2019年8月10日

Windows Server 2008云主机安全配置基础教程

修改管理员账号及密码 windows 2008服务器系统通过远程登陆来管理的,默认管理员账号是administactor;如果对方知道你的账号,可能通过暴力解密获取你的密码;所以,要及时修改管理员账号。 修改流程是:选择“单击“开始→运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器,依次展开“设置→→本地策略→安全选项”,并将右边列表框下拉到最底下,双击“重命名系统管理员账 […]
2019年8月4日

backtrack下扫描探测

1.主机发现 1 2 3 4 arping -c 192.168.96.133 fping -s -r 3 -g 192.168.96.1 192.168.96.254 genlist 192.168.96.\* nping -c 3 –tcp -p 80 –flags syn 192.168.96.133 2.操作系统识别 1 2 p0f -i eth0 xprobe2 192.168.96.1 […]
2019年8月4日

隐藏apache和php的版本号 隐藏http响应头

本文介绍PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。和apache显示版本号的问题。 有些朋友为了安全会隐藏起来,也会有强迫症的朋友想把它们给隐藏起来。比如我(典型强迫症) 其实出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。 假设你服务器上安装的特 […]
2019年7月11日

逐浪CMS通用型SQL注入漏洞分析与利用(asp.net)

绕过了那个很简单的防注入。直接可以update管理员密码。 注入点: http://demo.zoomla.cn/user/cashcoupon/arrivejihuo.aspx 页面的按钮点击事件: protected void Btn_Click调用了b_Arrive.UpdateState(text); public bool UpdateState(string ArriveNo) { s […]
2016年7月18日

Waf实现扫描器识别 彻底抵挡黑客扫描

目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。   因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求,就可以在这方面节省很大的资源。 […]
2016年6月6日

如何使用Reaver破解Wi-Fi网络的WPA密码

Wi-Fi网络能够让我们便利地访问因特网,但同时,我们又不希望隔壁抠门猥琐男总是蹭我们的网,所以自然要给WiFi加个密码,对吧?于是,好消息是,也许你已经看过我的另一篇文章,“如何使用BackTrack破解WIFI无线网络的WEP密钥”,所以你使用了更稳固的WPA安全协议。 但坏消息是,现在有一款自由开源新工具——Reaver,已经挖掘出了无线路由器的一个漏洞,由此能够破解绝大多数路由器上的密码。 […]
2016年5月10日

屏蔽360、scanv、QQ管家等IP扫描

这个方法需要开启 iptables ,把下面的IP段加入到 iptables 中。 如果没有启动可以联系联系服务商帮忙开启。独立的服务器和云主机可以自行安装启动。 vi banip.sh echo "banip" iptables -A INPUT -s 221.204.203.0/24 -j DROP iptables -A INPUT -s 183.136.133.0/24 -j DROP i […]
2016年4月25日

互联网流量劫持的背后:黑客月入至少三万

明明打开的是A网站,莫名其妙却被跳转至B网站;明明想下的是A软件,下载安装后却是B软件;打开一个App,弹出的广告让人心乱如麻,同时也不胜其烦……你以为电脑手机中毒了?错!或许你真的错怪了病毒,因为你的互联网流量很可能被劫持了。 在互联网的世界里,流量劫持并不是件新鲜事。所谓流量劫持,是指通过一定技术手段,控制用户的上网行为,让你打开不想打开的网页,看到不想看的广告,而这些都会给劫持者带去源源不断 […]
2016年4月12日

如何防止https流量被劫持(HSTS)

支持 HSTS 比你想象的更容易。 由于服务器管理员没能正确设置 HTTP Strict Transport Security (HSTS),现今大量的 HTTPS 流量都能被轻松劫持。 HSTS 是一个被当前大多数 Web 浏览器所支持的 Web 安全策略,它可以帮助 Web 管理员保护他们的服务器和用户避免遭到 HTTPS 降级、中间人攻击和 Cookie 劫持等 HTTPS 攻击的危害。 9 […]
2016年3月8日

Google向所有新闻网站提供免费DDoS防御服务

Google近日宣布向所有新闻网站和人权组织开放其DDoS防御服务——Project Shield。 Project Shield项目于2013年启动,迄今已经与选定的几家机构测试了两年多。 DDoS拒绝服务攻击是最常见的网络攻击之一,根据绿盟科技发布的2015年DDoS态势报告,DDoS攻击呈现两级分化,一方面大流量攻击不断增长,另一方面小流量的、脉冲式的混合攻击则让企业防不胜防。后者与赎金软件 […]