标签‘安全’

为你的Express应用增加CSRF防护

CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

众所周知,Web系统并没有绝对的安全,就比如我们公司年前遇到的情况,有些恶心网站通过网络抓包等手段,截取验证码发送接口,通过伪造请求实现了传入任意手机号并发送验证码的功能,虽然这看起来并没有什么用,但当这些不法分子拔了成百上千个接口后,就形成了一个疯狂的短信轰炸机,对于服务提供者,这些地下网站只要有人使用,就会不断得消耗短信费用,给企业带来不必要的损失。 查看更多...

使用iptables限制访问网站指定端口

Linux用得比较少,所以对iptables也不是很熟悉,最近部署网站,因为对外的80端口是通过nginx转发,而内部程序都是类似8080、3000之类的端口,不做处理的情况下,很可能会看到如:地址www.poorren.com、地址www.poorren.com:8080同时可以访问的情况,这样对于SEO其实是很不利的,比如cnodejs.org,经常会搜到NodeJS相关文章,但是路径是cnodejs.org:8080,这样一来给用户带来不便,二来多个相同内容也一定程度上降低权重,所以,我们要禁止对带非80端口的路径进行访问。

看了相关文章,都是推荐iptables配置,尝试一番后解决了手头上问题,特记录一下,利人利己。

配置很简单,命令如下:

1、在tcp协议中,禁止所有的ip访问本机的8080端口。

iptables -I INPUT -p tcp --dport 8080 -j DROP

2、允许127.0.0.1访问本机的8080端口 查看更多...

WEB安全,SHELL权限提升技巧大全

c: d: e:.....

C:\Documents and Settings\All Users\「开始」菜单\程序\

看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径,

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\

看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆

c:\Program Files\serv-u\ 查看更多...

最新破解WEP无线网络WLAN全攻略

WLAN技术出现之后,“安全”就成为始终伴随在“无线”这个词身边的影子,针对无线网络技术中涉及的安全认证加密协议的攻击与破解就层出不穷。现在,因特网上可能有数以百计,甚至以千计的文章介绍关于怎么攻击与破解WEP,但有多少人能够真正地成功攻破WEP的加密算法呢?以下介绍一些关于WEP加密手段的知识,以及就是菜鸟只要按照步骤操作也可成功破解WEP密钥的方法。当然最终的目的还是为了让大家做好安全设置对破解更好的进行防范。请大家不要用于危害网络和互联网和信息安全的行为,本文仅供学习和参考,模仿本文产生的一切责任由实施者全部负责。

一、WEP:无线网络安全最初的保护者
查看更多...

从路由器选购到桌面安全的组网注意事项

公司有大有小,但无论是大公司还是小公司,都不可能少了以下这四样东西:路由器,交换机:杀毒软件和WINDOWS。写这篇文章的目的是为了给广大中小型公司出谋划策,说一说组建中小规模网络的心得。

闲言少叙,进入正题。与其它三者不同,只有WINDOWS不存在“选择”问题,所以我们唯一能做的是“学会”使用WINDOWS,确切的说是学会使用浏览器,这也要学?当然!学不会的话肯定会给你的日常工作生活带来无尽的烦恼。杀毒软件有360这样的免费产品,也许360假设价格因素是用户的唯一考量,针对小公司而设计的防毒产品相对免费产品有何优势呢?凭什么让用户掏钱? 查看更多...

Windows系统端口对照详细说明

端口:0

服务:Reserved

说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

端口:1 查看更多...

简简单单,通过.htaccess提高网站安全性

网站安全性不容小视,尤其是是对于后台管理目录的访问需要格外的严格控制,否则一旦被人得到网站管理员的密码,再通过后台管理可能的上传操作就可以拿下整个网站了。但是,目前一般来说我们对后台管理的权限都是通过程序本身的密码限制的,而程序本身的密码又受到了自身的安全性限制。因此需要更为底层的访问限制来保障网站的安全性。当然,备份工作也不能忽视。

.htaccess文件便是Apache下的一个分布式配置文件,其对于网站的各种功能配置有非常重要的作用,我们也可以通过这个文件来限制对网站的访问。下面我将具体说明配置方法: 查看更多...

浅谈无线路由器安全设置

在使用无线路由器进行无线冲浪的时候,我们周围的邻居很有可能在无意间闯入本地无线网络中,这些邻居在免费享用着我们提供的宽带的同时,或许会尝试登录进本地无线路由器后台管理界面,来对本地无线网络进行非法攻击,导致本地无线网络无法正常工作。为了谨防这些邻居的破坏,我们有必要及时采取措施,对无线路由器进行合适设置,以便拒绝非法邻居对本地无线网络实施攻击。

禁止Ping,预防本地目标暴露 查看更多...

Adsl宽带上网常见的网络攻击与防范知识

电信级IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然,统一通讯已成为发展的趋势。以IP技术为核心进行网络改造并承载多种新型业务以提升竞争力,是固网运营商的发展方向。而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,由于以太网技术的开放性和其应用广泛,也带来了一些安全上的问题。特别是当网络由原有的单业务承载转为多业务承载时,安全问题带来的影响愈发明显,已经逐步影响到业务的开展和部署。

目前接入网常见的攻击包括ARP“中间人“攻击、IP/MAC欺骗攻击、DHCP/ARP报文泛洪攻击等。 查看更多...

Linux Kernel 本地权限提升及拒绝服务漏洞

今天给大家带来的是一份红客联盟早已经播报过的安全漏洞,相信行家一目了然,虽然漏洞已经过时,并且补丁也出来了,但不能轻视,这只是一种形式,希望我们在回过头来看看这个漏洞,看完后我们思考下,行家欢迎发表你的看法和想象,这个漏洞更多的是给我们安全爱好者很多启示和灵感,漏洞的分析如下:"

受影响系统: Linux kernel <=2.6.37

漏洞描叙: Linux Kernel是开放源码操作系统Linux所使用的内核。

本漏洞可以导致本地帐号对系统进行拒绝服务或特权提升, 也就是说一个普通用户可以通过运行这段程序后轻松获得root shell, 以下在update过的Ubuntu 10.04 Server LTS 上测试通过: 查看更多...