localisation actuelle:Maison > Articles techniques > Opération et maintenance > Sécurité
- Direction:
- tous web3.0 développement back-end interface Web base de données Opération et maintenance outils de développement cadre php programmation quotidienne Applet WeChat Problème commun autre technologie Tutoriel CMS Java Tutoriel système tutoriels informatiques Tutoriel matériel Tutoriel mobile Tutoriel logiciel Tutoriel de jeu mobile
- Classer:
-
- Exemple d'analyse de l'injection automatisée SQLmap
- Utilisez sqlmap pour automatiser l'injection dans dvwa, définissez le niveau dvwa sur bas, ouvrez SQLInjection (SQLInjection(Blind)) de dvwa, ouvrez le débogage du navigateur, entrez l'ID utilisateur et soumettez-le, et affichez les requêtes interceptées. Vous pouvez voir qu'il s'agit d'une requête GET, l'url "http://192.168.1.222:8089/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" On la met directement dans salmap pour le tester, utilisez le - u commande -u"http://192.168.1.22
- Sécurité 1125 2023-05-13 15:31:13
-
- Comment utiliser la commande de connexion au bureau à distance Win10
- 1. Activer le bureau à distance local. Grâce à la connexion au bureau à distance, les utilisateurs peuvent facilement contrôler les ordinateurs de l'entreprise ou d'autres endroits de la maison. De cette manière, lorsque les utilisateurs souhaitent utiliser certaines fonctions de l'ordinateur de l'entreprise, ils peuvent le faire à la maison. Bien entendu, l'ordinateur de l'entreprise ne peut pas être éteint. Vous devez également activer la fonction de connexion à distance. Si l'utilisateur souhaite se connecter à un ordinateur distant, l'ordinateur doit activer la fonction de connexion à distance et définir l'utilisateur de connexion à distance. La méthode de configuration est la suivante. 1. Ouvrez le Panneau de configuration et cliquez sur la commande "Système" dans la fenêtre contextuelle. 2. Cliquez sur le lien texte « Paramètres à distance ». Dans la fenêtre "Système" qui s'ouvre, cliquez sur le lien texte "Paramètres à distance" sur le côté gauche de la fenêtre. 3. Cliquez sur le bouton "Sélectionner un utilisateur". Dans la boîte de dialogue contextuelle « Propriétés système », sélectionnez « À distance »
- Sécurité 2242 2023-05-13 14:31:06
-
- Comment implémenter la déduplication de tableau en Javascript
- Déduplication de tableau 1. Méthode newSet() superposée from() Pour dédupliquer des chaînes ou des tableaux numériques, vous pouvez utiliser directement la méthode from. varplants=['Saturne','Terre','Uranus','Mercure','Vénus','Terre','Mars','Jupiter&am
- Sécurité 1439 2023-05-13 14:07:26
-
- Comment effectuer une analyse d'action AppleJeus
- L'organisation Lazarus est actuellement l'une des organisations APT les plus actives. En 2018, Kaspersky a découvert une campagne d'attaque baptisée AppleJeus lancée par cette organisation. Cette opération est la première attaque de Lazarus contre les utilisateurs de macOS. Afin d'attaquer les utilisateurs de macOS, Lazarus a développé un malware macOS et a ajouté un mécanisme d'authentification qui peut télécharger la charge utile de la dernière étape avec beaucoup de précaution et sans laisser tomber la charge utile de l'étape suivante. Pour attaquer les utilisateurs de Windows, ils ont développé un processus d'infection en plusieurs étapes. Après la publication de l'analyse de l'opération "AppleJeus", Lazarus est devenu plus prudent lors de ses attaques et a adopté davantage de méthodes pour éviter d'être attaqué.
- Sécurité 2943 2023-05-13 13:58:13
-
- Comment analyser la sécurité des APK et automatiser l'audit
- 1. Bavardages Lorsqu'il s'agit de sécurité mobile, vous ne la connaissez peut-être pas, car la recherche dans ce domaine n'est devenue populaire que progressivement ces dernières années. Alors, qu’est-ce que la sécurité mobile ? Tout d'abord, nous savons que la sécurité mobile n'est rien d'autre que certains problèmes de sécurité sur la plate-forme iOS et la plate-forme Android, y compris certains problèmes dans le système de plate-forme lui-même et des problèmes au niveau des applications. Bien entendu, certains protocoles de communication doivent être impliqués lorsque le client et le serveur interagissent, principalement les protocoles http et https, et bien sûr d'autres protocoles, tels que websocket, etc. Nous ne prêterons pas trop attention aux défauts de ces protocoles eux-mêmes. Ce à quoi nous devons faire attention, c'est si les paquets de données sont cryptés lorsque cela est nécessaire pendant la transmission et si le serveur a le droit d'exploiter l'utilisateur.
- Sécurité 1001 2023-05-13 12:07:05
-
- Comment résoudre la vulnérabilité ZipperDown
- Conditions d'attaque pour la vulnérabilité de sécurité ZipperDown : 1. L'application utilise ZipArchive2, un certain package zip fourni par l'application n'est pas chiffré lors de la transmission et le package zip n'est pas chiffré. 3. L'application utilise JSPatch ou d'autres moteurs d'exécution, et le. Le script local n'est pas crypté. Le script peut être exécuté tant qu'il est placé dans le répertoire spécifié et que la légalité du script local n'est pas vérifiée. 4. Les utilisateurs se connectent à des points d'accès WIFI peu fiables pour la communication réseau. ; méthodes de contournement propres aux développeurs : 1. Réparez la bibliothèque SSZipArchive, dans la fonction de décompression unzipFileAtPath, interceptez la chaîne "../" qui peut provoquer une traversée de répertoire. 2. Communication entre client et serveur
- Sécurité 1015 2023-05-13 11:55:21
-
- Comment comprendre vCenter Server et la gestion des hôtes
- Gestion de vCenterServer et des hôtes - Connexion à vCenterServer Lorsque vous utilisez vSphereClient pour vous connecter à vCenterServer, vous pouvez gérer vCenterServer et tous les hôtes et machines virtuelles qu'il gère. 1. Exécutez VMwarevSphereClient localement et connectez-vous en tant qu'administrateur ; le nom d'utilisateur de l'administrateur Windows ; Saisissez le mot de passe de l'administrateur Windows 2. Lors de la première connexion à vCenter Server après l'installation, il n'y a aucun objet dans la liste 2. La gestion des hôtes crée un centre de données : équivalent à un conteneur, des hôtes dans le. le même centre de données peut le faire
- Sécurité 850 2023-05-13 11:49:13
-
- Quelles sont les fonctions javascript utilisées par Baidu Maps ?
- Fonctions JS utilisées dans Baidu Map développées par javascript //Créer et initialiser des fonctions de carte : functioninitMap(){createMap();//Créer une carte setMapEvent();//Définir des événements de carte addMapControl();//Ajouter des contrôles à la carte addMarker();//Ajouter un marqueur à la carte}//Créer une fonction de carte : functioncreateMap(){varmap=newBMap.Map("container");//Créer une carte dans le conteneur de carte Baidu varpoint=newB
- Sécurité 1539 2023-05-13 11:40:06
-
- Quelles sont les différences entre un réseau maillé et un pontage sans fil ?
- 1. Mode réseau 1. Le pontage sans fil est une communication réseau point à point ou point à multipoint, principalement basée sur la transmission directionnelle. 2. Mesh signifie que tous les appareils ont le même statut dans le réseau sans fil et que n'importe quel nœud du réseau peut accéder au réseau filaire. 2. Distance 1. Le pontage sans fil est principalement basé sur la surveillance de points fixes et différents types d'antennes sont sélectionnés en fonction de différents scénarios. 2. La caractéristique du maillage est qu'il est très flexible dans son déploiement. Les antennes utilisées avec les équipements de réseau ad hoc Mesh sont principalement des antennes omnidirectionnelles, qui peuvent établir rapidement le système. 3. Taux de transmission 1. Le taux de transmission de conception du pont est. principalement 300 Mbps et 866 Mbps Spécifications 2. La configuration de l'antenne est principalement une antenne omnidirectionnelle, qui a une atténuation relativement importante. La vitesse n’est donc pas évidente par rapport aux ponts traditionnels. Quatre, passe
- Sécurité 7437 2023-05-13 11:37:05
-
- Exemple d'analyse de vulnérabilité Struts2-052
- Préface Le 5 septembre 2017, une vulnérabilité grave découverte par des chercheurs en sécurité de l'organisation étrangère de recherche en sécurité lgtm.com a été officiellement publiée dans Apache Struts2. Le numéro de vulnérabilité était CVE-2017-9805 (S2-052). des données XML soigneusement construites, l'exécution de commandes à distance. Il existe une vulnérabilité de désérialisation dans le composant XStream du plug-in Struts2REST Lors de l'utilisation du composant XStream pour désérialiser des paquets de données au format XML, le contenu des données n'est pas vérifié efficacement, ce qui présente un risque de sécurité et peut être exécuté par des commandes à distance. Conditions d'exploitation : Utilisation du plugin REST et dans la plage de versions concernée. Méthode d'exploitation : l'attaquant construit des paquets de données malveillants pour une exploitation à distance.
- Sécurité 1298 2023-05-13 11:25:06
-
- Comment chiffrer l'apk Android publié par Unity
- Problèmes de sécurité du programme Unity3D Problèmes de sécurité du code Le fichier d'assemblage principal Assembly-CSharp.dll du programme Unity3D est un format de fichier .NET standard et est livré avec des informations de métadonnées riches telles que les noms de méthodes, les noms de classe, les définitions de type, etc. Vous pouvez utilisez des outils tels que DnSpy pour Il peut être facilement décompilé et falsifié, et la logique du code, les noms de classe, les noms de méthodes, etc. peuvent être vus en un coup d'œil. Une fois la logique du code décompilée, il est facile de créer différents types de plug-ins et de détruire l'équilibre du jeu. S'il y a des failles dans la logique du code, il est facile de les découvrir et de les exploiter, ce qui peut entraîner des pertes imprévisibles. développeurs. Problèmes de sécurité des ressources : pendant la phase de compilation et de packaging, le programme Unity3D regroupera les ressources dans AssetBun via l'éditeur Unity.
- Sécurité 1540 2023-05-13 11:10:22
-
- Comment utiliser Nishang, l'outil de test d'intrusion PowerShell
- Initialement PowerShell, comprenons d'abord le concept : PowerShell peut être considéré comme une version améliorée de cmd (bat scripting language), qui est un langage de script sur la plateforme Windows. Il est orienté objet et étroitement lié à .NetFrameWork. Il peut également être considéré comme le bashshell sous Windows. Windows PowerShell est un shell de ligne de commande et un environnement de script qui permet aux utilisateurs de ligne de commande et aux rédacteurs de scripts de tirer parti de la puissance du .NET Framework. Il introduit un certain nombre de nouveaux concepts très utiles, étendant davantage ce que vous obtenez dans les environnements d'invite de commande Windows et WindowsHost.
- Sécurité 1155 2023-05-13 10:58:20
-
- Quel est le chemin du XML à l'exécution de code à distance
- Qu'est-ce que XXE ? En termes simples, XXE est une injection d'entité externe XML. Lorsque des entités externes sont autorisées à être référencées, en créant du contenu malveillant, cela peut causer des dommages tels qu'une lecture arbitraire de fichiers, l'exécution de commandes système, la détection de ports intranet et des attaques sur des sites Web intranet. Par exemple, si le programme que vous utilisez actuellement est PHP, vous pouvez définir libxml_disable_entity_loader sur TRUE pour désactiver les entités externes à des fins de défense. L'exploitation de base implique généralement qu'un attaquant injecte une charge utile dans un fichier XML. Une fois le fichier exécuté, les fichiers locaux sur le serveur seront lus et l'accès au réseau interne sera initié pour analyser les ports réseau internes. En d’autres termes, XXE est un moyen d’accéder localement à divers services. aussi,
- Sécurité 1239 2023-05-13 10:04:21
-
- Comment effectuer un entraînement sur le stand avec l'injection LDAP bee-box
- Si l'essence de l'injection SQL est d'épisser des chaînes, alors l'essence de tout ce qui peut être injecté est d'épisser des chaînes. L'injection LDAP ne fait pas exception en tant que type d'injection. Ce qui est plus intéressant, c'est qu'il s'agit d'épisser des parenthèses (l'injection SQL l'est). concatène également les parenthèses, mais il est plus conventionnel de dire qu'il concatène les chaînes). Dans le chapitre sur la configuration de l'environnement, la configuration de l'environnement ldap dans bee-box a été discutée en détail. Le chapitre pratique sur le stand de tir porte davantage sur le processus de connexion entre php et ldap, l'introduction des fonctions spéciales utilisées au milieu et quelques techniques pour épisser les parenthèses. Parlons d'abord du processus de connexion du stand de tir LDAP dans bwapp : Tout d'abord, il s'agit d'une interface de connexion LDAP, l'URL est http://192.168.3.184/bW
- Sécurité 1598 2023-05-13 09:49:05
-
- Comment effectuer une analyse pour contourner WTS-WAF
- 0x01. À la recherche de la cible inurl:.php?id=intext : Appareils électriques J'ai trouvé le site Web d'une entreprise d'appareils électriques. Je l'ai testé par hasard et j'ai découvert qu'il y avait un waf mais il n'avait pas encore été arrangé (j'ai trouvé quelques informations). et il semble que le simple fait d'ajouter un signe au lieu d'un espace suffit. Essayez directement) 0x02 L'opération a révélé qu'il n'y avait pas de waf pour intercepter les données et elle a également indiqué sqlmap.py-uhttp://*/*.php? id=29--tables--tamperspace2plus.py outil. Je l'ai essayé et j'ai constaté qu'il ne pouvait pas être démarré .....0x03.Hand-note http://*/*.php?id=1+and. +1=1#L'écho est normal http://*/*.php?id=1
- Sécurité 1945 2023-05-13 09:40:12