浅谈 DDoS 攻击与防御 原创： iMike 运维之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的缩写，中文译作分布式拒绝服务。那什么又是拒绝服务（Denial of Service）呢？凡是能导致合法用户不能够正常 ...

0×00 介绍现在越来越多主要的web程序被发现和报告存在XXE(XML External Entity attack)漏洞，比如说facebook、paypal等等。 举个例子，我们扫一眼这些网站最 ...

短信验证码接口非常容易遭受互联网恶意攻击——“短信轰炸”，该攻击通过循环利用不同业务中的无需注册即可向任意手机号发送短信验证码的正常业务需求（如用户注册、密码修改等），向多个手机号码同时连续发送大量的验证短信，对用户造成困扰。下面对短信轰炸的原理进行具体分析，进而制定相应的安全防护方案。 短信 ...

一.CSRF是什么？ 　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 二.CSRF可以做什么？ 　　你这可以这么理解CSRF攻击：攻击者盗用 ...

0×00 前言 一直想说说跨域web攻击这一概念，先前积累了一些案例和经验，所以想写这么一篇文档让大家了解一下跨域web攻击，跨域web攻击指的是利用网站跨域安全设置缺陷进行的web攻击，有别于传统的攻击，跨域web攻击可以从网站某个不重要的业务直接攻击和影响核心业务。 传统的安全思维教会 ...

现在的登录一般都采用手机号+验证码进行注册，登录。 容易被攻击的接口：注册时用户输入号码就可直接触发短信！最容易被短信轰炸机利用，只要网站被搜索引擎收录，短信轰炸机就很容易检索到注册页面。的 防止攻击的集中常见做法， 1、请求短信验证码接口的时候加上图形验证码，只有正确输入 ...

一.CSRF是什么？ 　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF 二.CSRF可以做什么？ 　　你这可以这么理解CSRF攻击：攻击者盗用 ...

前言 最近在做CTF题的时候遇到这个考点，想起来自己之前在做实验吧的入门CTF题的时候遇到过这个点，当时觉得难如看天书一般，现在回头望去，仔细琢磨一番感觉也不是那么难，这里就写篇文章记录一下自己的学习的过程。 正文 何为HASH长度拓展攻击？ 简单的说，由于HASH的生成机制原因 ...