目前位置:首頁 > 科技文章 > 運維 > 安全

  • 如何分析SQLMap與SQLi注入防禦
    如何分析SQLMap與SQLi注入防禦
    第一部分:Sqlmap使用1.1sqlmap介紹1.前邊說了一些sql注入的基礎語句,但是手工注入很麻煩,我們可以藉助sqlmap這個強大的sql注入工具,進行數據的獲取.2.sqlmap介紹(1)# sqlmap是一種開源的滲透測試工具,可自動偵測並利用SQL注入漏洞以及連接到該資料庫的伺服器。它擁有非常強大的檢測引擎、具有多種特性的滲透測試器、透過資料庫指紋提取存取底層檔案系統並透過外帶連接執行命令。官方網站:sqlmap.org(2)#支援的資料庫:MySQL,Oracle,PostgreS
    安全 1098 2023-05-11 18:37:06
  • Web安全測試知識點有哪些
    Web安全測試知識點有哪些
    什麼是安全測試?安全測試就是要提供證據表明,在面對敵意和惡意輸入的時候,應用仍然能夠充分的滿足它的需求。 a.如何提供證據?我們透過一組失敗的安全測試案例執行結果來證明web應用程式不符合安全需求。 b.如何看待安全測試的需求?與功能測試相比,安全測試更依賴需求,因為它有更多可能的輸入和輸出可供篩選。真正的軟體安全其實指的是風險管理,也就是我們確保軟體的安全程度符合業務需求即可。如何進行安全測試?基於常見攻擊和漏洞並結合實際添加安全測試案例,就是如何將安全測試變為日常功能測試中簡單和普通的一部分的方
    安全 1374 2023-05-11 18:34:06
  • 如何簡單繞過人機身份驗證Captcha
    如何簡單繞過人機身份驗證Captcha
    今天分享的Writeup是作者在目標網站漏洞測試中發現的一種簡單的人機身份驗證(Captcha)繞過方法,利用Chrome開發者工具對目標網站登錄頁面進行了簡單的元素編輯就實現了Captcha繞過。人機驗證(Captcha)通常會出現在網站的註冊、登入和密碼重設頁面,以下是目標網站在登入頁面中佈置的Captcha機制。從上圖可以看到,使用者只有在勾選了Captcha驗證機制的「I‘mnotarobot」之後,登入按鈕(Sign-IN)才會啟用顯示以供使用者點擊。因此,基於這一點,我右鍵點擊了Si
    安全 5777 2023-05-11 17:55:12
  • IPv4至IPv6演進的實施路徑是什麼
    IPv4至IPv6演進的實施路徑是什麼
    IPv4至IPv6改造的技術模型業界對IPv4至IPv6改造過度提供三種解決方案,分別為雙堆疊技術模式、隧道技術模式、位址轉換模式。 1.雙堆疊技術模式:在同一個網路上運行兩個彼此獨立的平面:一個IPv4網路平面,一個IPv6網路平面,各自維護自己的IGP/EGP狀態及路由。在這種模式下,IPv4和IPv6共存,既不影響現有IPv4業務,也可以滿足IPv6的新需求。但這種模式下實施成本較高,一是需要全網的網路設備支持,二是全網設備IGP/EGP調整工作難度較大,如果僅在小範圍內實施,這是比較好的選擇模
    安全 1700 2023-05-11 17:52:13
  • 怎麼分析Facebook Ads廣告業務API介面的源碼外洩漏洞
    怎麼分析Facebook Ads廣告業務API介面的源碼外洩漏洞
    發現漏洞一個多月後,我發現了一個有FacebookAds廣告業務系統API中的漏洞。存在漏洞的API是一個圖片處理接口,它用於Facebook商家帳戶上傳廣告圖片,上傳的圖片會儲存在一個名為“/adimages”的目錄下,並用base64格式編碼。所以,我的測試構想是,在這裡的機制中,可以向上傳圖片中註入惡意Payload,經API轉換為Base64格式後,再被Facebook傳入伺服器中。以下為上傳圖片的POST請求:POST/v2.10/act_123456789/adimagesHTT
    安全 1469 2023-05-11 17:40:13
  • XML外部實體注入漏洞的範例分析
    XML外部實體注入漏洞的範例分析
    一、XML外部實體注入XML外部實體注入漏洞也就是我們常說的XXE漏洞。 XML作為一種使用較廣泛的資料傳輸格式,許多應用程式都包含有處理xml資料的程式碼,預設情況下,許多過時的或配置不當的XML處理器都會對外部實體進行引用。如果攻擊者可以上傳XML文件或在XML文件中添加惡意內容,透過易受攻擊的程式碼、依賴項或集成,就能夠攻擊包含缺陷的XML處理器。 XXE漏洞的出現和開發語言無關,只要是應用程式中對xml資料做了解析,而這些資料又受使用者控制,那麼應用程式都可能受到XXE攻擊。本篇文章以java
    安全 2236 2023-05-11 16:55:12
  • 遠端程式碼執行漏洞實例分析
    遠端程式碼執行漏洞實例分析
    0x01認識mongo-expressmongo-express是一個MongoDB的AdminWeb管理介面,使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應該是Github上Star最多的MongoDBadmin管理介面。部署方便,使用簡單,成為了許多人管理mongo的選擇。 0x02調試環境搭建0x1啟動docker服務閱讀官方GitHub的安全公告,我們發現漏洞影響0.54.0以下的所有版本。選擇以0.49為例進行測試,由於此漏洞環境仍需M
    安全 1586 2023-05-11 16:46:06
  • Gogs任意使用者登入漏洞實例分析
    Gogs任意使用者登入漏洞實例分析
    一、漏洞背景Gogs是一款類似GitHub的開源檔案/程式碼管理系統(基於Git),Gogs的目標是打造一個最簡單、最快速、最輕鬆的方式來建立自助Git服務。使用Go語言開發使得Gogs能夠透過獨立的二進位分發,並且支援Go語言支援的所有平台,包括Linux、MacOSX、Windows以及ARM平台。二、漏洞描述gogs是一款極易搭建的自助Git服務平台,具有易於安裝、跨平台、輕量級等特點,使用者眾多。其0.11.66及以前版本中,(go-macaron/session函式庫)並沒有對sessionid進
    安全 2419 2023-05-11 16:43:06
  • 反彈shell是什麼意思
    反彈shell是什麼意思
    *嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。 0x00前言反彈shell,就是控制端監聽在某TCP/UDP端口,被控端發起請求到該端口,並將其命令列的輸入輸出轉到控制端。通俗點說,反彈shell就是一種反向鏈接,與正向的ssh等不同,它是在對方電腦執行命令連接到我方的攻擊模式,並且這種攻擊模式必須搭配遠程執行命令漏洞來使用。為什麼要反彈shell?通常用來被控端因防火牆受限、權限不足、連接埠被佔用等情形。假設我們攻擊了一台機器,打開了該機器的一個端口,攻擊者在自己的機器去連接目標機器,這
    安全 6824 2023-05-11 16:25:20
  • 真實面經分享:「度小滿」的資安工程師
    真實面經分享:「度小滿」的資安工程師
    這篇文章給大家分享我在面試度小滿資安工程師(金融安全部)時都被問了哪些問題,總共經歷了一面、二面、三面,下面一起來看一下吧,希望對有需要的朋友有所幫助~
    安全 2004 2023-01-12 14:30:38
  • 透過QUIC協議,來看看怎麼學習網路協議
    透過QUIC協議,來看看怎麼學習網路協議
    這篇文章帶大家了解QUIC協議,並以QUIC協議為例,來聊聊如何學習網路協議,希望對大家有幫助!
    安全 3360 2022-03-01 10:09:02
  • session一致性設計
    session一致性設計
    session一致性什麼是sessionweb-server可以自動為同一個瀏覽器的存取使用者自動建立session,提供儲存功能。一般把使用者登入資訊存到session中。什麼是session一致性問題當後端只有一台web-server的時候,每次http請求,都能找到正確的session。問題是不能滿足高可用,一台server掛了就完蛋了。冗餘+故障轉移,部署多台web-server,nginx路...
    安全 232 2021-06-26 15:54:56
  • 介紹幾種常用的web安全認證方式
    介紹幾種常用的web安全認證方式
    本文為大家介紹了五種常用的web安全認證方式,具有一定的參考價值,希望能對大家有幫助。
    安全 7077 2021-03-15 10:40:55
  • 如何保證web安全
    如何保證web安全
    網路發展初期,那還是IE瀏覽器的時代,那時大家上網的目的就是透過瀏覽器分享資訊、取得新聞。隨著網路的快速發展,網頁能做的事情越來越多,不僅可以看新聞、玩遊戲,還能購物、聊天,這些功能都大大豐富了我們的生活。
    安全 4249 2021-03-09 09:51:38
  • 分享幾個常見web安全隱憂的解決方法
    分享幾個常見web安全隱憂的解決方法
    web伺服器安全:本文為大家分享了幾種常見web安全隱患的解決方法,具有一定的參考價值,希望能對大家有幫助。
    安全 4305 2021-03-01 10:44:49

工具推薦

jQuery企業留言表單聯絡程式碼

jQuery企業留言表單聯絡代碼是簡潔實用的企業留言表單和聯絡我們介紹頁面程式碼。
表單按鈕
2024-02-29

HTML5 MP3音樂盒播放特效

HTML5 MP3音樂盒播放特效是一款以html5+css3為基礎製作可愛的音樂盒表情,點選開關按鈕mp3音樂播放器。
播放器特效
2024-02-29

HTML5酷炫粒子動畫導覽選單特效

HTML5酷炫粒子動畫導覽選單特效是一款導覽選單採用滑鼠懸停變色的特效。
選單導航
2024-02-29

jQuery可視化表單拖曳編輯程式碼

jQuery視覺化表單拖曳編輯程式碼是一款基於jQuery和bootstrap框架製作視覺化表單。
表單按鈕
2024-02-29

有機蔬果供應商網頁範本 Bootstrap5

一款有機蔬果供應商網頁範本-Bootstrap5
Bootstrap模板
2023-02-03

Bootstrap3多功能資料資訊後台管理響應式網頁範本-Novus

Bootstrap3多功能資料資訊後台管理響應式網頁範本-Novus
後端模板
2023-02-02

房產資源服務平台網頁範本 Bootstrap5

房產資源服務平台網頁範本 Bootstrap5
Bootstrap模板
2023-02-02

簡約履歷資料網頁範本 Bootstrap4

簡約履歷資料網頁範本 Bootstrap4
Bootstrap模板
2023-02-02

可愛的夏天元素向量素材(EPS+PNG)

這是一款可愛的夏天元素向量素材,包含了太陽、遮陽帽、椰子樹、比基尼、飛機、西瓜、冰淇淋、雪糕、冷飲、游泳圈、夾腳拖、鳳梨、海螺、貝殼、海星、螃蟹、檸檬、防曬乳、太陽眼鏡等等,素材提供了EPS 和免扣PNG 兩種格式,含JPG 預覽圖。
PNG素材
2024-05-09

四個紅色的 2023 畢業徽章的向量素材(AI+EPS+PNG)

這是一款紅色的 2023 畢業徽章向量素材,共四個,提供了 AI 和 EPS 和免扣 PNG 等格式,含 JPG 預覽圖。
PNG素材
2024-02-29

唱歌的小鳥和裝滿花朵的推車設計春天banner向量素材(AI+EPS)

這是一款由唱歌的小鳥和裝滿花朵的推車設計的春天 banner 向量素材,提供了 AI 和 EPS 兩種格式,含 JPG 預覽圖。
banner圖
2024-02-29

金色的畢業帽向量素材(EPS+PNG)

這是一款金色的畢業帽向量素材,提供了 EPS 和免扣 PNG 兩種格式,含 JPG 預覽圖。
PNG素材
2024-02-27

家居裝潢清潔維修服務公司網站模板

家居裝潢清潔維修服務公司網站範本是一款適合提供居家裝潢、清潔、維修等服務機構宣傳網站範本下載。提示:本範本呼叫到Google字體庫,可能會出現頁面開啟比較緩慢。
前端模板
2024-05-09

清新配色個人求職履歷引導頁模板

清新配色個人求職履歷引導頁範本是適合清新配色風格的個人求職履歷作品展示引導頁網頁範本下載。提示:本範本呼叫到Google字體庫,可能會出現頁面開啟比較緩慢。
前端模板
2024-02-29

設計師創意求職履歷網頁模板

設計師創意求職履歷網頁範本是適合各種不同設計師職缺個人求職履歷展示網頁範本下載。提示:本範本呼叫到Google字體庫,可能會出現頁面開啟比較緩慢。
前端模板
2024-02-28

現代工程建築公司網站模板

現代工程建築公司網站模板是一款適合從事工程建築服務行業宣傳網站模板下載。提示:本範本呼叫到Google字體庫,可能會出現頁面開啟比較緩慢。
前端模板
2024-02-28