浅谈PHP弱类型安全

浅谈PHP弱类型安全

2天前 浏览: 9 评论: 0

0x00 弱类型初探 没有人质疑php的简单强大,它提供了很多特性供开发者使用,其中一个就是弱类型机制。 在弱类型机制下 你能够执行这样的操作 php不会严格检验传入的变量类型,也可以将变量自由的转换类型。 比如 在$a == $b的比较中 $a = null; $b = false; //为真 $a = ''; $b = 0; //同样为真 然而,php内核的开发者原本是想让程序员借由这种不需要

职场告诉我们,信息安全行业最需要的是这十大证书

职场告诉我们,信息安全行业最需要的是这十大证书

5个月前 (05-30) 浏览: 55 评论: 0

获得安全行业证书,是大多数信息安全行业从业者要做的第一件事儿,也是入职名企、面试成功、获取高薪的重要砝码。在当今的社会工作中,一个人的能力表现往往决定了一个人的生活质量,而一个人的能力表现往往又体现在工作相关能力证书的获取上。 面对如今国内信息安全市场的火热,拥有国际信息安全认证的人才,要比没有证书的拥有更完善的知识储备,而这种专业的知识储备会推动他们事业的发展。 面对众多的职业证书,哪些才是和你

云数据存储:漏洞及避免漏洞方法

云数据存储:漏洞及避免漏洞方法

6个月前 (04-10) 浏览: 42 评论: 0

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自己的服务器因而可降低耗电量。信息存储和备份创建变得更加便宜和简单。 这些年来,大量的数据被转移到云端,包括个人档案、照片、文件和受版权保护的内容。付费和免费云服务用户基数继续增长。根据调查公司Research 和 Markets的数据显示云

没错,区块链真的是最具颠覆性的数据安全技术

没错,区块链真的是最具颠覆性的数据安全技术

6个月前 (04-10) 浏览: 68 评论: 0

虽然区块链技术大多与加密货币联系在一起,作为推动比特币及比特币价格飙升的创新技术而为人所知,但专家眼中区块链将会彻底改变的行业却还有很多很多。 区块链可提供透明性、去中心化、效率、安全和其他一系列好处,彻底革新多个行业,改善数据世界的安全性。它将改变的行业包括但不限于: 银行业 供应链管理 保险 云存储 政府 慈善 在线音乐 能源管理 房地产 零售业 专家们眼中区块链将彻底颠覆的行业还有很多,有些

像黑客一样思考:应对安全问题所需的心理模型

像黑客一样思考:应对安全问题所需的心理模型

9个月前 (01-25) 浏览: 88 评论: 0

在信息安全领域,人们常常被要求“像黑客一样思考”。但是问题是,如果你想到的只是一个非常狭义的黑客(例如,只会攻击Web应用程序的黑客),那么它可能会对你的思维模式和业务开展方式产生负作用。 俗语有言“一知半解,害已误人”,孤立的事实并不能很好地呈现事情本来面目。正如传奇投资人Charlie Munger曾经所言,“如果你只是记住一些孤立的事实,那么你不能真正知道任何事情。如果不将事实与心智模型的网

你是如何发现网站遭到ddos攻击的?

你是如何发现网站遭到ddos攻击的?

12个月前 (11-06) 浏览: 125 评论: 0

随着网络攻击的简单化,如今ddos攻击已经不止出现在大型网站中,就连很多中小型网站甚至是个人网站往往都可能面临着被ddos攻击的的风险。或许很多站长对来势迅猛的ddos攻击并不是很了解,导致网站遭遇攻击也不能被及时发现,造成防御不及时,带来经济损失。 为了让站长们能够及时发现ddos攻击,下面我们就详细介绍一下网站受ddos攻击的表现: 网站遇到ddos攻击的表现之一:服务器CPU被大量占用 dd

硬件黑客技术——扩展你渗透的攻击面

硬件黑客技术——扩展你渗透的攻击面

12个月前 (11-06) 浏览: 64 评论: 0

一、前言 为了充分利用待评估的硬件,您应该熟悉多种安全测试领域——基础设施、网络、移动应用程序——因为这些现代设备都为我们提供了丰富的攻击面。硬件黑客技术可以极大扩展我们的渗透能力,不仅能够带来一些新的攻击方式,同时,还能增加我们的攻击深度。 二、动机 1. 持久性的问题 目前,漏洞的“半衰期”(用户为其服务/软件中已识别的漏洞安装安全补丁所需的时间的一半)已经非常短暂了;对于托管的Web服务来说

阿里云肖力:云上,怎样才算把安全做到极致?

阿里云肖力:云上,怎样才算把安全做到极致?

1年前 (2017-10-13) 浏览: 39

10月12日,杭州云栖大会上,阿里云安全事业部总经理肖力,对日前发布的企业云安全架构,逐层解构,并介绍了阿里云如何从平台、数据、服务三个维度,为云上客户,和未来所有上云企业,提供极致的安全。   表象:安全,可能成为企业发展的黑天鹅 当企业处在数字化转型的拐点,安全问题很可能阻碍企业弯道超车。今年,三起严重的安全事件,无一不在提醒企业,安全的重要性。 从美国三大征信公司之一的Equifax数据泄露

安全人员学习笔记——Web中间件之Tomcat篇

安全人员学习笔记——Web中间件之Tomcat篇

1年前 (2017-09-01) 浏览: 118

Web中间件学习篇 本篇主要从IIS、Apache、Nginx、Tomcat四种常见中间件的Tomcat入手,介绍相关安全知识,遵循“中间件简介→如何搭建网站→安全配置分析→安全日志分析”的顺序进行学习,旨在梳理常见Web中间件的知识点,为Web安全学习打好基础。 Tomcat篇 作者:古月蓝旻@安全之光 Tomcat简介 Tomcat(Apache Tomcat)是Apache 软件基金会(Ap

走近科学:如何一步一步解码复杂的恶意软件

走近科学:如何一步一步解码复杂的恶意软件

1年前 (2017-08-23) 浏览: 106

  写在前面的话 在检测网站安全性的过程中,最麻烦的一部分工作就是要确保我们能够找出网站中所有已存在的后门。绝大多数情况下,攻击者会在网站各种不同的地方注入恶意代码,并以此来增加再次感染该网站的成功率以及尽可能久地实现持续感染。 虽然我们之前已经给大家介绍过数百种后门以及相应的影响,但今天我们想跟大家更加深入地讨论一些关于恶意软件的分析技术,即如何解码复杂的高级恶意软件。 本文所分析的恶

区块链技术的安全价值与局限性解析

区块链技术的安全价值与局限性解析

1年前 (2017-06-12) 浏览: 60 评论: 0

我们正站在新变革来临的边缘,互联网正在经历去中心化的阶段。经过了20年的科学研究,在密码学领域和去中心化计算网络上都产生了新的进展,带来诸如区块链技术(blockchain)之类的前沿技术,而这些技术可能潜含着从底层的改变社会运转方式的力量。 5月26日,美国国防部宣布与加密通讯开发商ITAMCO签署合同,共同开发用在美国军方的基于区块链的创新应用——一款“安全,不可侵入的消息传递、交易平台”。据

“同形异义字”钓鱼攻击,钉钉中招

“同形异义字”钓鱼攻击,钉钉中招

1年前 (2017-06-12) 浏览: 78 评论: 0

同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名IDNs(Internationalized Domain Names)支持多语种域名,而其中一些非拉丁字符语种的字母与拉丁字符非常相似,字面看很难区分。关于同形异义字钓鱼攻击的相关技术,freebuf上之前已有文章介绍,这里就不再过多介绍这个技术,不清楚可以自行搜索. 0×01 腾讯、京东、支付宝、微博、淘

人工智能反欺诈三部曲——特征工程

人工智能反欺诈三部曲——特征工程

2年前 (2017-03-20) 浏览: 89 评论: 0

近年来,随着移动互联网的兴起,各种传统的业务逐渐转至线上,互联网金融,电子商务迅速发展,商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图,此类线上推广迅速滋生了针对返利的系统性的优惠套利欺诈行为,俗称薅羊毛。由于移动设备的天然隐蔽性和欺诈行为的多变性,传统的防范手段,比如规则系统等就显得有些笨拙和捉襟见肘了,使得薅羊毛看起来仿佛防不胜防。但是正所谓魔高一尺,道高一丈。在实践中,我

小技巧:如何发现是否有人用USB偷插你的电脑?

小技巧:如何发现是否有人用USB偷插你的电脑?

2年前 (2017-03-06) 浏览: 344 评论: 0

你或许不会知道,咱们其实可以用windows注册表来检测是否曾经有一个特殊的USB设备连接过你的电脑。 验证USB设备的插入的重要性 大家可能不会相信,也许有一天咱们真会用上这个小技巧。比如你朋友的移动硬盘里被警察从你这里搜了出来,但是里面装满了儿童岛国动作片。这时候,证明这玩意儿不是你的就显得非常重要了。 我们想要检查某一台USB设备是否插入过自己的电脑,可以采用操作windows注册表的方式。

深度分析APT28最新作品

深度分析APT28最新作品

2年前 (2017-02-27) 浏览: 127 评论: 0

近日,MacOS平台首次出现了XAgent的病毒样本。XAgent家族是由俄罗斯知名黑客团队APT28开发的间谍软件,具备反调试,键盘记录,下载文件和加密通信等恶意能力,在各种主流操作系统中都有样本出现,在近年来的黑客入侵事件中扮演了重要的角色。本文首先对APT28的背景进行解读,然后从技术角度深度分析该间谍软件,从挖掘出的病毒特征证实该样本出自APT28之手。最后提供了YARA规则用于判定此类病

有了漏洞扫描器,如何用好?一点不成熟的小总结

有了漏洞扫描器,如何用好?一点不成熟的小总结

2年前 (2017-02-09) 浏览: 141 评论: 0

*本文原创作者:德约杲杲,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,

Kali下常用安全工具中文参数说明(160个)

Kali下常用安全工具中文参数说明(160个)

2年前 (2017-02-09) 浏览: 233 评论: 0

nc 瑞士军刀 [v1.10-41] 使用格式: nc [-参数] 主机名 端口[s] [端口] … 侦听入站: nc -l -p 端口[-参数] [主机名] [端口] 参数选项: -c shell commands        as `-e’; use /bin/sh to exec [dangerous!!] -

防火防盗反钓鱼,2016年全球网络钓鱼总汇概览

防火防盗反钓鱼,2016年全球网络钓鱼总汇概览

2年前 (2017-01-03) 浏览: 103 评论: 0

一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。 那么问题来了,原本处于绝密状态的邮件

85%的企业认为自己有能力抵御网络攻击,可实际情况是…

85%的企业认为自己有能力抵御网络攻击,可实际情况是…

2年前 (2017-01-03) 浏览: 113 评论: 0

这两年我们看到企业安全问题已经迫在眉睫,很多安全公司对企业安全是持悲观态度的。但从最近BAE Systems的一个调查来看,似乎绝大部分企业对自家的安全问题都非常乐观。这项调查显示: 85%的企业认为他们为可能面临的网络攻击做好了防御准备。但实际情况是,在过去半年内,这些企业中有40%都遭到了攻击。 BAE Systems的这份调查报告中还提到近期发生的入侵事件,对企业而言造成的平均损失超过50万

Shell批量登陆和执行安全基线检查脚本

Shell批量登陆和执行安全基线检查脚本

2年前 (2016-12-21) 浏览: 432 评论: 0

前言 由于没有相关自动化安全检查基线设备,为了方便自己工作,写了个shell脚本,批量登陆、执行、提取远程服务器数据。 脚本说明 1.将本目录所有文件都放入到一台自己的本地linux主机同一目录下 2.将服务器IP、普通账号、普通账号密码、root密码依次按以下格式写入到hosts.txt中(注意“~”作为hosts.txt的分隔符): 192.168.1.81~user~123456~nothi

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享