- 1 上传漏洞危害介绍上传是Web中最常见的功能,如果上传功能存在设计、编码缺陷,就容易形成上传漏洞,从而成为致命的安全问题,攻击者可以通过上传脚本木马,实现查看/篡改/删除源码和任意涂鸦网页,可以连接和操作对应的数据库,还可以通过操作系统漏洞、配置缺陷、信息泄露进行提权,获取操作系统提权,因此上传功能是Web安全测试中重点关注的高风险模块。2 上传漏洞原因分析上传漏洞形成的原因,主要由以下 1 上传漏洞危害介绍上传是Web中最常见的功能,如果上传功能存在设计、编码缺陷,就容易形成上传漏洞,从而成为致命的安全问题,攻击者可以通过上传脚本木马,实现查看/篡改/删除源码和任意涂鸦网页,可以连接和操作对应的数据库,还可以通过操作系统漏洞、配置缺陷、信息泄露进行提权,获取操作系统提权,因此上传功能是Web安全测试中重点关注的高风险模块。2 上传漏洞原因分析上传漏洞形成的原因,主要由以下
- 2017年,全球数据泄露事件已不仅是呈翻倍的速度增长仅上半年泄露或被盗的数据(19亿条),就已经超过了2016年全年被盗数据总量,全年预计将超过50亿条。这样的数据泄露规模你是否还在存在侥幸心理,就是那所谓的“怎么可能刚好落在我身上”。随着我们在工作、生活中的云化,就在今天,万物互联已经融入到我们每个人的生活中,相信在不就的将来,整个IOT时代也将会很快的到来。仔细回忆一下,今天我们所做的任何情都 2017年,全球数据泄露事件已不仅是呈翻倍的速度增长仅上半年泄露或被盗的数据(19亿条),就已经超过了2016年全年被盗数据总量,全年预计将超过50亿条。这样的数据泄露规模你是否还在存在侥幸心理,就是那所谓的“怎么可能刚好落在我身上”。随着我们在工作、生活中的云化,就在今天,万物互联已经融入到我们每个人的生活中,相信在不就的将来,整个IOT时代也将会很快的到来。仔细回忆一下,今天我们所做的任何情都
- AI安全初探——利用深度学习检测DNS隐蔽通道目录AI安全初探——利用深度学习检测DNS隐蔽通道1、DNS 隐蔽通道简介2、 算法前的准备工作——数据采集3、 利用深度学习进行DNS隐蔽通道检测4、 验证XShell的检测效果5、 结语1、DNS 隐蔽通道简介DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。由于大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS AI安全初探——利用深度学习检测DNS隐蔽通道目录AI安全初探——利用深度学习检测DNS隐蔽通道1、DNS 隐蔽通道简介2、 算法前的准备工作——数据采集3、 利用深度学习进行DNS隐蔽通道检测4、 验证XShell的检测效果5、 结语1、DNS 隐蔽通道简介DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。由于大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS
- AI安全初探——利用深度学习检测DNS隐蔽通道1、DNS 隐蔽通道简介DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。由于大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为隐蔽通道提供了条件,从而可以利用它实现诸如远程控制、文件传输等操作,DNS隐蔽通道也经常在僵尸网络和APT攻击中扮演着重要的角色。DNS隐蔽通道可以分为直连和中继两种模式。直连也就是Cl AI安全初探——利用深度学习检测DNS隐蔽通道1、DNS 隐蔽通道简介DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。由于大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为隐蔽通道提供了条件,从而可以利用它实现诸如远程控制、文件传输等操作,DNS隐蔽通道也经常在僵尸网络和APT攻击中扮演着重要的角色。DNS隐蔽通道可以分为直连和中继两种模式。直连也就是Cl
- 近期,黑客通过利用WebLogic反序列化漏洞和WebLogic WLS 组件漏洞,在目标主机挂马进行比特币挖矿,大量企业服务器被攻陷,而且被攻陷的企业数量呈明显上升趋势。华为云WAF第一时间更新防护规则,现已可完美防御该高危漏洞。 近期,黑客通过利用WebLogic反序列化漏洞和WebLogic WLS 组件漏洞,在目标主机挂马进行比特币挖矿,大量企业服务器被攻陷,而且被攻陷的企业数量呈明显上升趋势。华为云WAF第一时间更新防护规则,现已可完美防御该高危漏洞。
- 本文对反向代理及其作用进行了介绍 本文对反向代理及其作用进行了介绍
- 前言最近华为云WAF将要上线一个反爬虫的功能特性,于是华为云WAF的安全专家在此对反爬虫技术做了简单的分析与分享。反爬虫技术的核心其实是需要判断请求是由真实的浏览器发起,还是由脚本或者bot发起。目前爬虫的检测方法,大概有三类:基于User-Agent、基于JS-Injection、基于Machine-Learning。本文详细讲解了基于JS-Injection的反爬虫分析、绕过和加固建议。 前言最近华为云WAF将要上线一个反爬虫的功能特性,于是华为云WAF的安全专家在此对反爬虫技术做了简单的分析与分享。反爬虫技术的核心其实是需要判断请求是由真实的浏览器发起,还是由脚本或者bot发起。目前爬虫的检测方法,大概有三类:基于User-Agent、基于JS-Injection、基于Machine-Learning。本文详细讲解了基于JS-Injection的反爬虫分析、绕过和加固建议。
- Burpsuite这个工具应该是web安全手动测试中用到最多的神器,它是用java写的,因此反编译比较容易,直接用jd gui工具载入即可,然后就可以看到payload string了 Burpsuite这个工具应该是web安全手动测试中用到最多的神器,它是用java写的,因此反编译比较容易,直接用jd gui工具载入即可,然后就可以看到payload string了
- 在安全技术合作方面,华为云致力于与业界优秀的安全产品与服务合作伙伴合作,为用户提供主机安全、网络安全、数据安全、应用安全、安全管理等各领域的产品和服务。华为云已与合作伙伴联合推出了主机入侵检测、Web 应用防火墙、主机漏洞检测、网页防篡改服务及渗透测试等服务,提升了华为云的安全检测、感知及防御能力。截止目前,华为云已与40 多家国内外安全伙伴展开深入合作,在华为云上提供120 多项安全产品及服务。 在安全技术合作方面,华为云致力于与业界优秀的安全产品与服务合作伙伴合作,为用户提供主机安全、网络安全、数据安全、应用安全、安全管理等各领域的产品和服务。华为云已与合作伙伴联合推出了主机入侵检测、Web 应用防火墙、主机漏洞检测、网页防篡改服务及渗透测试等服务,提升了华为云的安全检测、感知及防御能力。截止目前,华为云已与40 多家国内外安全伙伴展开深入合作,在华为云上提供120 多项安全产品及服务。
- 与华为传统ICT 业务相比,华为云拥有更完整的网络配置信息和设备操作权。再结合华为云采用的 DevOps/DevSecOps 流程,使得华为云在漏洞修复上能做到更快速、更直接的持续集成、持续部署。华为云已建立起从漏洞感知到现网修复的端到端漏洞响应工单系统,此系统会自动接收来自 PSIRT、在线扫描工具等众多漏洞收集渠道提交的漏洞,并自动根据漏洞的严重程度确定处理优先级,从而明确对应的漏洞修复 SL 与华为传统ICT 业务相比,华为云拥有更完整的网络配置信息和设备操作权。再结合华为云采用的 DevOps/DevSecOps 流程,使得华为云在漏洞修复上能做到更快速、更直接的持续集成、持续部署。华为云已建立起从漏洞感知到现网修复的端到端漏洞响应工单系统,此系统会自动接收来自 PSIRT、在线扫描工具等众多漏洞收集渠道提交的漏洞,并自动根据漏洞的严重程度确定处理优先级,从而明确对应的漏洞修复 SL
- 华为 PSIRT 已建立完善的漏洞感知与收集渠道。在华为官网 PSIRT 公开了漏洞收集邮箱 psirt@huawei.com,鼓励全球漏洞协调组织、供应商、安全公司、组织、安全研究者和华为员工等提交华为产品或解决方案的漏洞。同时,华为 PSIRT 会主动监控业界知名漏洞库、安全论坛、邮件列表、安全会议等渠道,以保证第一时间感知到包括云在内的华为相关漏洞信息。通过建立包括云业务在内的所有产品和解决 华为 PSIRT 已建立完善的漏洞感知与收集渠道。在华为官网 PSIRT 公开了漏洞收集邮箱 psirt@huawei.com,鼓励全球漏洞协调组织、供应商、安全公司、组织、安全研究者和华为员工等提交华为产品或解决方案的漏洞。同时,华为 PSIRT 会主动监控业界知名漏洞库、安全论坛、邮件列表、安全会议等渠道,以保证第一时间感知到包括云在内的华为相关漏洞信息。通过建立包括云业务在内的所有产品和解决
- 云审计能力介绍:云审计服务为用户提供记录资源操作的能力。并配套提供操作事件列表、筛选搜索多种查看功能,以及操作记录合并文件转储到对象存储以方便用户进行操作记录分析。华为云审计服务具有以下功能:Ø支持资源操作事件记录;Ø支持追踪器的创建和管理; Ø支持操作事件列表查看; Ø支持操作事件根据条件筛选查看; Ø与对象存储结合,支持操作事件转成文件周期性转储到对象存储;Ø支持转储到对象存储的文件设定文件前 云审计能力介绍:云审计服务为用户提供记录资源操作的能力。并配套提供操作事件列表、筛选搜索多种查看功能,以及操作记录合并文件转储到对象存储以方便用户进行操作记录分析。华为云审计服务具有以下功能:Ø支持资源操作事件记录;Ø支持追踪器的创建和管理; Ø支持操作事件列表查看; Ø支持操作事件根据条件筛选查看; Ø与对象存储结合,支持操作事件转成文件周期性转储到对象存储;Ø支持转储到对象存储的文件设定文件前
- Veracode:Veracode为开发人员,进程和技术提供一个可扩展性和符合成本效益的软件安全规划。Veracode提供一个基于云的应用程序安全测试平台。无需购买硬件,无需安装软件,使用客户马上就可以开始测试和补救应用程序,另外Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。主要有Veracode Static静态分析,Veracode Dynamic动态分析,Veraco Veracode:Veracode为开发人员,进程和技术提供一个可扩展性和符合成本效益的软件安全规划。Veracode提供一个基于云的应用程序安全测试平台。无需购买硬件,无需安装软件,使用客户马上就可以开始测试和补救应用程序,另外Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。主要有Veracode Static静态分析,Veracode Dynamic动态分析,Veraco
- 电力保障:华为云数据中心采用多级保护方案保障业务 7*24 小时持续运行,日常电力供应采用来自不同变电站的双路市电供电。配备柴油发电机,在市电断电时可启动柴油机供电,以备不时之需。并配备了不间断电源(UPS – Uninterrupted PowerSupply),提供短期备用电力供应。在机房供电线路上配置了稳压器和过压防护设备。在供电设备及线路上还设置冗余或并行的电力电缆线路为计算机系统供电 电力保障:华为云数据中心采用多级保护方案保障业务 7*24 小时持续运行,日常电力供应采用来自不同变电站的双路市电供电。配备柴油发电机,在市电断电时可启动柴油机供电,以备不时之需。并配备了不间断电源(UPS – Uninterrupted PowerSupply),提供短期备用电力供应。在机房供电线路上配置了稳压器和过压防护设备。在供电设备及线路上还设置冗余或并行的电力电缆线路为计算机系统供电
- 华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足 GB 50174《电子信息机房设计规范》A 类和 TIA 942《数据中心机房通信基础设施标准》中的 T3+ 标准。数据中心不但有妥善的选址,在设计施工和运营时,合理划分了机房物理区域,合理布置了信息系统的组件,以防范物理和环境潜在危险(如火灾、电磁泄露等)和非授权访问,而且提供了足够的物理空间、电源容量、网络容量、制冷容量,以满足 华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足 GB 50174《电子信息机房设计规范》A 类和 TIA 942《数据中心机房通信基础设施标准》中的 T3+ 标准。数据中心不但有妥善的选址,在设计施工和运营时,合理划分了机房物理区域,合理布置了信息系统的组件,以防范物理和环境潜在危险(如火灾、电磁泄露等)和非授权访问,而且提供了足够的物理空间、电源容量、网络容量、制冷容量,以满足
上滑加载中
推荐直播
-
HDC深度解读系列 - Serverless与MCP融合创新,构建AI应用全新智能中枢2025/08/20 周三 16:30-18:00
张昆鹏 HCDG北京核心组代表
HDC2025期间,华为云展示了Serverless与MCP融合创新的解决方案,本期访谈直播,由华为云开发者专家(HCDE)兼华为云开发者社区组织HCDG北京核心组代表张鹏先生主持,华为云PaaS服务产品部 Serverless总监Ewen为大家深度解读华为云Serverless与MCP如何融合构建AI应用全新智能中枢
回顾中 -
关于RISC-V生态发展的思考2025/09/02 周二 17:00-18:00
中国科学院计算技术研究所副所长包云岗教授
中科院包云岗老师将在本次直播中,探讨处理器生态的关键要素及其联系,分享过去几年推动RISC-V生态建设实践过程中的经验与教训。
回顾中 -
一键搞定华为云万级资源,3步轻松管理企业成本2025/09/09 周二 15:00-16:00
阿言 华为云交易产品经理
本直播重点介绍如何一键续费万级资源,3步轻松管理成本,帮助提升日常管理效率!
回顾中
热门标签