TSRC WAF之SQL注入专场挑战赛,鹅厂安全攻城狮们和TSRC的一些白帽子再次基情四射的完成了一次热情的切磋。并留下了宝贵的自述材料《WAF之SQL注入绕过挑战实录》,欲知详情,请猛击查看正文。
TSRC WAF之SQL注入专场挑战赛,鹅厂安全攻城狮们和TSRC的一些白帽子再次基情四射的完成了一次热情的切磋。并留下了宝贵的自述材料《WAF之SQL注入防御思路》,欲知详情,请猛击查看正文。
作为腾讯公司级webserver的漏洞防护系统,目前腾讯门神系统(以下简称门神)已经涵盖了近万台webserver服务器,日均处理HTTP数据包达数百亿。本文主要讲解我们实现此类WAF的后端整体架构与相关技术方案、在具体实现过程中遇到的种种难点问题,以及此类WAF的优劣势分析。
当今互联网产品大多是基于WEB服务提供的。随着规模的增加,安全团队在集中管理WEB风险时,考虑WAF(Web Application Firewall)就是自然而然的事情。实现WAF的方式有很多种,市面上主流方案利弊如何,我大鹅厂又如何取舍,本文尝试做个浅析,抛砖引玉,不足之处请多指正。
Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,腾讯安全应急响应中心从2007年就面向内部UGC业务推出“安全API”项目用于解决这类场景。详细技术原理及demo请猛击进入查看。欢迎大家实测并发现问题方便我们改进,不足之处还请多多指教。
web安全近些年来一直备受关注,随着使用开源WEB CMS的网站愈来愈多,一个漏洞可能引发千万网站沦陷。腾讯安全中心的pandas将以DISCUZ曾经出现的一些问题简要总结一些知识点,欢迎拍砖。
CGI好比Web漏洞扫描器的眼睛,只有CGI更全更准,扫描器才能更好地“看到”漏洞,为Web安全保驾护航。腾讯安全中心的CGI采集去重系统——Storm-Cgi提供了采集海量CGI,并过滤去重的一套解决方案。详请见正文。
利用跳转漏洞钓鱼的问题在互联网上层出不穷,为了更全面地解决腾讯业务此类问题,腾讯安全应急响应中心的攻城狮提出了一种基于QtWebKit的DOM跳转漏洞检测技术,详情参见正文。欢迎大家共同探讨学习,不足之处,还请指正。
近期腾讯安全应急响应中心接到了较多CSRF漏洞反馈,为了及时发现和修复这类漏洞,漏洞检测团队进行了研究并完成了CSRF检测模块。现将CSRF检测的一些技术原理共享出来,详情请阅读正文。感谢各位白帽子的大力支持和帮助。
多来年,为了逃过安全检测机制,Web木马们持续进化,以诡异的变型著称。随着越来越多Web木马的变异和升级,传统的静态扫描机制岌岌可危。TSRC的bghost分享了一篇有关变形PHP Web木马动态检测相关的文章以及DEMO程序,详情请见正文。
捐款成功,感谢您的无私奉献