ページ 42-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

現在位置：ホームページ > 技術記事 > 運用・保守 > 安全性

方向：: 全てウェブ3.0 バックエンド開発ウェブフロントエンドデータベース運用・保守開発ツール PHPフレームワーク毎日のプログラミング WeChat アプレットよくある問題他の技術 CMS チュートリアル Java システムチュートリアルコンピューターのチュートリアルハードウェアチュートリアルモバイルチュートリアルソフトウェアチュートリアルモバイルゲームのチュートリアル

分類する：: phpstudy 窓の運用と保守 Mac OS Linuxの運用と保守 Apache Nginx CentOS Docker 安全性 LVS vagrant debian zabbix kubernetes ssh fabric

さいねつ

最新

Apache HTTP コンポーネントの権限昇格の脆弱性の悪用プロセスを詳細に分析する方法

ApacheHTTP には、ローカル権限昇格の脆弱性 (CVE-2019-0211) があることが判明しました。この脆弱性の作成者は、すぐに WriteUp と脆弱性 EXP を提供しました。Alpha Labs も、EXP の詳細な分析を実施しました。ここでは、分析ノートを以下に示します。この脆弱性を誰もが理解するのに役立つことを願っています。以下の内容では、主にEXPの実行手順をステップバイステップで説明し、また、利用過程でわかりにくい点についても詳しく説明します。 1. 脆弱性の原因: 脆弱性の原因となったコードは作者の WriteUp で既に紹介されていますが、ここでは簡単に説明し、読む負担を軽減するためにソースコードの大部分を省略します。 Apache の MPMprefork モードで、root 権限でマスターサーバーを実行します。

安全性 1928 2023-05-13 09:28:05
Spotify.app をリバースエンジニアリングし、その機能をフックしてデータを取得する方法

このプロジェクトの目標は、私のリスニング習慣を学習し、通常はスキップするいくつかの曲をスキップできる Spotify クライアントを構築することです。正直、この欲求は私の怠惰から来ていることを認めざるを得ません。何かをしたい気分のときにプレイリストを作成したり検索したりする必要はありません。私が望んでいるのは、ライブラリ内の曲を選択して、他の曲をシャッフルし、キューから「流れない」曲を削除できるようにすることです。これを達成するには、このタスクを実行できる何らかのモデルを学習する必要があります (これについては、将来の投稿で詳しく説明する可能性があります)。ただし、モデルをトレーニングできるようにするには、まずモデルをトレーニングするためのデータが必要です。データスキップした曲も含め、完全な視聴履歴が必要です。履歴を取得する

安全性 1077 2023-05-13 08:37:13
Winnti Group の新しいバリアント分析を実装する方法

2020 年 2 月、WinntiGroup の新しいモジュラーバックドア PipeMon が発見されました。その主な標的は韓国と台湾のマルチプレイヤーオンラインゲーム会社とビデオ会社であり、このマルウェアはサプライチェーンに攻撃を仕掛ける可能性があります。攻撃者は、公開されたゲームにトロイの木馬を埋め込んだり、ゲームサーバーを攻撃したり、ゲーム通貨を使用して金銭的利益を得ることができます。 WinntiGroup は 2012 年から活動を続けており、ソフトウェア業界のサプライチェーン攻撃をターゲットとしています。最近、ESET の研究者は香港のいくつかの大学を標的とした攻撃も発見しました。技術分析により、標的となった企業で PipeMon の 2 つの亜種が発見されました。PipeMon の最初の段階では、.rsrc に埋め込まれたパスワードで保護された実行可能ファイルを起動します。 RAR へのプログラムを起動します

安全性 1189 2023-05-12 22:01:04
電子財布APPの脆弱性分析の実施方法

Razer Pay はシンガポールとマレーシアで広く使用されています。この記事では、著者は APP リバース分析と Frida デバッグを使用して、Razer Pay Ewallet のユーザー署名 (Signature) 生成の脆弱性を発見しました。その結果、Razer 支払いユーザーのチャット履歴がこの脆弱性により、Razer は最終的に 6,000 ドル近くの公式報奨金を獲得しました。以下は著者の脆弱性発見の考え方であり、姿勢学習の参考としてのみ使用できます。脆弱性の背景 Razer Inc (RΛZΞR) は、「グリーンライトファクトリー」としても知られる、シンガポールに設立されたゲーム周辺機器会社です。

安全性 1547 2023-05-12 21:55:10
レイヤ 2 STP の原理は何ですか?

STPSTP の最終目標: ネットワークのどこからでも、スイッチと同じネットワークへの最短のループフリーデータ転送パス 1: 最初に直面する問題: 単一障害点解決策: ネットワークの冗長性/バックアップの提供 1 デバイスのバックアップ2 リンクバックアップによってもたらされる新しい問題: レイヤ 2 データ転送ループ新しい解決策: STP/RSTP-spanning-treeprotpocol [スパニングツリープロトコル] は別の問題を浮き彫りにします: 利用ソリューション: MSTP [インスタンスツリープロトコルの生成] には標準プロトコルがあります: STP-802.1d 、遅い; RSTP-802.1w、少し速い; MSTP-802.1s は、リンクバックアップを実現しながらデータ転送も実現できます。

安全性 1422 2023-05-12 21:43:11
高品質で高性能な SQL クエリステートメントを作成する方法

1. まず、実行計画とは何なのかを理解する必要があります。実行プランは、SQL ステートメントと関連テーブルの統計情報に基づいてデータベースによって作成されるクエリプランです。このプランはクエリオプティマイザーによって自動的に分析され、生成されます。たとえば、SQL ステートメントを使用して 1 つのレコードをクエリする場合100,000 レコードを含むテーブルからクエリオプティマイザーは「インデックス検索」方法を選択します。テーブルがアーカイブされていて、現在 5,000 レコードしか残っていない場合、クエリオプティマイザーは計画を変更して「フルテーブルスキャン」を使用します。方法。実行計画は固定されたものではなく、「個別化」されていることがわかります。正しい「実行計画」を生成するには、次の 2 つの重要なポイントがあります。 (1) SQL ステートメントはクエリオプティマイザーに何を実行したいかを明確に伝えていますか? (2) クエリオプティマイザによって取得されるデータベースシステム

安全性 1417 2023-05-12 21:04:12
API の 5 つの一般的な脆弱性は何ですか?

API を使用するとビジネスが簡単になります。ハッカーもそう考えています。企業のデジタルトランスフォーメーションが本格化している今日、API はテクノロジーの範囲をはるかに超えており、インターネットビジネスのイノベーションと従来の企業のデジタルトランスフォーメーションは API エコノミーや API 戦略と切り離せないものとなっています。 API は、システムとデータだけでなく、企業の機能部門、顧客やパートナー、さらにはビジネスエコシステム全体を接続します。同時に、セキュリティの脅威がますます深刻になる中、API はネットワークセキュリティの次のフロンティアとなりつつあります。私たちは、セキュリティ専門家が企業に提供した上位 5 つの API セキュリティの弱点とパッチ適用の提案をまとめました。 API を使用すると、データ共有からシステム接続、重要な機能の提供に至るまで、すべてが簡単になりますが、API は悪意のあるボットなどの攻撃者にとっても簡単になります。

安全性 1276 2023-05-12 20:40:04
Bee-box LDAP インジェクションの環境を構成する方法

1. 概要私の学習プロセスによれば、Web 攻撃のモデルと脆弱性が何であるかを知る必要がありました。今、私は予期せぬ状況に遭遇しました。私が初めて LDAP を目にしたのは、ある国営企業でのペネトレーションテスト中でした。人気のないもの（公認）を見つけて興味をそそられました。 LDAPの概念：正式名称：Lightweight Directory Access Protocol（Lightweight Directory Access Protocol）、特徴：プロトコルについては難解すぎるので説明しませんが、データを保存するデータベースとして理解できます、その特徴はそれはツリーですデータベースの形式をとったデータベースですまず、データベースの名前はツリーのルート (つまり DB=dc) に相当し、ルートからリーフノードまでのプロセスは次のようになります。

安全性 949 2023-05-12 20:37:04
Apache Struts2--048 リモートコード実行の脆弱性を再現する方法

0x00 はじめに Struts2 フレームワークは、JavaEE Web アプリケーションを開発するためのオープンソース Web アプリケーションアーキテクチャです。 JavaServletAPI を利用および拡張し、開発者が MVC アーキテクチャを採用することを奨励します。 Struts2 は、WebWork の優れた設計アイデアをコアとして採用し、Struts フレームワークの利点の一部を吸収し、MVC 設計パターンで実装されたより整った Web アプリケーションフレームワークを提供します。 0x01 脆弱性の概要 ApacheStruts22.3.x シリーズでは struts2-struts1-plugin プラグインが有効になっており、struts2-showcase ディレクトリが存在する場合に脆弱性が発生します。

安全性 1654 2023-05-12 19:43:10
IPアドレスの競合とはどういう意味ですか?

IP アドレスの競合とは、同じ LAN 内で 2 人のユーザーが同時に同じ IP アドレスを使用する場合、または 1 人のユーザーが DHCP 経由で IP アドレスを取得し、この時点で他のユーザーがその IP アドレスを手動で割り当てた場合に発生することを意味します。同じ IP アドレスを指定すると、IP アドレスの競合が発生し、いずれかのユーザーがネットワークを正常に使用できなくなります。 IP アドレス競合の原因と解決策: 同じ LAN 上の 2 人のユーザーが同時に同じ IP アドレスを使用する場合、または 1 人のユーザーが DHCP 経由で IP アドレスを取得し、この時点で他のユーザーがそれを手動で割り当てた場合。アドレスが指定されていると、IP アドレスの競合が発生し、いずれかのユーザーがネットワークを正常に使用できなくなります。それで

安全性 2856 2023-05-12 19:40:04
Burpsuit と SQLMapAPI を組み合わせて生成されるバッチインジェクションプラグインとは何ですか?

1.1 変更点: フィルタリング設定の追加、表示結果の最適化、実行中のプロンプト情報の追加、ドメイン名の正規一致の追加プラグイン全体は、タスクパネル、sqlmapapi パラメーター設定パネル、フィルター条件パネルの 3 つのパネルに分かれています。タスクパネルサーバー: SQLmapapi サービスの IP とポート THREAD: 同時に検出されたタスクの数 Domain: 検出されるドメイン名、通常の一致をサポート CLEAN: タスクキャッシュリストをクリア TEST: SQLmapapi 接続が成功したかどうかをテストします START:検出をオンにします。左下にはタスクリストとタスクステータスが表示され、右側のボタンの下には情報プロンプト領域が表示され、その下にはリクエストの詳細とスキャン結果が表示されます。 sqlmapapi パラメーター構成パネルの設定は、SQL を参照します。

安全性 1340 2023-05-12 19:19:04
C++プログラムリリース後の使用による脆弱性解析の実施方法

1. 解放後の使用動的に割り当てられたメモリが解放されると、メモリの内容は未定義であり、解放されたメモリブロックがいつ再割り当てまたはリサイクルされるかはメモリマネージャによって決定されるため、そのまま残り、アクセスできる可能性があります。メモリが変更され、予期しないプログラム動作が発生した可能性があります。したがって、メモリが解放されると、メモリへの書き込みや読み取りが行われなくなることが保証されます。 2. リリース後の使用による害不適切なメモリ管理によって引き起こされる問題は、C/C++ プログラムの一般的な脆弱性です。解放後に使用すると、プログラムの異常終了、任意のコードの実行、サービス拒否攻撃など、悪用可能なリスクが生じる可能性があります。 2018 年 1 月から 11 月までに、CVE に関連する脆弱性情報は合計 134 件ありました。脆弱性の一部は次のとおりです。 CVE 脆弱性

安全性 1569 2023-05-12 17:37:06
drupal8 フレームワークの詳細な分析と脆弱性の動的デバッグを実行する方法

はじめに Drupal フレームワークにおいて、最も古典的で私たちに最も近いのは、2018 年の CVE-2018-7600 脆弱性です。しかし、この脆弱性分析記事を読んで研究する過程で、それらはすべてこの脆弱性点について詳細に分析されていることがわかりました。このフレームワークの実行プロセスにあまり慣れていない人は、読んでも理解するのが難しいかもしれません。以下は主に 2 つの部分に分かれています: 最初の部分は drupal フレームワークプロセス (ここでは主に 8.x シリーズ用) の紹介で、symfony オープンソースフレームワークに基づく drupal フレームワークがリスナーモードをどのように使用して、複雑なプロセスフロー全体をサポートし、フレームワークがリクエストを処理する方法についての基本的な理解を提供します。 2 番目の部分は、脆弱性を検出するためのフレームワークと組み合わせます。

安全性 1335 2023-05-12 17:19:06
Nazar コンポーネントを詳細に分析する方法

6:22AM11/7/2012confickersstillontarget6:18AM11/7/2012checkinglogs-weareclean8:16PM7/2/2012-BOOM!,gotthecallback これらは、Equation Group (NSA) がターゲットシステムを攻撃して残した記録で、後に ShadowBrokers によって漏洩されました。最近、セキュリティ研究者は、Nazar と呼ばれる、これまで誤認されていた未知の脅威グループを明らかにしました。Nazar のコンポーネントについては、以下で詳しく分析します。背景 Shadow Brokers のデータ漏洩により、EternalBlue などの多数の脆弱性が注目を集めましたが、

安全性 770 2023-05-12 16:46:06
Gunicorn Arbiter のソースコードを分析する方法

前述したように、Arbiter は Gunicornmaster プロセスの中核です。 Arbiter は主に、ワーカープロセスの起動、監視、強制終了などのワーカープロセスの管理を担当しますが、同時に、特定の信号が発生したときにアプリアプリケーションのホットアップデート (リロード) やオンラインでの gunicorn のアップグレードも行うことができます。 Arbiter のコアコードは 1 つのファイルに含まれており、コード量はそれほど多くありません。ソースコードはここにあります: https://github.com/benoitc/gunicorn。 Arbiter には主に次のメソッドがあります。 setup: 設定項目を処理します。最も重要なものはワーカーの数とワーカーの作業モデルです。

安全性 1467 2023-05-12 16:28:18

...

使いやすく安全な通貨取引プラットフォームのトップ 10 信頼性の高い通貨取引ソフトウェアアプリのトップ 10。

コース分類

ツールの推奨事項

jQuery エンタープライズメッセージフォームの連絡先コード

jQuery エンタープライズメッセージフォーム連絡先コードは、シンプルで実用的なエンタープライズメッセージフォームおよび連絡先紹介ページコードです。

フォームボタン

2024-02-29

HTML5 MP3 オルゴール再生効果

HTML5 MP3 オルゴール再生特殊効果は、HTML5 + css3 に基づく MP3 音楽プレーヤーで、かわいいオルゴールの絵文字を作成し、スイッチボタンをクリックします。

プレイヤーの特殊効果

2024-02-29

HTML5 クールなパーティクルアニメーションナビゲーションメニューの特殊効果

HTML5 クールなパーティクルアニメーションのナビゲーションメニュー特殊効果は、ナビゲーションメニューにマウスを置くと色が変化する特殊効果です。

メニューナビゲーション

2024-02-29

jQuery ビジュアルフォームのドラッグアンドドロップ編集コード

jQuery ビジュアルフォームのドラッグアンドドロップ編集コードは、jQuery およびブートストラップフレームワークに基づいたビジュアルフォームです。

フォームボタン

2024-02-29

有機果物と野菜のサプライヤー Web テンプレート Bootstrap5

有機果物と野菜のサプライヤー Web テンプレート-Bootstrap5

ブートストラップテンプレート

2023-02-03

Bootstrap3 多機能データ情報バックグラウンド管理レスポンシブ Web ページテンプレート-Novus

バックエンドテンプレート

2023-02-02

不動産リソースサービスプラットフォーム Web ページテンプレート Bootstrap5

ブートストラップテンプレート

2023-02-02

シンプルな履歴書情報 Web テンプレート Bootstrap4

ブートストラップテンプレート

2023-02-02

かわいい夏の要素のベクター素材 (EPS+PNG)

これは、太陽、日よけ帽子、ココナッツの木、ビキニ、飛行機、スイカ、アイスクリーム、アイスクリーム、冷たい飲み物、浮き輪、ビーチサンダル、パイナップル、巻貝、貝殻、ヒトデ、カニを含む、かわいい夏の要素のベクター素材です。、レモン、日焼け止め、サングラスなど、素材は JPG プレビューを含む EPS および PNG 形式で提供されています。

PNG素材

2024-05-09

4 つの赤い 2023 卒業バッジベクター素材 (AI+EPS+PNG)

これは、2023 年卒業バッジの赤いベクター素材で、合計 4 つがあり、JPG プレビューを含む AI、EPS、PNG 形式で利用できます。

PNG素材

2024-02-29

歌う鳥と花がいっぱいのカートデザイン春のバナーベクター素材（AI+EPS）

これは、さえずる鳥と花でいっぱいのカートをデザインした春のバナーベクター素材で、JPG プレビューを含む AI および EPS 形式で利用できます。

バナー画像

2024-02-29

金色の卒業帽ベクター素材（EPS+PNG）

これは、JPG プレビューを含む EPS および PNG 形式で利用できる、金色の卒業帽のベクター素材です。

PNG素材

2024-02-27

室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

家の装飾のクリーニングとメンテナンスサービス会社の Web サイトテンプレートは、家の装飾、クリーニング、メンテナンス、その他のサービス組織を提供するプロモーション Web サイトに適した Web サイトテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-05-09

フレッシュカラーの個人履歴書ガイドページテンプレート

フレッシュカラーマッチング個人求人応募履歴書ガイドページテンプレートは、フレッシュカラーマッチングスタイルに適した個人求人検索履歴書仕事表示ガイドページWebテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-29

デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

デザイナークリエイティブジョブ履歴書 Web テンプレートは、さまざまなデザイナーのポジションに適した個人の職務履歴書表示用のダウンロード可能な Web テンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

現代のエンジニアリング建設会社のウェブサイトのテンプレート

最新のエンジニアリングおよび建設会社の Web サイトテンプレートは、エンジニアリングおよび建設サービス業界の宣伝に適したダウンロード可能な Web サイトテンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

おすすめ記事

コース分類

ツールの推奨事項