安全小课堂

Web安全 详解XPath注入—安全小课堂第四十二期

详解XPath注入—安全小课堂第四十二期

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1<...
代码审计 谈一谈java代码审计—安全小课堂第四十一期

谈一谈java代码审计—安全小课堂第四十一期

安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞,PHP代码审计大家比较熟悉了,Java代码如何进行安全审计呢?本期邀请到孙爱萍小伙伴为大家分享Java代码审计。 关于分享者: 孙爱萍是京东高级安全工程师,有着多年的Java代码审计经验,参与京东代码安全审计平台建设。   >...
Web安全 聊一聊服务器的安全基线—安全小课堂第三十九期

聊一聊服务器的安全基线—安全小课堂第三十九期

安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到最基本的防护能力要求而制定的一系列基准。本期我们来聊一聊服务器的安全基线。 本期邀请到网易安全专家沈明星。 豌豆妹 服务器常规的安全配置有哪些? 哆啦A梦 安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到...
Web安全 越权漏洞泄露你的隐私—安全小课堂第三十七期

越权漏洞泄露你的隐私—安全小课堂第三十七期

越权漏洞正在泄露你的隐私。作为一种很常见的逻辑安全漏洞,越权漏洞的危害和影响与对应业务的重要性成正相关。如果存在平行越权的话,就可以查看所有用户的敏感信息,而这些敏感信息在黑产眼中简直就是珍宝。 本期邀请到河图安全专家Vern参与讨论。 豌豆妹 能说说对越权漏洞的理解么? 哆啦A梦 越权漏洞是一种很常见的逻辑安全漏洞。可以这样理解:服务器端对客户提出的数据操作请求过分信任...
Web安全 交易支付逻辑漏洞小总结—安全小课堂第三十六期

交易支付逻辑漏洞小总结—安全小课堂第三十六期

支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。本期我们来聊一聊交易支付逻辑漏洞。 本期我们邀请到 JSRC资深白帽子种田、紫霞仙子╰(*°▽°*)╯ 豌豆妹  先说说支付流程出现逻辑漏洞的严重性吧~ 哆啦A梦  支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费...
专题 密码找回逻辑漏洞小总结—安全小课堂第三十五期

密码找回逻辑漏洞小总结—安全小课堂第三十五期

密码找回功能出现逻辑漏洞,利用漏洞修改他人帐号密码。比如重置了管理权限的账户密码,可能导致修改页面,上传shell,服务器被黑掉,可能使得订单与收货地址信息泄露,涉及用户隐私、账户被盗刷等。 本期,我们来进行密码找回逻辑漏洞小总结。 本期我们邀请到 JSRC资深白帽子种田、紫霞仙子╰(*°▽°*)╯ 豌豆妹 什么是逻辑漏洞?   小新 开发在开发程序中,根据假设条件来...
专题 聊聊app手工安全检测–安全小课堂第二十七期

聊聊app手工安全检测–安全小课堂第二十七期

上集回顾:深聊waf那些事儿(二)——安全小课堂第二十六期 安全小课堂第二十七期 借助相关工具进行针对性的测试,就是app手工安全检测。隐患、风险点距离实际的漏洞利用还有一定距离, 即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认, 这是无法替代的。由此可见app手工安全检测的重要性。本期我们来聊一聊app手工安全检测。 本期邀请到 盘古安全专家小G 盘古安全专家zh...
专题 深聊waf那些事儿(二)——安全小课堂第二十六期

深聊waf那些事儿(二)——安全小课堂第二十六期

上集回顾:深聊waf那些事儿(一)——安全小课堂第二十五期安全小课堂第二十六期 waf是web应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。本期我们继续来聊一聊waf那些事儿。...
专题 深聊waf那些事儿(一)——安全小课堂第二十五期

深聊waf那些事儿(一)——安全小课堂第二十五期

安全小课堂第二十五期 waf是web应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。本期我们来聊一聊waf那些事儿。 本期邀请到 携程安全专家张亮 唯品会安全专家yy 阿里安全专...
专题 浅谈内网渗透—安全小课堂第二十三期

浅谈内网渗透—安全小课堂第二十三期

安全小课堂第二十三期 拿到企业或者公司的内网权限,然后从内网得到最有价值的战果,这就是内网渗透。 其危害不言而喻,影响到公司内部代码泄露与重要信息泄露等。 各种信息泄漏直接导致的后果是,可以给黑客留下更多的可趁之机,比如再次进入内网,长期控制等。本期我们来聊一聊内网渗透。 本期邀请到  安全白帽子沦沦、360安全专家 Mickey、360安全专家zxx 大家欢迎~  ...
专题 企业级未授权访问漏洞防御实践

企业级未授权访问漏洞防御实践

来源于京东安全应急响应中心 未授权访问可以理解为需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、企业级重要信息泄露。 据不完全统计,有2000余家企业出现过未授权访问漏洞,出现越权访问漏洞的比例约在8%,因此我们本期和各位聊一聊未授权访问的防御与落地。 本期安全小课堂非常荣幸的邀请到了来自新浪安全高级安全研究员小川、银联安全高级安全研究员苏黎士,列...

友情链接

合作伙伴