摘要:
WEB安全新玩法 [9] 重置密码之验证流程防绕过 一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。 某 阅读全文
摘要:
WEB安全防护相关响应头(上) WEB安全防护相关响应头(上) 一、X-Frame-Options -- 打破框框- 二、X-Content-Type-Options -- IE你别瞎猜猜了- 三、HTTP Strict Transport Security (HSTS) -- 不加密不舒服斯基- 阅读全文
摘要:
WEB安全防护相关响应头(下) WEB安全防护相关响应头(下) 一、Referrer-Policy -- 不要问我从哪里来- 二、X-XSS-Protection -- 跨站边界保护- 测试一- 测试二- 测试三 一、Referrer-Policy – 不要问我从哪里来 “互联网”这个词,顾名思义, 阅读全文
摘要:
几种常见网络抓包方式介绍 几种常见网络抓包方式介绍 一、网络分流器(TAP)- 二、有网管功能的小交换机- 三、用两块网卡的Linux方案- 四、总结 无论作为网络运维人员,还是安全渗透工程师,在工作中都会无可避免地碰到网络抓包的需求。 对网络运维人员,网络抓包可以: 定位网络里的异常设备;- 排查 阅读全文
摘要:
前端安全 — 浅谈JavaScript拦截XSS攻击 前端安全 — 浅谈JavaScript拦截XSS攻击 一、XSS攻击类型- 1. 存储型XSS(持久型)- 2. 反射型XSS(非持久型)- 3. DOM XSS- 1. 编码- 2. 内联事件及内联脚本- 3. 静态脚本- 4. 动态脚本- 5 阅读全文
摘要:
多线程程序开发简介 多线程程序开发简介 一、线程 / Threading- 二、使用线程的几种方式- 1. 流水线- 2. 工作组- 3. 客户端 / 服务器- 1. 计算负荷- 2. 编程规则- 3. 更难以调试- 1. one loop per thread- 2. Leader / Follo 阅读全文
摘要:
安全利器 — SELinux 安全利器 — SELinux 一、初识 SELinux- 二、SELinux 安全上下文- 三、SELinux 访问控制- 四、SELinux 工作模式- 五、SELinux 日常维护- 六、自定义 SELinux 规则模块 在 Linux 系统中一切皆文件,资源也属于 阅读全文
摘要:
小饼干Cookie的大魅力 小饼干Cookie的大魅力 一、Cookie叙述- 1.1 观察Cookie在HTTP数据包中的交互- 3.1 HTTP会话状态保持- 3.2 基于Cookie的SSO单点登录- 3.3 跟踪分析用户行为 早期互联网只是用于简单的页面浏览,并没有交互,服务器也无法知道不同 阅读全文
摘要:
巧用 iLocker 清理恶意程序 巧用 iLocker 清理恶意程序 起因- 观察- 手段- 解决- 案例总结 iLocker 作为 iGuard 网页防篡改系统的文件驱动过滤模块所衍生出来的独立应用,是一个文件防护工具,可以在文件系统驱动层检查文件操作,根据规则对文件操作进行放行或拦截,可以灵活 阅读全文
摘要:
暗链和搜索引擎流量劫持在哪里 暗链和搜索引擎流量劫持在哪里 一、加到隐秘的全局「代码」中- 二、加到JavaScript中- 三、利用Web服务器自带的重定向/反向代理功能- 四、利用特殊HTTP响应码对应的自定义页面 这门地下生意的 「要义」 是: 它们的链接多数是非法网站,如赌博、赌场、彩票、地 阅读全文
摘要:
浅谈「内存调试技术」 浅谈「内存调试技术」 一、影子内存(shadow memory)- 比例+偏移的映射算法 内存问题在 C/C++ 程序中十分常见,比如缓冲区溢出,使用已经释放的堆内存,内存泄露等。 程序大了以后,查找起来又特别的难。即使我们在写程序时非常的仔细小心,代码一多,还是难以保证没有问 阅读全文
摘要:
浅谈同源策略 浅谈同源策略 一、什么叫做同源- 二、跨源网络访问- 三、跨域资源共享(CORS)- 四、预检请求(Preflight Request) 同源策略可能是现代浏览器中最重要的安全概念了,它在使得同一站点中各部分页面之间基本上能够无限制允许脚本和其他交互的同时,能完全防止不相关的网站之间的 阅读全文
摘要:
网站常见安全风险 — 暴露的CMS 网站常见安全风险 — 暴露的CMS 网站内容管理系统(CMS) 自诞生之日起,便是网站建设的一个重要领域。CMS 以其丰富多样的功能和简单易用的操作,有效地解决了用户网站建设与信息发布中常见的问题和需求,一直深受众多使用者的青睐。 正因如此,利用 CMS 对网站进 阅读全文
摘要:
解决动态库的符号冲突 解决动态库的符号冲突 一次debug遇到的疑惑- 动态库和符号表- 和符号有关的编译器选项和环境变量选项 一次debug遇到的疑惑 某天发现一个程序有点问题。祭上print大法,在关键的 lib_func() 函数里添加 print 调试信息,重新编译运行。 期望 print 阅读全文
摘要:
运用iGuard防御ADS权限维持 运用iGuard防御ADS权限维持 一、NTFS文件系统 & ADS特性- 1. NTFS/ADS 是什么?- 2. ADS 怎么用? 权限维持是一门庞大的学问,当攻击者在入侵服务器获得主机权限后,往往会想尽办法隐藏其入侵途径以维持权限。权限维持的一般手段包括构造 阅读全文
摘要:
高频访问SQLite数据库 高频访问SQLite数据库 SQLite 是一款开源的 SQL 数据库引擎,由于其自包含、无服务、零配置和友好的使用许可(完全免费)等特点,在桌面和移动平台被广泛使用。 在应用开发过程中,如果想保存点数据,自然而然地就会想到 SQLite,毕竟它拥有非常多的实践者。这里分 阅读全文
摘要:
大话PHP的垃圾回收机制1. PHP可以自动进行内存管理,清除不需要的对象,主要使用了引用计数 1. 在zval结构体中定义了ref_count和is_ref , ref_count是引用计数 ,标识此zval被多少个变量引用 , 为0时会被销毁 比如当数组或对象循环的引用自身 , unset掉数组 阅读全文
摘要:
年薪50万PHP开发在腾讯是什么水平? 前两天和在腾讯的朋友聊了聊技术,我和他认识多年,在后端开发上经常切磋和交流。他在腾讯级别是(10级)!于是有了这篇文章,腾讯10级的程序员到底需要掌握哪些技术点! 我也算是IT行业的老鸟了!从毕业进入腾讯的初级程序员做起,到现在的10级,一路走来感触颇多,前期 阅读全文
摘要:
教你php利用redis实现消息队列解析 php+redis消息队列是php+mysql性能不足时的一个中间间处理方案。通过这个中间的处理,保证的数据的可用性和准确性。用于服务器瞬间请求大,数据库压力大的情况。如并发量大导致的超卖、并发量大导致的数据重复情况。 流程:php接受请求和数据 -> ph 阅读全文
摘要:
百度、腾讯PHP大厂面试经验分享,拿到了百度offer 今天下午来到北京百度科技园进行复试PHP工程师岗位。面试官问了很多问题,因为主要是从事php方面的,所以下面谈的这些面试问题主要都是php方面的,当然其它的语言面试有些问题也会被问到。我大概整理回忆下: 如果你经常参加面试的话,你就会发现几乎所 阅读全文