标签： WEB安全

下载安装河马扫描器，可访问官网 或者点此直接下载 解压缩zip文件，双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录。单击开始扫描按钮，使用深度解码器进行深度扫描 处理结果，扫描完成后处理WEBSHELL

之前的文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲解了SAST和DAST，《Web安全之IAST(交互式应用程序安全测试)详解》讲解了IAST，本文再讲解一个安全测试技术SCA。 什么是SCA？ SCA（Software Composition Analysis），软件成分分析，是一种用于测试软件组件的质量和可靠性的方法。通过对软件组件进行详细的分析，找出其中的缺陷和...

前一篇文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲了SAST和DAST，本篇文章详细讲解一下这两种安全测试方法相结合的测试方法IAST。 什么是IAST IAST（Interactive Application Security Testing），交互式应用程序安全测试，是一种自动化的应用程序安全测试技术，通过结合动态分析和静态分析的方法来检测应用程序中的安全漏洞。通...

SAST和DAST都是应用程序安全测试方法，用于发现应用程序的潜在安全问题。 什么是SAST？ SAST（static application security testing），静态应用程序安全测试，是一种白盒测试方法。通过检查代码以发现软件缺陷和安全漏洞，SAST是在软件开发生命周期(SDLC)的早期阶段（可以理解为编码阶段）发现代码漏洞，由于SAST是通过扫描源代码发现漏洞，所以能够精确给出...

机缘巧合，最近接触了一款开源的web安全工具OWASP ZAP，着实眼前一亮。操作简单易用、功能齐全、插件种类丰富，具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等多样的安全测试功能，相比于商业版的Burp Suite和AppScan工具，OWASP ZAP不乏为一款不错的商用版替代工具，也是安全人员入门的极佳体验工具。 本文将根据OWASP ZAP工具特性，分别将其与Burp...

​在当前数字化环境中，IT的一个里程碑式增长便是公司组织和企业数字化。为了扩大市场范围和方便业务，许多组织都在转向互联网。这导致了一股新的商业浪潮，它创造了网络空间中的商业环境。通过这种方式，公司和客户的官方或机密文件都可以上传到互联网上，方便用户随时访问。 通常情况下，网站会受到保护而免遭黑客攻击，但保存、保护机密文件和知识产权仍需要强大的安全保障。这种安全保障是为了抵御来自黑客的网络攻击或网暴...

随着企业数字化转型的深入，越来越多的业务应用系统被部署到互联网平台上，这吸引了网络犯罪团伙的强烈关注，以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞，攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限，从而进行网页篡改、数据窃取等破坏活动，严重损害企业的业务发展。 保障Web应用安全已经成为行业普遍认知。但研究人员发现，目前很多企业对Web应用安全防...

预防为主，防治结合，这是人类应对疾病威胁的重要方针，在网络安全世界中也同样适用。HTTP DDoS 攻击发生时往往来势汹汹，事先并没有任何征兆。这就意味着事中、事后的处置策略对当前攻击通常只能起到应急补救的效果。 DDoS 攻击，不止于网络传输层 网络世界里为人们所熟知的 DDoS 攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，最终导致目标网络与业务的瘫痪；这类 DDOS 攻击，工作在 O...

w3af这个工具是扫描网站漏洞，比如 SQL注入、盲注、本地\远程文件包含、跨站脚本攻击、跨站伪造请求等。 找了一些正规的工具定义介绍：w3af是一个Web应用安全的攻击、审计（分析）平台，通过增加插件来对功能进行扩展，这是一款用python写的工具，支持GUI，也支持命令行模式。 w3af目前已经集成了非常多的安全审计及攻击插件，并进行了分类，用户在使用的时候，可 以直接选择已经分类好的插件，只...

10月20日，腾讯安全举行线上发布会，正式对外发布其全新一代Web应用防火墙（WAF）产品。新产品进一步拓宽了Web应用安全的防护边界并支持更加多样的接入形态，为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护。 腾讯新一代WAF防护全景图 各行各业数字化转型的深入推进，使得越来越多的企业通过网页、APP、小程序等应用来开展核心业务，针对业务层的黑客攻击日益频发。由此，专注We...

0day漏洞突然爆发，放下筷子就得去应急响应；应用遭遇暴力破解攻击，只有频率限制一种办法，松了风控抱怨，严了业务投诉；双十一货物被一抢而空，结果事后却收到大量退货……这些场景对于Web安全运维人员来说再熟悉不过。 随着数字化转型的深入，针对Web应用的攻击越来越频繁。目前信息安全攻击大约75％都发生在Web应用层而非网络层。究其原因，现在企业组织的大量核心业务通过门户网站、业务App等Web应用开...

受全球疫情的影响，传统业务向数字化转型在加速进行，推动线上业务迎来爆发式的增长。以Web服务展开的各类在线应用也面临着更大的安全风险，使用传统的安全手段对抗来自新型的互联网自动化威胁已经显得力不从心。 当今社会的科技发展和未来创新都离不开自动化技术。然而，一旦自动化技术被不法分子所用，造成的损失也是不可估量的。随着企业逐渐将应用程序转移至云端，并通过应用程序编程接口（API）暴露各种功能，网络罪犯...

2021年新年伊始，由51CTO主办的《中国企业“IT印象◆释放IT动能 加速数智时代”年终评选》活动评选榜单正式揭晓。本次评选活动由51CTO联合众多IT行业专家、51CTO核心用户及资深媒体编辑进行综合评审，主要从品牌、产品和技术、解决方案、应用服务四个方面对企业的“技术、成就、创新”以及对产业的支持和服务进行综合评价，旨在展示2020年度IT界先进技术和成果，也为新一轮的技术创新热潮写下注脚...

新技术、新应用的蓬勃发展，驱动了安全创新变革，企业数字化进程不断加速，客户需求和Web应用场景愈加广泛，更多门户网站、核心业务、交易平台等日益依赖Web和APP开展。与此同时，越来越多的开放性API业务也正在蓬勃发展，成为企业数字化转型的重要内容。伴随流量的提升，API业务带来的Web敞口风险和风险管控链条的扩大，不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增，各类工具化、智能化、拟人化的B...

漏洞背景 2 月 20 日 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞： https://www.drupal.org/sa-core-2019-003 漏洞的触发条件为开启了 RESTful Web Services，且允许 POST / PATCH 请求。 根据 Drupal 的配置，此漏洞可能不需要任何权限即可触发，但普适性不高。一旦该漏洞被利用，攻击者则可以直接在 We...