- 方向:
- 全部 網路3.0 後端開發 web前端 資料庫 運維 開發工具 php框架 每日程式設計 微信小程式 常見問題 其他 科技 CMS教程 Java 系統教程 電腦教學 硬體教學 手機教學 軟體教學 手遊教學
- 分類:
-
- 如何分析SQLMap與SQLi注入防禦
- 第一部分:Sqlmap使用1.1sqlmap介紹1.前邊說了一些sql注入的基礎語句,但是手工注入很麻煩,我們可以藉助sqlmap這個強大的sql注入工具,進行數據的獲取.2.sqlmap介紹(1)# sqlmap是一種開源的滲透測試工具,可自動偵測並利用SQL注入漏洞以及連接到該資料庫的伺服器。它擁有非常強大的檢測引擎、具有多種特性的滲透測試器、透過資料庫指紋提取存取底層檔案系統並透過外帶連接執行命令。官方網站:sqlmap.org(2)#支援的資料庫:MySQL,Oracle,PostgreS
- 安全 1098 2023-05-11 18:37:06
-
- Web安全測試知識點有哪些
- 什麼是安全測試?安全測試就是要提供證據表明,在面對敵意和惡意輸入的時候,應用仍然能夠充分的滿足它的需求。 a.如何提供證據?我們透過一組失敗的安全測試案例執行結果來證明web應用程式不符合安全需求。 b.如何看待安全測試的需求?與功能測試相比,安全測試更依賴需求,因為它有更多可能的輸入和輸出可供篩選。真正的軟體安全其實指的是風險管理,也就是我們確保軟體的安全程度符合業務需求即可。如何進行安全測試?基於常見攻擊和漏洞並結合實際添加安全測試案例,就是如何將安全測試變為日常功能測試中簡單和普通的一部分的方
- 安全 1374 2023-05-11 18:34:06
-
- 如何簡單繞過人機身份驗證Captcha
- 今天分享的Writeup是作者在目標網站漏洞測試中發現的一種簡單的人機身份驗證(Captcha)繞過方法,利用Chrome開發者工具對目標網站登錄頁面進行了簡單的元素編輯就實現了Captcha繞過。人機驗證(Captcha)通常會出現在網站的註冊、登入和密碼重設頁面,以下是目標網站在登入頁面中佈置的Captcha機制。從上圖可以看到,使用者只有在勾選了Captcha驗證機制的「I‘mnotarobot」之後,登入按鈕(Sign-IN)才會啟用顯示以供使用者點擊。因此,基於這一點,我右鍵點擊了Si
- 安全 5777 2023-05-11 17:55:12
-
- IPv4至IPv6演進的實施路徑是什麼
- IPv4至IPv6改造的技術模型業界對IPv4至IPv6改造過度提供三種解決方案,分別為雙堆疊技術模式、隧道技術模式、位址轉換模式。 1.雙堆疊技術模式:在同一個網路上運行兩個彼此獨立的平面:一個IPv4網路平面,一個IPv6網路平面,各自維護自己的IGP/EGP狀態及路由。在這種模式下,IPv4和IPv6共存,既不影響現有IPv4業務,也可以滿足IPv6的新需求。但這種模式下實施成本較高,一是需要全網的網路設備支持,二是全網設備IGP/EGP調整工作難度較大,如果僅在小範圍內實施,這是比較好的選擇模
- 安全 1700 2023-05-11 17:52:13
-
- 怎麼分析Facebook Ads廣告業務API介面的源碼外洩漏洞
- 發現漏洞一個多月後,我發現了一個有FacebookAds廣告業務系統API中的漏洞。存在漏洞的API是一個圖片處理接口,它用於Facebook商家帳戶上傳廣告圖片,上傳的圖片會儲存在一個名為“/adimages”的目錄下,並用base64格式編碼。所以,我的測試構想是,在這裡的機制中,可以向上傳圖片中註入惡意Payload,經API轉換為Base64格式後,再被Facebook傳入伺服器中。以下為上傳圖片的POST請求:POST/v2.10/act_123456789/adimagesHTT
- 安全 1469 2023-05-11 17:40:13
-
- XML外部實體注入漏洞的範例分析
- 一、XML外部實體注入XML外部實體注入漏洞也就是我們常說的XXE漏洞。 XML作為一種使用較廣泛的資料傳輸格式,許多應用程式都包含有處理xml資料的程式碼,預設情況下,許多過時的或配置不當的XML處理器都會對外部實體進行引用。如果攻擊者可以上傳XML文件或在XML文件中添加惡意內容,透過易受攻擊的程式碼、依賴項或集成,就能夠攻擊包含缺陷的XML處理器。 XXE漏洞的出現和開發語言無關,只要是應用程式中對xml資料做了解析,而這些資料又受使用者控制,那麼應用程式都可能受到XXE攻擊。本篇文章以java
- 安全 2236 2023-05-11 16:55:12
-
- 遠端程式碼執行漏洞實例分析
- 0x01認識mongo-expressmongo-express是一個MongoDB的AdminWeb管理介面,使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應該是Github上Star最多的MongoDBadmin管理介面。部署方便,使用簡單,成為了許多人管理mongo的選擇。 0x02調試環境搭建0x1啟動docker服務閱讀官方GitHub的安全公告,我們發現漏洞影響0.54.0以下的所有版本。選擇以0.49為例進行測試,由於此漏洞環境仍需M
- 安全 1586 2023-05-11 16:46:06
-
- Gogs任意使用者登入漏洞實例分析
- 一、漏洞背景Gogs是一款類似GitHub的開源檔案/程式碼管理系統(基於Git),Gogs的目標是打造一個最簡單、最快速、最輕鬆的方式來建立自助Git服務。使用Go語言開發使得Gogs能夠透過獨立的二進位分發,並且支援Go語言支援的所有平台,包括Linux、MacOSX、Windows以及ARM平台。二、漏洞描述gogs是一款極易搭建的自助Git服務平台,具有易於安裝、跨平台、輕量級等特點,使用者眾多。其0.11.66及以前版本中,(go-macaron/session函式庫)並沒有對sessionid進
- 安全 2419 2023-05-11 16:43:06
-
- 反彈shell是什麼意思
- *嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。 0x00前言反彈shell,就是控制端監聽在某TCP/UDP端口,被控端發起請求到該端口,並將其命令列的輸入輸出轉到控制端。通俗點說,反彈shell就是一種反向鏈接,與正向的ssh等不同,它是在對方電腦執行命令連接到我方的攻擊模式,並且這種攻擊模式必須搭配遠程執行命令漏洞來使用。為什麼要反彈shell?通常用來被控端因防火牆受限、權限不足、連接埠被佔用等情形。假設我們攻擊了一台機器,打開了該機器的一個端口,攻擊者在自己的機器去連接目標機器,這
- 安全 6824 2023-05-11 16:25:20
-
- 真實面經分享:「度小滿」的資安工程師
- 這篇文章給大家分享我在面試度小滿資安工程師(金融安全部)時都被問了哪些問題,總共經歷了一面、二面、三面,下面一起來看一下吧,希望對有需要的朋友有所幫助~
- 安全 2004 2023-01-12 14:30:38
-
- 透過QUIC協議,來看看怎麼學習網路協議
- 這篇文章帶大家了解QUIC協議,並以QUIC協議為例,來聊聊如何學習網路協議,希望對大家有幫助!
- 安全 3360 2022-03-01 10:09:02
-
- session一致性設計
- session一致性什麼是sessionweb-server可以自動為同一個瀏覽器的存取使用者自動建立session,提供儲存功能。一般把使用者登入資訊存到session中。什麼是session一致性問題當後端只有一台web-server的時候,每次http請求,都能找到正確的session。問題是不能滿足高可用,一台server掛了就完蛋了。冗餘+故障轉移,部署多台web-server,nginx路...
- 安全 232 2021-06-26 15:54:56
-
- 介紹幾種常用的web安全認證方式
- 本文為大家介紹了五種常用的web安全認證方式,具有一定的參考價值,希望能對大家有幫助。
- 安全 7077 2021-03-15 10:40:55
-
- 分享幾個常見web安全隱憂的解決方法
- web伺服器安全:本文為大家分享了幾種常見web安全隱患的解決方法,具有一定的參考價值,希望能對大家有幫助。
- 安全 4305 2021-03-01 10:44:49