淺談 DDoS 攻擊與防御 原創： iMike 運維之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的縮寫，中文譯作分布式拒絕服務。那什么又是拒絕服務（Denial of Service）呢？凡是能導致合法用戶不能夠正常 ...

0×00 介紹現在越來越多主要的web程序被發現和報告存在XXE(XML External Entity attack)漏洞，比如說facebook、paypal等等。 舉個例子，我們掃一眼這些網站最 ...

短信驗證碼接口非常容易遭受互聯網惡意攻擊——“短信轟炸”，該攻擊通過循環利用不同業務中的無需注冊即可向任意手機號發送短信驗證碼的正常業務需求（如用戶注冊、密碼修改等），向多個手機號碼同時連續發送大量的驗證短信，對用戶造成困擾。下面對短信轟炸的原理進行具體分析，進而制定相應的安全防護方案。 短信 ...

一.CSRF是什么？ 　　CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF。 二.CSRF可以做什么？ 　　你這可以這么理解CSRF攻擊：攻擊者盜用 ...

0×00 前言 一直想說說跨域web攻擊這一概念，先前積累了一些案例和經驗，所以想寫這么一篇文檔讓大家了解一下跨域web攻擊，跨域web攻擊指的是利用網站跨域安全設置缺陷進行的web攻擊，有別於傳統的攻擊，跨域web攻擊可以從網站某個不重要的業務直接攻擊和影響核心業務。 傳統的安全思維教會 ...

現在的登錄一般都采用手機號+驗證碼進行注冊，登錄。 容易被攻擊的接口：注冊時用戶輸入號碼就可直接觸發短信！最容易被短信轟炸機利用，只要網站被搜索引擎收錄，短信轟炸機就很容易檢索到注冊頁面。的 防止攻擊的集中常見做法， 1、請求短信驗證碼接口的時候加上圖形驗證碼，只有正確輸入 ...

一.CSRF是什么？ 　　CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF 二.CSRF可以做什么？ 　　你這可以這么理解CSRF攻擊：攻擊者盜用 ...

前言 最近在做CTF題的時候遇到這個考點，想起來自己之前在做實驗吧的入門CTF題的時候遇到過這個點，當時覺得難如看天書一般，現在回頭望去，仔細琢磨一番感覺也不是那么難，這里就寫篇文章記錄一下自己的學習的過程。 正文 何為HASH長度拓展攻擊？ 簡單的說，由於HASH的生成機制原因 ...