权威认可 | 腾讯云WAF入选Forrester最新市场报告
近日,国际权威研究机构Forrester发布最新研究报告《Now Tech: Web Application Firewalls,Q2 2022 》(以下简称“报告”),从市场规模、功能表现、垂直行业、市场区域等多个维度,对全球28家Web应用防火墙(WAF)知名厂商进行了评估。
【云安全最佳实践】Web应用安全神器——腾讯云WAF
尤其现在的Web系统以数据密集型系统为主,对已知的Web安全攻击进行防护,并能够及时紧急漏洞是衡量系统是否安全可靠的重要指标。
使用腾讯云 API 网关保护 API 安全
随着企业数字化进程的发展,企业正在大量使用 API 来连接服务和传输数据,API 在带来巨大便利的同时也带来了新的安全问题,被攻击的 API 可能导致重要数据泄漏并对企业业务造成毁灭性影响。因此,API 安全正受到业界和学术界的广泛关注,开放 Web 应用程序安全项目(OWASP)在 2019 年将 API 列为最受关注的十大安全问题。 OWASP API 安全计划是这样描述的:“API 是现代移动、SaaS 和 Web 应用程序的重要组成部分,其可以在面向客户、面向合作伙伴和内部应用程序中找到。因性质使
618大促背后,零售电商如何做好安全防护?
营销大促活动,不仅是商家吸引用户、冲刺业绩的关键战役,也是一场防御黑灰产入侵的守卫战。一方面,市场对电商平台稳定性和安全防护的要求提升,另一方面,黑灰产技术升级逐渐形成上下游分工、配合密切的产业链,电商风控与安全形势愈加严峻。
【防御进阶篇】使用NGINX反代搭配宝塔waf实现防御
我在之前有写过使用宝塔waf以及edgeone的防御博文,最近买了一台高防机器,突发奇想,我想让这台高防机器成为我的专属waf,那就是使用nginx反代然后开启宝塔的waf插件实现防御cc,高防机器可以防御ddos。这是我一个思路。域名解析到高防机器上面,然后反代到源站服务器上面。高防开启宝塔waf。(虽然这种做法有点多余,不过这个做法建议用在哪些买高防vps的,低配置且有高防御的。)
用VERYNGINX 防御CC攻击
请注意,CC攻击是一种网络攻击行为,具有破坏性和不确定性。通过上述措施的综合应用,可以增强你的VeryNginx服务器对CC攻击的防御能力,但仍然需要保持警惕和谨慎。
xray联动crawlergo自动化扫描爬坑记
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
长亭雷池WAF动态防护初体验
去年文章中有写道长亭雷池的安装方法这里就不说,感兴趣的话可以去看看腾讯云部署雷池 Web 应用防火墙安装及使用体验,今天刚好看到雷池更新了动态防护这个功能挺震撼的,顺手写下初体验:
腾讯API安全公测重磅开启,你的API安全吗?
7亿多Linkedln用户的数据被在暗网售卖;Parler网站涉及1000万用户超过60T的数据泄漏;Clubhouse泄露130万条用户记录……近年来Web应用数据泄露案例层出不穷,究其根因,其实是——API不够安全。
一键https(WAF)接入问题--请求无法正常响应
腾讯云‘一键HTTPS’底层使用就是SaaS WAF,所以这里的排查思路是一致的。SaaS WAF可以理解为一个Nginx服务集群,域名接入SaaS WAF并将DNS解析到WAF CNAME后,将隐藏源站,客户端的访问流量会先经过SaaS WAF,由WAF进行对访问流量进行识别、拦截、正常流量转发回源。
记录 | 基于WireGuard实现的内网Web服务穿透至外网
在上一个篇记录中,我通过WireGuard实现的异地组网,实现了不同地域、不同网络、网络类型不相同的云服务器,实现互联。
【云安全最佳实践】给你的 Web 应用建上一条护城河
WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF 是一种防火墙的功能模块;还有人把 WAF 看作“深度检测防火墙”的增强。
长亭雷池 WAF 专业版体验小记
大概在一个多月前,长亭科技的雷池 WAF 推出了付费的专业版本,当时我还纠结了一下,这是要搞 WAF 的“中杯”、“大杯”、“超大杯”了?
DDOS攻击一次的成本有低?实战模拟一下看看!
分布式拒绝服务(DDoS)攻击以其低廉的启动成本和惊人的破坏力著称。攻击者通过黑市轻松获取服务,成本从几十元人民币的小额支出到针对大型目标的数千乃至数万元不等。为了具体理解这一成本结构,我们将通过一个简单的模拟示例,利用Python编写一个基础的“攻击流量生成器”,以此来直观感受DDoS攻击成本与规模的关系。
WEB安全新玩法 [10] 防范竞争条件支付漏洞
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。
Service Worker离线缓存实战
最近实战了 Service Worker(以下简称“sw”)来进行网站缓存,以实现离线状态下,网站仍然可以正常使用。
HVV奇兵—网页防篡改系统在网络安全实战演习中的妙用(上)
近年来,网络安全实战演习受到各大关基单位的高度关注。对于网络安全实战演习的防守方,防火墙、Web应用防火墙、态势感知、EDR、蜜罐等都是较为常见的防守工具,而网页防篡改系统则鲜有露脸的机会——
云安全加固实践分享
PS: https://blog.csdn.net/HBice2020/article/details/116245207 (常用默认端口 )
技术专家教你如何有效对抗网络黑产
灰黑产的手段多种多样,随着技术的进步和网络环境的变化,这些手段也在不断演变。以下是一些常见的灰黑产手段:
雷池社区版动态防护功能小测
毕竟需要测试这个功能,我先理解了一下动态防护的功能逻辑,应该是一种将后端返回的 HTML(JS)代码进行加密返回到前端,并在浏览器中完成解密、渲染来展示网页原有逻辑的功能。