更新于:06-21 18:04

有关[web]标签推荐

国内外电商平台反爬虫机制报告

于06-22 05:00 - leopard7777777 - WEB安全 反爬虫
电商平台的核心引擎大致分为两块,搜索架构和产品布局,应该说各有各的特色. 当然今天的主题是反爬虫机制,电商平台如何能保护好自己的数据,又不影响正常用户体验,所谓当今业界一场持久的攻防博弈. 应用场景一:静态结果页,无频率限制,无黑名单. 攻:直接采用scrapy爬取. 防:nginx层写lua脚本,将爬虫IP加入黑名单,屏蔽一段时间(不提示时间).

Web项目如何防止客户端重复发送请求

于06-09 04:38 - chanjarster - java javascript web
在Web项目中,有一些请求或操作会对数据产生影响(比如新增、删除、更新),针对这类请求一般都需要做一些保护,以防止用户有意或无意的重复发起这样的请求导致的数据错乱. 本文总结了一些防止客户端重复发送请求的方法. 方法一:JS监听Form的onsubmit事件. 在经典场景下,浏览器通过Form发送请求.

SSRF漏洞中绕过IP限制的几种方法总结

于05-27 23:00 - ArkTeam - WEB安全 SSRF
SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据. SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过滤. (1)、可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;.

Web开发者安全速查表

于05-24 06:00 - Alpha_h4ck - WEB安全
想要开发出一个安全的、健壮的Web应用其实是非常困难的,如果你觉得这实现起来非常简单的话,那么你一定是一个X炸天的程序猿,要么你就是在白日做梦……. 如果你觉得你可以在一个月之内开发出一款集使用价值、用户体验度、以及安全性为一身的产品,那么在你将产品原型真正推上市场之前,请一定要三思啊. 当你仔细核查了本文给出的安全小贴士之后,你可能会发现你在产品的开发阶段跳过了很多重要的安全步骤.

如何用最小的代价完成爬虫需求

于04-02 04:17 - 岂安科技 - WEB安全 爬虫
在我工作的多家公司,有众多的领域,如房产,电商,广告等领域. 尽管业务相差很大,但都涉及到爬虫领域. 开发爬虫项目多了后,自然而然的会面对一个问题——. l 这些开发的爬虫项目有通用性吗. l 有没有可能花费较小的代价完成一个新的爬虫需求. l 在维护运营过程中,是否能够工具化,构建基于配置化的分布式爬虫应用.

JSP端口转发神器:KPortTran

于03-10 02:07 - admin - web 安全
back.jsp?lip=本地ip&lp=本地端口&rip=远程ip&rp=远程端口&lp2=本地端口2//本地监听转发到第二个端口&m=运行模式//合法的值有:listen tran slave三种. 该模式下,会在本地监听两个端口,相互转发数据. 需要参数:lip、lp、rip、rp.

2016年度Web漏洞统计之Exploit-db

于01-23 04:00 - youyou0635 - WEB安全 专题 漏洞 exploit-db 大数据分析
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析. 众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况.

基于约束的SQL攻击

于01-06 00:24 - 鸢尾 - WEB安全
值得庆幸的是如今开发者在构建网站时,已经开始注重安全问题了. 绝大部分开发者都意识到SQL注入漏洞的存在,在本文我想与读者共同去探讨另一种与SQL数据库相关的漏洞,其危害与SQL注入不相上下,但却不太常见. 接下来,我将为读者详细展示这种攻击手法,以及相应的防御策略. 注意:本文不是讲述SQL注入攻击.

单点登录原理与简单实现

于12-22 23:37 - liuchi1993 - Web开发 单点登录
web应用采用browser/server架构,http作为通信协议. http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系. 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态.

是时候支持HTTPS了:免费SSL证书letsencrypt配置教程

于11-26 08:20 - Tim - Web HTTPS
今天抽空将 blog 增加了 HTTPS 支持,并停止了原来的 HTTP 服务. 由于证书仅网站域名需要,因此使用了免费的 Let’s Encrypt 证书服务. 根据维基百科的说明,Let’s Encrypt 是一个于2015年三季度推出的数字证书认证机构,将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程,为安全网站提供免费的SSL/TLS证书.

好用的Google漏洞爬虫:Google Mass Explorer

于11-10 09:22 - dawner - WEB安全 工具 exp google python3
这是一款基于谷歌搜索引擎的自动化爬虫. 先进行一次谷歌搜索,将结果解析为特定格式,然后再提供给exp使用. 大家可以尝试使用–help来列出所有参数. 这个项目笔者会持续更新,以后再添加新的exp进行升级. 此外,它会利用google_parsers模块去构建exp解析搜索结果,所以当你开始搜索时,可以选择“–exploit parser”参数来指定相应exp.

七种获取Spring的上下文环境ApplicationContext的方法

于08-08 03:22 - - Spring/springmvc/web开发相关
使用实例:UserDao userDao = (UserDao)SpringUtil.getBean("userDao");. 注意:这个地方使用了Spring的注解@Component,如果不是使用annotation的方式,而是使用xml的方式管理Bean,记得写入配置文件:.

JAVA安全之JAVA服务器安全漫谈

于06-08 02:50 - z_zz_zzz - web安全
本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析,主要为了交流和抛砖引玉. 以下为任意文件下载漏洞的示例. DownloadAction为用于下载文件的servlet. 在对应的download.DownloadAction类中,将HTTP请求中的filename参数作为待下载的文件名,从web应用根目录的download目录读取文件内容并返回,代码如下.

User Agent注入攻击及防御

于05-23 16:39 - xiaix - WEB安全
CloudFlare公司经常会收到客户询问为什么他们的一些请求会被. CloudFlare WAF 屏蔽. 最近,一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽. 正如他说的,一个简单的请求访问 WEB 主页,乍看之下好像没什么问题. 除非你仔细查看 User-Agent 部分:.

如何手工渗透测试Web应用程序(一):入门

于05-06 06:44 - felix - WEB安全 Burp Suite Mutiliadae 渗透测试
在这个系列文章中,我们将演示如何手工渗透测试web应用程序而不使用自动化工具. 世界上大多数公司都非常关注对web应用程序的手工测试,而不是运行web应用程序扫描器——因为它会限制你的知识和技能,影响在测试中寻找漏洞的视野. 在整个系列文章中,我将使用下面的程序:. NOWASP Mutiliadae是一个包含了40多个漏洞的web应用程序.

被动式Web扫描器的技术实现

于05-04 09:21 - q6e79d - WEB安全
本文原创作者:q6e79d. 在特定的情况下对单个页面进行SQL注入,XSS等漏洞进行渗透检测. http://www.example.com/query.php?id=1&uname=7ym0n,中的GET参数和POST表单. <title>我是一个测试</title>.

工具推荐:Raptor WAF,轻量级WEB应用防火墙

于05-01 03:09 - 0xroot - 工具 waf WEB防火墙
Raptor是一款采用C语言编写的WEB应用防火墙,使用DFA来阻止SQL注入、Xss目录遍历等攻击. 在80端口开启httpd服务并上传一些东西:. 复制存在漏洞的PHP代码到WEB目录:. 现在你可以在 http://localhost:8883/test.php 测试Xss攻击了. *原文: GitHub ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM ).

Fetch围观指南

于04-08 10:00 - dwqs - Web前端 fetch 异步请求
在 Web 应用中,JavaScript 通过 XMLHttpRequest (XHR)来执行异步请求,这是一种有效改进页面通信的技术,当我们谈及Ajax技术的时候,通常意思就是基于 XMLHttpRequest 的 Ajax. 虽说 Ajax 很有用,但它不是最佳 API,它在设计上不符合职责分离原则,将输入、输出和用事件来跟踪的状态混杂在一个对象里.

如何控制开放HTTPS服务的weblogic服务器

于03-17 07:46 - z_zz_zzz - web安全
目前在公开途径还没有看到利用JAVA反序列化漏洞控制开放HTTPS服务的weblogic服务器的方法,已公布的利用工具都只能控制开放HTTP服务的weblogic服务器. 我们来分析一下如何利用JAVA反序列化漏洞控制开放HTTPS服务的weblogic服务器,以及相应的防护方法. 建议先参考 修复weblogic的JAVA反序列化漏洞的多种方法中关于weblogic的JAVA反序列化漏洞的分析.

技术分享:如何编写自己的Web日志分析脚本

于02-24 07:09 - 鬼魅羊羔 - WEB安全 web日志 日志审计 自动化脚本
因为平时总是接触Web日志,但是苦于Web日志量大,windows下无法直接打开,linux下又得一个一个的去找,太麻烦,算是偷懒,第一次用shell命令写这个分析脚本,边写边改整理了将近1个星期,肯定不如有UI界面的好,但是作为一个Web日志分析小工具来说,也不是一无是处,各位看官也可以给点意见,可以一起帮忙完善这个脚本.

顺势而为,HTML发展与UI组件设计进化

于01-22 09:01 - zhang xinxu - 前端技术 html5 UI web组件
在阅读本文之前,建议先阅读之前的一篇文章:“ 面向设计的半封装web组件开发”,便于理解文章的一些解惑. 前端这几年的发展都是有目共睹的,然而,如果按照已经落地投入实践的标准梳理下,会发现,基本上都是偏后的JS开发层面的,比方说Node.js下的前后端分离,MV*库,React.js,各种包管理工具及前端集成解决方案等.

浅说Flux开发

于12-02 15:45 - dwqs - Web前端 flux react
前段时间,写了篇关于React的文件: React:组件的生命周期,比较详细的说了下React组件的生命周期. 说道 React,很容易可以联想到 Flux. 今天以 React 介绍及实践教程 一文中的demo为示例,简单说说 Flux 的开发方式. Flux 是 Facebook 用户建立客户端 Web 应用的前端架构, 它通过利用一个单向的数据流补充了 React 的组合视图组件.

关于 Web 安全,99% 的网站都忽略了这些

于10-13 11:57 - 野狗实时 - web http xss csp html
野狗科技联合创始人,先后在猫扑、百度、搜狗任职. 技术栈较广,曾经致力于数据分析,异常检测领域,通过数学模型和机器学习解决用户输入和搜索广告中的反作弊难题. 也曾做过java开发,熟悉从网络到前端的全部技术. 公众订阅号:wilddogbaas. Web安全是一个如何强调都不为过的事情,我们发现国内的众多网站都没有实现全站https,对于其他安全策略的实践更是很少,本文的目的并非讨论安全和攻击的细节,而是从策略的角度引发对安全的思考和重视.

小心访问:WordPress平台网站正受到攻击

于09-20 04:00 - 亲爱的兔子 - WEB安全 漏洞 终端安全 资讯 WordPress
最新报道称攻击者已经成功劫持上千使用WordPress平台的网站,同时利用恶意软件程序攻击不知情的网站访问者. 攻击活动开始的15天里面受感染数量一直在增加,尤其在过去的48小时里面受感染的网站数量持续增加更加迅速,周二统计时,受恶意程序感染的网站从每天的1000数量一直增加到6000. 当访问者访问恶意代码劫持的网站时会被重新定向到一个上面托管着Nuclear EK代码工具的服务器上.

[Web 安全] 如何通过JWT防御CSRF

于09-07 06:33 - 名一 - web安全 csrf jwt
先解释两个名词,CSRF 和 JWT. CSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的. JWT (JSON Web Token),通过某种算法将两个 JSON 对象加密成一个字符串,该字符串能代表唯一用户.

初探 performance – 监控网页与程序性能

于09-03 07:26 - TAT.felix - JavaScript Web 前端优化 Web开发
使用 window.performance 提供了一组精确的数据,经过简单的计算就能得出一些网页性能数据. 配合上报一些客户端浏览器的设备类型等数据,就可以实现简单的统计啦. 额,先看下兼容性如何: http://caniuse.com/#feat=nav-timing. 这篇文章中 Demo 的运行环境为最新的 Chrome 的控制台,如果你用的是其他浏览器,自查兼容性哈~.

前端性能优化指南

于08-30 15:02 - kahn1990 - web 性能优化 javascript 前端
XMLHttpRequest时,而URL长度不到. GET类型请求只需要发送一个. CSS等静态文件放在静态资源服务器上并配置单独域名,客户端请求静态文件的时候,减少. COOKIE反复传输时对主域名的影响. cloneNode在外部更新节点然后再通过. replace与原始节点互换. >多个节点插入操作,即使在外面设置节点的元素和风格再插入,由于多个节点还是会引发多次reflow.

javaScript跨浏览器事件处理程序

于08-25 13:45 - 小東仔 - javascript web前端开发 javascript高级程序设计
最近在阅读 javascript高级程序设计,事件这一块还是有很多东西要学的,就把一些思考和总结记录下. 在事件处理,事件对象,阻止事件的传播等方法或对象存在着浏览器兼容性问题,开发过程中最好编写成一个通用的事件处理工具. //在这里添加一些通用的事件处理方法. 事件的绑定主要为IE8以下浏览器做兼容处理:.

Python安全编码与代码审计

于07-30 07:29 - xxlegend - WEB安全
现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结. 代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除. 未对输入和输出做过滤,场景:.

巧用网页分析“反击”钓鱼网站

于07-20 13:00 - bawanag - WEB安全
接触网络一段时间的用户都会多多少少遇到一些钓鱼网站,而作为开发者的我们遇到的钓鱼网站更是数不胜数,有时稍不留神就会被钓鱼网站将自己的重要信息钓走,对于钓鱼网站我们也是咬牙切齿,当我们发现钓鱼网站后,我们总是气愤后关闭离开,或者有些正义感的朋友会选择举报该网站. 这一次我来讲个更绝的,通过分析钓鱼网站获得其传输方法,发送垃圾数据反击作者.