登录社区云,与社区用户共同成长
邀请您加入社区
这位某安朋友应该还没入门,基本的webtop10(owasp)漏洞如何检测还没掌握,虽然现在有现成工具来进行web漏洞检测,但是原理咱们还是要知道,因为后期咱们实战中遇到大部分都带waf,waf就算了关键waf还带着自主学习的功能,之前就遇好几家带人工智能的waf防火墙哈哈哈。代码原理咱们理解以后聊聊这几个漏洞,xss分三大类,反射,存储dom(其他扩展flask,pdf,uxss),怎么判断xs
这系列功能的开发历程特别有意思,完全是被网友们的需求推着一步步升级的 ,从最初的 1.0 版本开始,大家各种 “加需求” 的建议就没断过,一路迭代到现在,想想还挺有成就感的哈哈哈。到现在,还接入了各种第三方软件调用,功能越来越完善。比如加入 Snort 后,通过自定义配置规则,几乎能全覆盖各类入侵行为的检测:像 DDoS 攻击、ARP 欺骗、ICMP 异常探测、暴力破解尝试,以及常见 CVE 漏洞
一般恶意软件我们可以通过一下常见方式检测,软件行为,文件目录操作,注册表操作,网络通讯,内存操作,pe文件结构,哈希校验,恶意内容检测类似php一句话木马检测等。这个demo,我们使用哈希校验和人工智能算法来检测恶意pe行为,模型数据集使用了50多mb,可自行添加恶意pe的数据集。
waf有两种嵌入式(代码层不同语言不同说明,拦截器,装饰器,注解器,动态代理,动态工厂,无痕开发,统称aop,或者插桩想起火绒一位故人dongtai,百度他们好像也有个openrasp)和非嵌入式,硬件waf,云waf,单独一硬件或软件在请求之前通过原始套接字拦截等,详细waf介绍网站自行了解,我们重点看下这个嵌入式的waf,才收假咱们国内的一红队成员就找我帮忙写一个代码层面的waf应该是要去投标
企业智能安全运营中心AISOC通过整合ChatGPT、DeepSeek等AI大模型,将UEBA、EDR、SIEM等安全功能智能化升级,显著提升安全运营效率和响应精准度。该平台融合威胁情报分析、风险评估等能力,实现安全态势可视化与智能决策,为企业提供新一代智能安全防护方案
第一次帮客户做这个PHP代码审计系统Demo时,用Python+Flask搭了Web框架,MySQL 存审计结果。项目核心是把PHP代码转成正反 Tree结构和Graph图,最后咱们可以通过比对正常与异常语法树找漏洞。刚开始解析PHP语法总出错,调了好久正则匹配规则才顺。用Graph 可视化展示调用关系,漏洞点标红很直观。虽然覆盖的漏洞类型有限,但把静态分析,树形结构比对这些思路落地了,实际测几个
闲聊帮朋友忙完src事情后,抽空改下这个demo,之前一客户找我帮他改的,问题挺多的,大屏所以数据写死,修改了一些;部分代码无法运行问题,他这个项目有点类似读写分离,PHP作为UI前端读取数据,Python写入数据挺好,值得表扬使用了正则表达式规则匹配。
Java除了开发业务,大数据,游戏开发其他呢?既然我们是做安全开发的,Java肯定能做一些事情比如代码审计,抓包,发包,爬虫,这一次我们使用java写一个入侵检测系统,弥补一下需要的客户,之前因为客户嫌价格贵所以一直没写,原因举个例子大家就知道了如果开发爬虫你优先选择那个c?常见的业务开发我就不多说了哦,每种开发语言都有自己框架,你只需按照他们规范来就行,因为毕竟业务层面开发已经很完善了,从很早以
Next.js曝出严重安全漏洞CVE-2025-66478,CVSS评分达10.0,攻击者可利用该漏洞通过特制请求实现远程代码执行(RCE)。漏洞影响Next.js 15.x/16.x全系列及部分测试版本,主要涉及使用App Router和React Server Components的项目。该漏洞源于原型污染问题,攻击者可注入恶意代码污染原型链。验证环境搭建显示,相关依赖存在严重安全风险。建议开
本文探讨了JavaScript中的原型污染漏洞,分析了其危害性及工作原理。文章首先指出原型污染在动态网络安全中的重要性,尤其在前端和后端开发中的潜在威胁。随后回顾了JavaScript基础概念,包括对象、类、原型和继承机制,强调原型链在实现继承中的关键作用。最后详细解释了原型污染的工作原理:当攻击者能够修改对象的原型时,会影响所有继承该原型的实例。通过代码示例展示了原型污染如何通过原型链传播,为后
PHP的$GLOBALS超全局变量存在严重安全隐患,当用户输入直接赋值给$GLOBALS时,会导致任意全局变量覆盖漏洞。典型攻击场景包括:1)通过覆盖$is_admin等权限变量实现未授权访问;2)修改数据库配置$db_user/$db_pass导致数据泄露;3)篡改$file_path实现任意文件读取。漏洞根源在于未过滤用户输入直接操作$GLOBALS数组。修复方案:1)严格限制可操作参数白名单
PHP弱类型比较漏洞及修复指南 摘要: 本文详细解析了PHP中弱类型比较(==)与严格比较(===)的差异及潜在安全风险。弱比较会强制类型转换导致反直觉结果(如"123abc"==123为true),而严格比较要求类型和值都相同。文章通过大量代码示例展示了MD5哈希碰撞、strcmp数组绕过、switch自动转型、in_array误匹配等典型漏洞场景,并提供了以下关键修复建议:
本文总结了PHP开发中常见的安全漏洞及防护措施,主要包括: 文件上传漏洞:未校验文件类型直接上传,可导致木马执行。修复方案包括白名单校验、重命名文件、禁止目录解析PHP等。 目录遍历漏洞:可控路径参数可读取系统敏感文件。应限制open_basedir、使用realpath规范化路径、检查路径前缀。 文件操作漏洞(读取/删除/下载):可控路径参数可操作任意文件。需固定操作目录、过滤特殊字符、校验真实
PHP代码执行与命令注入漏洞分析 摘要:本文详细分析了PHP中常见的代码执行与命令注入漏洞。代码执行漏洞主要源于eval()、assert()、preg_replace/e修饰符等危险函数对用户输入的不当处理,攻击者可借此执行任意PHP代码。命令注入漏洞则发生在system()、exec()等函数直接拼接用户输入执行系统命令时,攻击者通过命令分隔符注入恶意指令。文章列举了各漏洞的利用方式和修复方案
PHP安全防护体系由全局配置、代码过滤和流量防护三层构成:php.ini作为底层防线,通过open_basedir限制目录访问、disable_functions禁用高危系统命令函数、关闭allow_url_include防止远程文件包含;代码层采用类型校验、filter_var过滤、预编译防SQL注入、htmlspecialchars防XSS、escapeshellarg防命令执行;最外层通过W
《JavaScript前端安全审计与风险防范》 摘要: JavaScript作为网页前端核心脚本语言,承担着动态交互、数据处理等关键功能,但其完全暴露的特性带来了显著安全风险。本文系统梳理了JS安全审计四大维度:1)源码中的资产信息泄露(接口路径、管理后台);2)硬编码敏感信息(账号密码、API密钥);3)危险函数引发的XSS/SSTI漏洞;4)业务逻辑绕过(校验规则、加密算法)。重点分析了文件上
Tool Calling 真正改变的,不是交互方式,而是安全模型。因为从这一刻开始,AI 不再只是信息生成器,而是进入了执行链路。这个工具一旦被调用,现实世界会发生什么?工具越接近真实执行,越不能只靠模型自己判断。Tool Calling 让 AI 拥有了手。而一旦 AI 有了手,真正的安全边界,就不能只停在大脑里——它必须站在执行发生之前。
本文系统梳理了DOM/BOM安全风险,重点分析了16种DOM型漏洞的原理及攻击方式(如XSS、开放重定向、Cookie操纵等),指出BOM五大对象(Window、Navigator等)衍生的独立安全问题。漏洞根源在于用户可控输入未经净化直接传入危险API,导致恶意代码在客户端执行。文章最后提出统一的修复方案,包括输入转义、白名单校验、限制危险函数等防御措施,强调需结合前端净化与后端CSP策略进行综
本文分析了前端JS数据加密(CryptoJS、jsencrypt)存在的核心安全漏洞及JS代码混淆的局限性。主要问题包括:对称加密密钥硬编码、MD5无随机盐、HMAC固定密钥、RSA缺乏签名校验、分段加密易篡改等七大类漏洞。同时指出JS混淆仅增加逆向难度,无法防止密钥泄露和请求篡改。最后提出修复方案:后端应负责完整签名校验、密钥管理、业务二次验证,前端加密仅用于防窃听,必须配合HTTPS等安全措施
最近读到一篇论文,标题叫《With Great Capabilities Come Great Responsibilities》,来自新加坡 GovTech 和新加坡科技设计大学的研究者。它提出了一个叫 ARC Framework(Agentic Risk & Capability Framework) 的技术治理框架,目标是帮助组织去识别、评估和缓解 Agentic AI 系统带来的安全风险。
在讨论执行控制系统时,最常见的质疑是:这是不是一个伪需求?毕竟,过去二十多年,绝大多数企业系统、物联网系统、金融科技系统和云端业务系统,都是靠软件权限、账号体系、API 网关、风控策略、日志审计、云端 KMS、TEE 或 ARM TrustZone 这类机制完成安全隔离的。它们成本低、迭代快、部署轻、生态成熟,也确实支撑了大量业务系统的长期运行。
很多系统把安全理解为“防住攻击”,仿佛只要防线足够厚、流程足够复杂、权限足够细,就能逼近绝对安全。但对于高价值资产、多人治理、自动化执行和 AI Agent 参与的现实系统来说,这种想法并不成立,因为失败本身无法被消灭,真正决定后果的,是失败会以什么方式发生。本文讨论的不是如何幻想系统永远正确,而是为什么真正可靠的安全,必须建立在对失败方式的控制之上:让错误在局部暴露、在边界被截断、在进入现实之前
本文摘要: Cookie和Session是两种常见的身份验证技术。Cookie存储在客户端浏览器,适合存非敏感数据(如用户名),但存在安全隐患;Session存储在服务器端,仅通过PHPSESSID标识客户端,适合存敏感数据(如登录状态)。文章详细比较了两者的工作原理、PHP代码实现及安全风险:Cookie易受XSS攻击和客户端篡改,需设置HttpOnly;Session存在固定攻击风险,需在登录
本文介绍了模板引擎的基本概念和实现原理,重点分析了Smarty模板引擎的SSTI(服务器端模板注入)安全漏洞。文章首先说明了模板引擎的核心目标是实现前后端分离,然后通过Smarty的实例演示了正常使用方法。随后详细剖析了SSTI漏洞的形成条件和危害,包括信息泄露、文件读取和命令执行等风险。通过对比安全和非安全的代码实现,阐述了防御措施:禁止动态拼接用户输入、关闭危险标签、开启安全沙箱等。最后还列举
AI Agent 的风险从来不只是“可能答错”,而是它的错误是否会继续沿着合法链路流动,最终变成现实世界中的错误结果。随着 Agent 开始参与理解任务、拼接上下文、调用工具和组织动作,系统面对的问题已经不再是输出质量,而是执行边界。本文讨论为什么真正可靠的系统,不是让 Agent 永远正确,而是让 Agent 出错时也不能独自改变现实;以及为什么系统必须把 Agent 的错误限制在认知层,而不是
本文深入剖析了保障数据完整性的经典理论——Biba完整性模型。文章从防止污染的“防尘室”哲学出发,详解了“禁止下读”、“禁止上写”和“禁止上行调用”三大规则及其动态变体。结合Windows强制完整性控制(MIC)和微服务架构,探讨了Biba思想在现代操作系统与软件供应链安全中的落地实践,并客观分析了其工程局限,为系统防篡改与安全设计提供了有益的参考。
电子数据取证第二章,电子数据取证的基本原则
本报告就开源威胁情报信息抽取的工作进行汇报,参考了一些高引用量的文献、博客、论坛视频和项目,有助于深入了解威胁情报的全貌,尤其侧重于用于信息提取的大型语言模型。通过阅读本篇报告,可以了解到:1.2015年以来非结构化威胁情报抽取的发展沿革和各时期的代表性工作2.2023年使用LLM和PLM进行开源威胁情报信息抽取的最新工作3.讨论LLM和SLM在网络安全领域落地的性能和成本比较4.LLM现存的局限
安全威胁分析
——安全威胁分析
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net