En
  • WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455,WebSocket API也被W3C定为标准,主流的浏览器都已经支持WebSocket通信

  • Google,它们的安全能力是内嵌在基础设施里,由基础设施透明提供的。安全工程师参与设计、开发和实现检验基础设施所提供的安全能力。

  • 本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至没有专职的安全团队),但是却又实实在在地遭受到来自互联网的安全威胁,它们急需安全方面的指导,但是又苦于经验和资源的匮乏,所以当时我们答应下来将这部分工作后续以文章及服务的形式进行分享。

  • phpMyAdmin是一个web端通用MySQL管理工具,上述版本在central_columns.lib.php文件里的db参数存在sql注入漏洞,攻击者利用此漏洞可以获取数据库中敏感信息,进一步攻击甚至可以执行任意命令

  • 在防御和消灭DOM XSS漏洞的斗争一线,希望Web前端工程师们树立起安全的开发意识,与广大运维安全人员携手,将DOM XSS漏洞消灭在萌芽之中。驱散前端安全梦魇,保护用户安全。

  • 在大型互联网企业生产环境中,Webshell检测无疑是反入侵的一大重点工作,其中静态检测又是常用手段之一。深入分析各类web容器,我们发现静态检测存在各种先天的缺陷。本文介绍一种利用Java Binary Webshell对抗静态检测的方法,欢迎大家拍砖。

  • XML是一种非常流行的标记语言,但处理XML不当会导致读取文件、执行系统命令、渗透内网等危害,腾讯安全应急响应安全攻城狮对该问题进行了详细的分析,详见正文。

  • TSRC WAF之SQL注入专场挑战赛,鹅厂安全攻城狮们和TSRC的一些白帽子再次基情四射的完成了一次热情的切磋。并留下了宝贵的自述材料《WAF之SQL注入绕过挑战实录》,欲知详情,请猛击查看正文。

  • TSRC WAF之SQL注入专场挑战赛,鹅厂安全攻城狮们和TSRC的一些白帽子再次基情四射的完成了一次热情的切磋。并留下了宝贵的自述材料《WAF之SQL注入防御思路》,欲知详情,请猛击查看正文。

  • 作为腾讯公司级webserver的漏洞防护系统,目前腾讯门神系统(以下简称门神)已经涵盖了近万台webserver服务器,日均处理HTTP数据包达数百亿。本文主要讲解我们实现此类WAF的后端整体架构与相关技术方案、在具体实现过程中遇到的种种难点问题,以及此类WAF的优劣势分析。