文章目录 前言 审计对象 代码安全扫描 命令注入-数据流分析 不安全的传输—语义分析 秘钥硬编码-代码结构分析 用户隐私泄露-数据流分析 cookie未启用httponly-代码结构分析 不安全的随机数-代码...

文章目录 一．ModSecurity——WAF简介 二．配置环境 1.服务器位置 2.主体搭建配合 目前占用端口：5601 3.启用方法 4.使用方法 5.调试方法 6.性能说明 7.应急方案 总结 之前有在体系建设中写到开...

文章目录 漏洞前言 漏洞情况 Payload与漏洞利用 漏洞上报及处理进程 为了确认Payload是否被成功执行，从下图的浏览器请求信息中可以看到，fetch方法直接从浏览器缓存中读取了我的身份信息。

从上图中可以看到，用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后，登录按钮（Sign-IN）才会启用显示以供用户点击。因此，基于这点，我右键点击了Sign-In按钮，然后用Chrome开发...

文章目录 什么是CVE？ 如何去提交CVE？ 申请披露流程 公开披露漏洞方法 Exploit Database GITHUB 个人项目 个人博客 HACKERONE GITHUB issue CVE中文申请站 CNVD 总结 什么是CVE？ CVE的全称叫...

文章目录 速率限制漏洞 雅虎（Yahoo）的速率限制漏洞 漏洞修复建议 4、针对评论区构造任意评论内容字典，开始发起attack； 同样，用Repeater点击多次送请求包也能实现同样效果：

文章目录 一. 测试目的 二. 测试范围 三. 测试环境 3.1网络拓扑 3.2软/硬件环境 四. WAF测试项对比 模拟黑客攻击看是否阻断生效 模拟灾难发生（宕机或网络波动等）看是否切换备用WAF正常工作 模...

文章目录 ShareWAF-Blance的特点 1、反向代理模式 2、服务注册表式的动态负载 3、支持有状态通信 随机负载 ShareWAF有一款开源的负载均衡，名为ShareWAF-Blance（后文也简称其为Blance），本文...

文章目录 一、样本采集 二、 滤噪 三、 降维 1、词袋模型 2、维度选择方法 3、主题模型 4、神经网络 四、特征提取 五、生成对抗规则 hihttps是一款免费的web应用防火墙，既支持传统WAF的所有功...

文章目录 一、减少凭证重用 二、管理本地管理员的密码 三、审查和审核NTLM的使用 四、管理“复制目录更改”的访问控制列表 五、监视与Isass.exe交互的意外进程 在Windows设备网络上使用这五个技...