中国互联安全响应中心

2017年11月07日注册2018年06月21日最后登录

中国互联是江苏邦宁科技有限公司旗下的著名IT服务供应商品牌之一,是国内IDC行业十大之一、企业互联网服务首选品牌。江苏邦宁科技成立于2003年,是国内互联网名称与数字地址服务、云数据中心机房服务的引领者,是行业云计算解决方案、网站智能建设、企业智能办公软件、移动互联网开发的创新者。自成立以来,公司秉承“一切为了客户满意”的核心理念,坚持“国际化、专业化、高端化”的发展思路,坚持“以客户需求为导向、以技术创新为基础、以服务创新为支撑”,先后为国内各级政府、社会服务机构、国内外众多500强企业及中小企业、个人客户提供了专业、高质、优越的互联网应用服务。

重新认识被人遗忘的HTTP头注入

 中国互联安全响应中心
 2018年03月21日

前言 注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。 HOST注入 在以往http1.0中并没有host字段,但是在http1.1中增加了host字段,并且http协议在本质也是要建立tcp连接,而建立连接的同时必须知道对方的ip和端口,然后才能发送数据。既然已经建立了连接,那host字

重新认识被人遗忘的HTTP头注入

“深入浅出”来解读Docker网络核心原理

 中国互联安全响应中心
 2018年03月20日

前言  之前笔者写了有些关于dokcer的各种相关技术的文章,唯独Docker网络这一块没有具体的来分享。后期笔者会陆续更新Docker集群以及Docker高级实践的文章,所以在此之前必须要和大家一起来解读一下Docker网络原理。 就好比中国武术一样:学招数,会的只是一时的方法;练内功,才是受益终生长久之计。认真看下去你会有收获的,我们一起来把docker的内功修练好。 在深入Docker内部的

“深入浅出”来解读Docker网络核心原理

卫哲辞职:阿里巴巴史上最震撼的人事地震调查

 中国互联安全响应中心
 2018年03月20日

黑名单事件,起因于被阿里巴巴 B2B 公司列入中供产品的禁售黑名单的欺诈客户。事件的结果体现为上至该公司 CEO 卫哲、中至该公司的 VP 和总监、下至普通销售员的纷纷离职。 这场结构性的人事巨变,恰如其分的反映了马云强调多年的价值观在一家企业里到底有没有用。这是一次理想主义和现实主义的交锋——部分身处其中的人,也这么觉得。 一、事发 2010 年底,阿里巴巴集团联合创始人蒋芳被调去管理中供的诚信

卫哲辞职:阿里巴巴史上最震撼的人事地震调查

源码级剖析PHP 7.2.x GD拒绝服务漏洞

 中国互联安全响应中心
 2018年03月12日
 PHP

触发条件: php 7.2.x,开启gd库。只需要三行代码即可完成! 我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。 php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服务器上试试: 啊哈,一样的结果。触发这个问题的代码如下: $im=imagecreate(100,100); imageantialias($im,true); imageline($im,

源码级剖析PHP 7.2.x GD拒绝服务漏洞

还在为WiFi变慢而发愁?背后有这五大坑

 中国互联安全响应中心
 2018年03月9日

万物互联让网络通讯无处不在,人们似乎忘记了没有网络的生活是什么样,甚至在飞机上也要联网开个商务会议。考虑到网速和费用等情况,人们更倾向于选择WiFi网络进行接入,而这一过程中也会面临一些挑战,例如老旧的协议和频段、AP设置错误等问题往往会导致WiFi连接速度变慢。 连接复杂设门槛 WLAN无线设备提供了全球可用、费用低廉、带宽够高的空中无线接口,不过与有线网相比,无线网的移动特性使物理层与协议层之

还在为WiFi变慢而发愁?背后有这五大坑

3月7日这一夜,黑客耍了所有人

 中国互联安全响应中心
 2018年03月8日

数字货币投资者都会记住这个日子,2018 年 3 月 7 日,这一天中国两大数字货币交易所被「双杀」。 这天早上,一篇名为《庄家杜均》的文章在网上疯传,揭开了火币的冰山一角,瞬时舆论将这家大交易所推到了风口浪尖。 而更「精彩」的故事,发生在深夜–世界第二大交易所,福布斯数字货币富豪榜第三名赵长鹏所控制的「币安 Binance 交易所」大量用户发现自己的账户被盗。 正当大家都认为会和过往以前那些交

3月7日这一夜,黑客耍了所有人

使用Python和Tesseract来识别图形验证码

 中国互联安全响应中心
 2018年03月6日

各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,也只能苦哈哈地进行人肉识别,或者无奈地放弃任务。在这里,我分享一下自己使用Python和开源的tesseract OCR引擎做验证码识别的经验,并提供相关的源代码和示例供大家借鉴。 一、关于图形验证

使用Python和Tesseract来识别图形验证码

玩微信“跳一跳”我竟然领悟了渗透攻击与测试的诀窍!

 中国互联安全响应中心
 2018年02月2日

最近我和小伙伴们都爱上了小游戏“跳一跳”,不过我在玩的时候却突然从它联想到了渗透攻击与测试。在此,我将来探究一下它们之间的“联系”。 现如今,各类初创型公司都在迅速迭代和发展之中。对于支撑业务的 IT 系统,信息安全部门需要经常通过各种工具和手段来进行自查、分析和管控。 然而,我们时常会被建议去进行各种针对某些特定服务和应用的专项渗透测试,却往往缺乏一个全面的攻击视图和测试流程。 有过渗透经验的小

玩微信“跳一跳”我竟然领悟了渗透攻击与测试的诀窍!

推荐一款开源的Web渗透测试工具集合,适合测试人员个性化打造

 中国互联安全响应中心
 2017年11月9日

PentestDB 1 介绍 本项目用于提供渗透测试的辅助工具资源文件 1.1 辅助工具 提供轻量级的易扩展的工具,可以快速编写exploit、添加漏洞验证/扫描规则、添加指纹规则、爆破规则等;包含以下功能: Exploit系统。易扩展的exploit系统,能够使用API快速编写exploit,能够批量执行exploit 子域名爆破。爆破子域名,使用域传送、DNS爆破、GoogleHacking进

推荐一款开源的Web渗透测试工具集合,适合测试人员个性化打造

MongoDB数据库入门的5个简单步骤

 中国互联安全响应中心
 2017年11月9日

对于希望使用MongoDB的组织,学习如何可以压倒:哪里,你是怎么开始使用这个强大的数据库?随着数据库的普及,IT领导者需要清楚地了解其基础以及更好的使用技巧。 对于希望使用分布式文件存储的数据库MongoDB的组织来说,如何开始使用这个强大的数据库是其所面临的挑战。随着数据库的普及,IT领导者需要对其基础有一个清晰的了解以及更好的使用技巧。 以下是确保成功应用MongoDB数据库的五个简单步骤。

MongoDB数据库入门的5个简单步骤

日单量从百万到千万,滴滴全链路压测实践

 中国互联安全响应中心
 2017年11月7日

稳定性是技术团队的命根子,滴滴也在搞全链路压测了。虽然才四五年,滴滴内部已经有了众多系统,而且号称四大语言,八大框架,改造成本可想而知。 如何做到釜底抽薪,支持线上环境的全链路压测?而且与一般电商不同,滴滴的交易是实时的,乘客发单,附近需要有司机能立即接单,顺风车尤为复杂,研发压测工具又面临着怎样的挑战? 滴滴出行创立于 2012 年,是全球领先的一站式多元化出行平台。经历过各种烧钱补贴大战、多次

日单量从百万到千万,滴滴全链路压测实践

攻击JavaWeb应用[1]-JavaEE 基础

 中国互联安全响应中心
 2016年09月27日

0x00 JavaEE 基础 JSP: 全名为java server page,其根本是一个简化的Servlet。 Servlet:Servlet是一种服务器端的Java应用程序,可以生成动态的Web页面。 JavaEE: JavaEE是J2EE新的名称。改名目的是让大家清楚J2EE只是Java企业应用。 什么叫Jsp什么叫Java我真的非常让大家搞清楚!拜托别一上来就来一句:“前几天我搞了一个j

攻击JavaWeb应用[1]-JavaEE 基础
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享