篇文章】之后，我决定要深入了解一下当前热门的Web服务器是如何处理各种类型的扩展名的. 首先，我需要知道Web服务器在处理不同文件类型时所返回的content-type内容.

在构建 Web 应用时，通常会有 Web Server 和 Application Server 两种角色. 其中 Web Server 主要负责接受来自用户的请求，解析 HTTP 协议，并将请求转发给 Application Server，Application Server 主要负责处理用户的请求，并将处理的结果返回给 Web Server，最终 Web Server 将结果返回给用户.

在很多人印象中，HTTPS就是安全的象征，而为了对这些“安全”的流量进行检查，很多安全产品，包括杀毒软件和防火墙都具备HTTPS检查的功能，通过这样的功能排除其中的安全威胁. 然而近日US-CERT却发布了一则预警，TA17-075A，对部分HTTPS检查产品发出安全预警，提到部分SSL/TLS拦截软件未能执行有效验证，或者未能充分传递验证状态，这可能被第三方发动中间人攻击.

电商平台的核心引擎大致分为两块，搜索架构和产品布局，应该说各有各的特色. 当然今天的主题是反爬虫机制，电商平台如何能保护好自己的数据，又不影响正常用户体验，所谓当今业界一场持久的攻防博弈. 应用场景一：静态结果页，无频率限制，无黑名单. 攻：直接采用scrapy爬取. 防：nginx层写lua脚本,将爬虫IP加入黑名单，屏蔽一段时间（不提示时间）.

在Web项目中，有一些请求或操作会对数据产生影响（比如新增、删除、更新），针对这类请求一般都需要做一些保护，以防止用户有意或无意的重复发起这样的请求导致的数据错乱. 本文总结了一些防止客户端重复发送请求的方法. 方法一：JS监听Form的onsubmit事件. 在经典场景下，浏览器通过Form发送请求.

SSRF（Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据. SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤. (1)、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;.

想要开发出一个安全的、健壮的Web应用其实是非常困难的，如果你觉得这实现起来非常简单的话，那么你一定是一个X炸天的程序猿，要么你就是在白日做梦……. 如果你觉得你可以在一个月之内开发出一款集使用价值、用户体验度、以及安全性为一身的产品，那么在你将产品原型真正推上市场之前，请一定要三思啊. 当你仔细核查了本文给出的安全小贴士之后，你可能会发现你在产品的开发阶段跳过了很多重要的安全步骤.

这是一款基于谷歌搜索引擎的自动化爬虫. 先进行一次谷歌搜索，将结果解析为特定格式，然后再提供给exp使用. 大家可以尝试使用–help来列出所有参数. 这个项目笔者会持续更新，以后再添加新的exp进行升级. 此外，它会利用google_parsers模块去构建exp解析搜索结果，所以当你开始搜索时，可以选择“–exploit parser”参数来指定相应exp.

web应用采用browser/server架构，http作为通信协议. http是无状态协议，浏览器的每一次请求，服务器会独立处理，不与之前或之后的请求产生关联，这个过程用下图说明，三次请求/响应对之间没有任何联系. 但这也同时意味着，任何用户都能通过浏览器访问服务器资源，如果想保护服务器的某些资源，必须限制浏览器请求；要限制浏览器请求，必须鉴别浏览器请求，响应合法请求，忽略非法请求；要鉴别浏览器请求，必须清楚浏览器请求状态.

back.jsp?lip=本地ip&lp=本地端口&rip=远程ip&rp=远程端口&lp2=本地端口2//本地监听转发到第二个端口&m=运行模式//合法的值有：listen tran slave三种. 该模式下，会在本地监听两个端口，相互转发数据. 需要参数：lip、lp、rip、rp. 该模式为正向转发下，会在本地的lip上监听lp端口，当有连接建立时，再连接rip的rp端口.

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词，很多个厂家、行业都在热火朝天的做着“大数据”，随着2016年的过去，新的一年到来，让我们也针对web漏洞进行一次“大数据”分析. 众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台，那么我们分析下2016年度web漏洞情况.

值得庆幸的是如今开发者在构建网站时，已经开始注重安全问题了. 绝大部分开发者都意识到SQL注入漏洞的存在，在本文我想与读者共同去探讨另一种与SQL数据库相关的漏洞，其危害与SQL注入不相上下，但却不太常见. 接下来，我将为读者详细展示这种攻击手法，以及相应的防御策略. 注意：本文不是讲述SQL注入攻击.

在我工作的多家公司，有众多的领域，如房产，电商，广告等领域. 尽管业务相差很大，但都涉及到爬虫领域. 开发爬虫项目多了后，自然而然的会面对一个问题——. l 这些开发的爬虫项目有通用性吗. l 有没有可能花费较小的代价完成一个新的爬虫需求. l 在维护运营过程中，是否能够工具化，构建基于配置化的分布式爬虫应用.

本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析，主要为了交流和抛砖引玉. 以下为任意文件下载漏洞的示例. DownloadAction为用于下载文件的servlet. 在对应的download.DownloadAction类中，将HTTP请求中的filename参数作为待下载的文件名，从web应用根目录的download目录读取文件内容并返回，代码如下.

CloudFlare公司经常会收到客户询问为什么他们的一些请求会被. CloudFlare WAF 屏蔽. 最近，一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽. 正如他说的，一个简单的请求访问 WEB 主页，乍看之下好像没什么问题. 除非你仔细查看 User-Agent 部分：.