Page46-Tutoriel de programmationSécurité: elearningSécurité-php.cn

localisation actuelle：Maison > Articles techniques > Opération et maintenance > Sécurité

Direction：: tous web3.0 développement back-end interface Web base de données Opération et maintenance outils de développement cadre php programmation quotidienne Applet WeChat Problème commun autre technologie Tutoriel CMS Java Tutoriel système tutoriels informatiques Tutoriel matériel Tutoriel mobile Tutoriel logiciel Tutoriel de jeu mobile

Classer：: étude php exploitation et entretien des fenêtres MacOS exploitation et maintenance Linux Apache Nginx CentOS Docker Sécurité LVS vagabond debian Zabbix Kubernetes chut tissu

Populaire

nouveau

Comment analyser la défense contre les injections SQLMap et SQLi

Première partie : Utilisation de Sqlmap 1.1 Introduction à sqlmap 1. J'ai mentionné quelques instructions de base sur l'injection SQL, mais l'injection manuelle est très gênante. Nous pouvons utiliser sqlmap, un puissant outil d'injection SQL, pour obtenir des données. # sqlmap est un outil de test d'intrusion open source qui peut détecter et exploiter automatiquement les vulnérabilités d'injection SQL et les serveurs connectés à la base de données. Il dispose d'un moteur de détection très puissant, d'un testeur d'intrusion doté de multiples fonctionnalités, d'un accès au système de fichiers sous-jacent via l'empreinte digitale de la base de données et l'exécution de commandes via une connexion hors bande. Site officiel : sqlmap.org(2)#Bases de données prises en charge : MySQL, Oracle, PostgreS

Sécurité 1098 2023-05-11 18:37:06
Quels sont les points de connaissances pour les tests de sécurité Web ?

Qu’est-ce que les tests de sécurité ? Les tests de sécurité consistent à fournir la preuve que l'application peut toujours répondre de manière adéquate à ses exigences face à des entrées hostiles et malveillantes. a. Comment fournir des preuves ? Nous utilisons un ensemble de résultats d’exécution de scénarios de tests de sécurité ayant échoué pour prouver que l’application Web ne répond pas aux exigences de sécurité. b. Comment considérez-vous la nécessité de tests de sécurité ? Les tests de sécurité dépendent davantage des exigences que les tests fonctionnels, car ils comportent plus d'entrées et de sorties possibles à parcourir. La véritable sécurité logicielle fait en réalité référence à la gestion des risques, c'est-à-dire que nous pouvons garantir que le niveau de sécurité du logiciel répond aux besoins de l'entreprise. Comment réaliser des tests de sécurité ? L'ajout de cas de tests de sécurité basés sur des attaques et des vulnérabilités courantes, combinés à des pratiques réelles, permet de transformer les tests de sécurité en une partie simple et commune des tests fonctionnels quotidiens.

Sécurité 1374 2023-05-11 18:34:06
Comment contourner facilement le Captcha d'authentification homme-machine

L'article partagé aujourd'hui est une simple méthode de contournement de l'authentification homme-machine (Captcha) découverte par l'auteur lors des tests de vulnérabilité du site Web cible. Le contournement du Captcha a été réalisé en utilisant les outils de développement Chrome pour modifier simplement les éléments de la page de connexion du site Web cible. Passer. L'authentification homme-machine (Captcha) apparaît généralement sur les pages d'enregistrement, de connexion et de réinitialisation du mot de passe du site Web. Voici le mécanisme Captcha organisé par le site Web cible dans la page de connexion. Comme vous pouvez le voir sur l'image ci-dessus, ce n'est qu'après que l'utilisateur a vérifié "Je suis notarobot" du mécanisme de vérification Captcha que le bouton de connexion (Connexion) sera activé et affiché pour que l'utilisateur puisse cliquer. Donc sur cette base, j'ai fait un clic droit sur Si

Sécurité 5777 2023-05-11 17:55:12
Quel est le chemin de mise en œuvre pour l'évolution d'IPv4 vers IPv6 ?

Modèle technique pour la transformation d'IPv4 à IPv6 L'industrie propose trois solutions pour la transformation d'IPv4 à IPv6, à savoir le mode technologique double pile, le mode technologique tunnel et le mode de traduction d'adresses. 1. Modèle technologique à double pile : exécutez deux plans indépendants sur le même réseau : un plan réseau IPv4 et un plan réseau IPv6, chacun conservant son propre statut et routage IGP/EGP. Dans ce mode, IPv4 et IPv6 cohabitent, ce qui n'affecte pas les services IPv4 existants et peut également répondre aux nouveaux besoins d'IPv6. Cependant, le coût de mise en œuvre de ce mode est relativement élevé. Premièrement, il nécessite la prise en charge de l'équipement réseau de l'ensemble du réseau. Deuxièmement, il est difficile d'ajuster l'IGP/EGP de l'ensemble de l'équipement réseau s'il n'est mis en œuvre que dans un petit nombre. zone, c’est un meilleur choix de moule.

Sécurité 1700 2023-05-11 17:52:13
Comment analyser la vulnérabilité de fuite de code source de l'interface API commerciale de publicité Facebook Ads

Plus d'un mois après avoir découvert la vulnérabilité, j'ai découvert une vulnérabilité dans l'API du système commercial publicitaire FacebookAds. L'API vulnérable est une interface de traitement d'images utilisée par les comptes marchands Facebook pour télécharger des images publicitaires. Les images téléchargées seront stockées dans un répertoire appelé "/adimages" et codées au format base64. Par conséquent, mon idée de test est que dans le mécanisme ici, une charge utile malveillante peut être injectée dans l'image téléchargée, qui sera convertie au format Base64 par l'API puis transmise au serveur par Facebook. Voici la requête POST pour télécharger des images : POST/v2.10/act_123456789/adimagesHTT

Sécurité 1469 2023-05-11 17:40:13
Exemple d'analyse de la vulnérabilité d'injection d'entité externe XML

1. Injection d'entité externe XML La vulnérabilité d'injection d'entité externe XML est ce que nous appelons souvent la vulnérabilité XXE. XML est un format de transmission de données largement utilisé et de nombreuses applications contiennent du code pour traiter les données XML. Par défaut, de nombreux processeurs XML obsolètes ou mal configurés feront référence à des entités externes. Si un attaquant parvient à télécharger un document XML ou à ajouter du contenu malveillant à un document XML, via un code, des dépendances ou des intégrations vulnérables, il peut attaquer un processeur XML défectueux. L'apparition de vulnérabilités XXE n'a rien à voir avec le langage de développement. Tant que les données XML sont analysées dans l'application et que les données sont contrôlées par l'utilisateur, l'application peut être vulnérable aux attaques XXE. Cet article utilise Java

Sécurité 2236 2023-05-11 16:55:12
Analyse de cas de vulnérabilité d'exécution de code à distance

0x01 Découvrez mongo-expressmongo-express est une interface de gestion MongoDB AdminWeb, écrite à l'aide de NodeJS, Express et Bootstrap3. Actuellement, mongo-express devrait être l'interface de gestion MongoDBadmin avec le plus d'étoiles sur Github. Facile à déployer et simple à utiliser, il est devenu le choix de nombreuses personnes pour gérer mongo. 0x02 Configurer l'environnement de débogage 0x1 Démarrez le service docker Après avoir lu le bulletin de sécurité officiel de GitHub, nous avons constaté que la vulnérabilité affecte toutes les versions inférieures à 0.54.0. Nous avons choisi d'utiliser 0,49 comme exemple pour les tests. En raison de cet environnement de vulnérabilité, M.

Sécurité 1586 2023-05-11 16:46:06
Analyse d'instance de vulnérabilité de connexion utilisateur arbitraire Gogs

1. Contexte de la vulnérabilité Gogs est un système de gestion de fichiers/codes open source (basé sur Git) similaire à GitHub. L'objectif de Gogs est de créer le moyen le plus simple, le plus rapide et le plus simple de créer des services Git en libre-service. Développé à l'aide du langage Go, Gogs peut être distribué via des binaires indépendants et prend en charge toutes les plates-formes prises en charge par le langage Go, notamment les plates-formes Linux, MacOSX, Windows et ARM. 2. Description de la vulnérabilité gogs est une plate-forme de service Git en libre-service facile à créer. Elle présente les caractéristiques d'une installation facile, multiplateforme et légère, et compte de nombreux utilisateurs. Dans sa version 0.11.66 et versions précédentes, (bibliothèque go-macaron/session) n'effectue pas l'id de session

Sécurité 2419 2023-05-11 16:43:06
Que signifie la coque à rebond ?

*Déclaration sévère : cet article est limité à la discussion et au partage techniques, et il est strictement interdit de l'utiliser de manière illégale. 0x00 Préface Le shell de rebond signifie que le terminal de contrôle surveille un certain port TCP/UDP, le terminal contrôlé initie une requête vers le port et transfère l'entrée et la sortie de sa ligne de commande au terminal de contrôle. En termes simples, le shell de rebond est une sorte de lien inverse, différent du ssh direct. Il s'agit d'un mode d'attaque dans lequel l'ordinateur de l'autre partie exécute une commande pour se connecter à notre côté, et ce mode d'attaque doit être utilisé avec une télécommande. vulnérabilité d’exécution de commande. Pourquoi le shell de rebond ? Il est généralement utilisé lorsque l'extrémité contrôlée est restreinte par un pare-feu, manque d'autorisations et que le port est occupé. Supposons que nous attaquions une machine et que nous ouvrions un port sur la machine. L'attaquant se connecte à la machine cible sur sa propre machine.

Sécurité 6824 2023-05-11 16:25:20
Véritable partage d'expérience : ingénieur en sécurité de l'information de 'Du Xiaoman'

Cet article partagera avec vous les questions qui m'ont été posées lors de mon entretien avec l'ingénieur en sécurité de l'information de Du Xiaoman (Département de la sécurité financière). J'espère que c'est le cas. aidera ceux qui en ont besoin. Les amis peuvent aider ~

Sécurité 2004 2023-01-12 14:30:38
Voyons comment apprendre les protocoles réseau via le protocole QUIC

Cet article vous amènera à comprendre le protocole QUIC et à utiliser le protocole QUIC comme exemple pour expliquer comment apprendre les protocoles réseau. J'espère que cela sera utile à tout le monde !

Sécurité 3360 2022-03-01 10:09:02
conception de cohérence de session

Qu'est-ce que la cohérence des sessions ? Le serveur Web peut créer automatiquement des sessions pour les utilisateurs accédant au même navigateur et fournir des fonctions de stockage. Généralement, les informations de connexion de l'utilisateur sont stockées dans la session. Quel est le problème de cohérence de session ? Lorsqu'il n'y a qu'un seul serveur Web dans le backend, la session correcte peut être trouvée pour chaque requête http. Le problème est qu'il ne peut pas assurer la haute disponibilité. Si un serveur raccroche, ce sera terminé. Redondance + basculement, déploiement de plusieurs serveurs web, chemin nginx...

Sécurité 232 2021-06-26 15:54:56
Présentation de plusieurs méthodes d'authentification de sécurité Web couramment utilisées

Cet article présente cinq méthodes d'authentification de sécurité Web couramment utilisées, qui ont une certaine valeur de référence, j'espère qu'elles pourront être utiles à tout le monde.

Sécurité 7077 2021-03-15 10:40:55
Comment assurer la sécurité du Web

Au début du développement d'Internet, c'était encore l'ère du navigateur IE. À cette époque, le but de tous ceux qui surfaient sur Internet était de partager des informations et d'obtenir des nouvelles via le navigateur. Avec le développement rapide d'Internet, les pages Web peuvent faire de plus en plus de choses. Vous pouvez non seulement lire des actualités et jouer à des jeux, mais aussi faire des achats et discuter. Ces fonctions ont grandement enrichi nos vies.

Sécurité 4249 2021-03-09 09:51:38
Partagez des solutions à plusieurs risques courants en matière de sécurité Web

Sécurité du serveur Web : cet article partage des solutions à plusieurs risques courants en matière de sécurité Web. Il a une certaine valeur de référence et j'espère qu'il pourra être utile à tout le monde.

Sécurité 4305 2021-03-01 10:44:49

...

Les dix meilleures plateformes de trading de devises faciles à utiliser et sûres. Les dix applications logicielles de trading de devises les plus fiables.

Bitcoin atteindra un nouveau sommet en 2024, dépassant les 100 000 dollars américains. Quelles sont les institutions commerciales rentables ?

10 2024-12-14
Quelle application logicielle de marché doit être utilisée pour la spéculation sur les devises ? Recommandations pour les dix applications de marché les plus couramment utilisées pour la spéculation sur les devises.

6 2024-12-16
Top 10 des logiciels d'applications de trading de cryptomonnaies (classement 2025 annoncé)

10 2024-12-14
Comment actualiser la page actuelle dans uniapp

3 2020-12-17
Comment accéder à la page dans uni-app

5 2023-01-13
Comment définir la couleur d'arrière-plan de la page dans Uniapp

5 2023-01-13
Comment désactiver le glissement de page dans Uniapp

9 2023-01-13
Laissez-vous comprendre les problèmes inter-domaines d'Uniapp (exemples détaillés)

2 2022-02-25
Comment demander une interface dans Uniapp

9 2023-01-13

Classement des cours

Recommandations d'outils

Code de contact du formulaire de message d'entreprise jQuery

Le code de contact du formulaire de message d'entreprise jQuery est un formulaire de message d'entreprise simple et pratique et le code de la page d'introduction contactez-nous.

bouton de formulaire

2024-02-29

Effets de lecture de boîte à musique HTML5 MP3

L'effet spécial de lecture de boîte à musique HTML5 MP3 est un lecteur de musique MP3 basé sur HTML5 + CSS3 pour créer de jolies émoticônes de boîte à musique et cliquer sur le bouton de commutation.

Effets spéciaux du joueur

2024-02-29

Effets spéciaux du menu de navigation d'animation de particules cool HTML5

L'effet de menu de navigation d'animation de particules cool HTML5 est un effet spécial qui change de couleur lorsque le menu de navigation est survolé par la souris.

Navigation dans les menus

2024-02-29

Code d'édition par glisser-déposer du formulaire visuel jQuery

Le code d'édition par glisser-déposer du formulaire visuel jQuery est un formulaire visuel basé sur jQuery et le framework bootstrap.

bouton de formulaire

2024-02-29

Modèle Web de fournisseur de fruits et légumes biologiques Bootstrap5

Un modèle Web de fournisseur de fruits et légumes biologiques-Bootstrap5

Modèle d'amorçage

2023-02-03

Modèle de page Web réactive de gestion d'arrière-plan d'informations de données multifonctionnelles Bootstrap3-Novus

modèle de back-end

2023-02-02

Modèle de page Web de plate-forme de services de ressources immobilières Bootstrap5

Modèle d'amorçage

2023-02-02

Modèle Web d'informations de CV simples Bootstrap4

Modèle d'amorçage

2023-02-02

Matériau vectoriel d'éléments d'été mignons (EPS+PNG)

Il s'agit d'un joli matériau vectoriel d'éléments d'été, comprenant le soleil, un chapeau de soleil, un cocotier, un bikini, un avion, une pastèque, une crème glacée, une boisson fraîche, une bouée, des tongs, un ananas, une conque, une coquille, une étoile de mer, un crabe. , Citrons, crème solaire, lunettes de soleil, etc., le matériel est fourni aux formats EPS et PNG, y compris des aperçus JPG.

Matériau PNG

2024-05-09

Matériel vectoriel de quatre badges de graduation rouges 2023 (AI+EPS+PNG)

Il s'agit d'un matériau vectoriel de badge de remise des diplômes rouge 2023, quatre au total, disponible aux formats AI, EPS et PNG, y compris l'aperçu JPG.

Matériau PNG

2024-02-29

Oiseau chantant et chariot rempli de fleurs design matériel vectoriel de bannière de printemps (AI + EPS)

Il s'agit d'un matériau vectoriel de bannière printanière conçu avec des oiseaux chanteurs et un chariot rempli de fleurs. Il est disponible aux formats AI et EPS, y compris l'aperçu JPG.

image de bannière

2024-02-29

Matériau vectoriel de chapeau de graduation doré (EPS+PNG)

Il s'agit d'un matériau vectoriel de casquette de graduation dorée, disponible aux formats EPS et PNG, y compris l'aperçu JPG.

Matériau PNG

2024-02-27

Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

Le modèle de site Web d'entreprise de services de nettoyage et d'entretien de décoration d'intérieur est un modèle de site Web à télécharger adapté aux sites Web promotionnels qui proposent des services de décoration, de nettoyage, d'entretien et d'autres organisations de services. Astuce : Ce modèle appelle la bibliothèque de polices Google et la page peut s'ouvrir lentement.

Modèle frontal

2024-05-09

Modèle de page de guide de CV personnel aux couleurs fraîches

Le modèle de page de guide de CV de candidature personnelle de correspondance de couleurs fraîches est un téléchargement de modèle Web de page de guide d'affichage de travail de CV de recherche d'emploi personnel adapté au style de correspondance de couleurs fraîches. Astuce : Ce modèle appelle la bibliothèque de polices Google et la page peut s'ouvrir lentement.

Modèle frontal

2024-02-29

Modèle Web de CV de travail créatif de concepteur

Le modèle Web de CV de travail créatif de concepteur est un modèle Web téléchargeable pour l'affichage de CV personnels adapté à divers postes de concepteur. Astuce : Ce modèle appelle la bibliothèque de polices Google et la page peut s'ouvrir lentement.

Modèle frontal

2024-02-28

Modèle de site Web d'entreprise de construction d'ingénierie moderne

Le modèle de site Web d'entreprise d'ingénierie et de construction moderne est un modèle de site Web téléchargeable adapté à la promotion du secteur des services d'ingénierie et de construction. Astuce : Ce modèle appelle la bibliothèque de polices Google et la page peut s'ouvrir lentement.

Modèle frontal

2024-02-28

Articles recommandés

Classement des cours

Recommandations d'outils