第 41 页-web服务器安全_网站安全防护教程-PHP中文网

当前位置：首页 > 技术文章 > 运维 > 安全

方向：: 全部网络3.0 后端开发 web前端数据库运维开发工具 php框架每日编程微信小程序常见问题其他科技 CMS教程 Java 系统教程电脑教程硬件教程手机教程软件教程手游教程

分类：: php研究 windows运维苹果系统 linux运维 Apache nginx CentOS Docker 安全 LVS 流浪汉德比安扎比克斯库伯内特斯 SSH 织物

最热

最新

如何从防护角度看Struts2历史漏洞

一、前言Struts2漏洞是一个经典的漏洞系列，根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善，现在想挖掘新的Struts2漏洞会比以前困难很多，从实际了解的情况来看，大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时，Struts2漏洞主要也是碰碰运气，或者是打到内网之后用来攻击没打补丁的系统会比较有效。网上的分析文章主要从攻击利用的角度来分析这些Struts2漏洞。作为新华三攻防团队，我们的一部分工作是维护ips产品的规则库，今天回顾一下这个系

安全 1948 2023-05-13 17:49:06
Webug靶场任意文件下载漏洞怎么复现

漏洞简述：一些网站由于业务需求，可能提供文件查看或者下载的功能，如果对用户查看或者下载的文件不做限制，那么恶意用户可以可以查看或者下载一些敏感文件，比如配置信息、源码文件等漏洞成因：存在读取文件的函数读取文件的路径用户可控且未校验或校验不严格输出了文件内容漏洞危害：下载服务器任意文件，如脚本代码、服务及系统配置文件等，进一步利用获取的信息进行更大的危害。可用得到的代码进一步代码审计，得到更多可利用漏洞实验环境：webug靶场主页BP抓包我们把url的路径改为，发送至repeater模块在repe

安全 1723 2023-05-13 17:40:06
I/O多路复用中select指的是什么

select是用于监视多个文件描述符状态的变化的。即用来监视文件描述符读/写/异常状态是否就绪。函数原型：intselect(intnfds,fd_set*readfds,fd_set*writefds,fd_set*exceptfds,structtimeval*timeout);select的几大缺点：（1）每次调用select，都需要把fd集合从用户态拷贝到内核态，这个开销在fd很多时会很大（2）同时每次调用select都需要在内核遍历传递进来的所有fd，这个开销在fd很多时也很大（3）s

安全 1499 2023-05-13 17:31:12
Javascript如何使用数据填充数组

用数据填充数组如果我们需要用一些数据来填充数组，或者需要一个具有相同值的数据，我们可以用fill()方法。varplants=newArray(8).fill('8');console.log(plants);//['8','8','8','8','8','8',&#

安全 1487 2023-05-13 17:10:14
网站建设中的优化技巧有哪些

很多的SEOer都知道“内容为王，外链为皇”的道理，但是对于“内容”怎么去理解呢？有的SEOer就认为内容是指站内的原创文章，这个是无可厚非的，因为这确实是网站建设中站内的一个基础，其实内容还有更加广泛的范围，下面就围绕这个“内容”开展站内优化的招数。第一：URL路径设计为什么要将URL放到靠前点呢？这是因为URL路径设计是非常重要的，用户访问网站需要经过路径，那么合理的URL设计不仅是方便用户的查看，还有利于搜索引擎的收录，提高搜索引擎的友好度。假若网站的URL设计不合理，那自然会影响到搜索引

安全 1465 2023-05-13 16:58:14
如何进行机房变迁中的防火墙IP、访问控制更新

一、简介：1、连接方式：外网-->防火墙-->交换机2、服务器迁移，所有ip地址切换二、防火墙中配置的ip变更：例：旧地址为：0.0.8.34；新地址为：0.0.0.82PS：防火墙可使用多个地址上网，前提是接入口网线提供了新旧两个ip地址都能上网的功能，所以可先确保新地址正常使用再删除旧配置。1、变更访问地址：a)添加一个新访问地址：i.用一根网线连接对应的网口（平时用的网线就可，也有较老的防火墙可能需要使用交叉线），本次是第一个网口（eth0）。如果你的防火墙还是出厂的默认访问地

安全 1652 2023-05-13 16:16:06
JIS-CTF_VulnUpload靶机攻略是什么

vulnhub是我喜爱的游乐场之一，上面的每个靶机都是很酷的一个游戏。完整找出所有flag只是基本任务，实现提权才是终极目标。我并不追求最快夺旗，而是尽可能运用完整攻击链入侵靶机，所以，这篇攻略中，或许某些内容对夺旗无直接帮助，但在应对真实目标时，你应该考虑。靶机"JIS-CTF:VulnUpload"含有5个flag、初级难度，平均耗时1.5小时可完成攻击。你可以从https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/获取

安全 1410 2023-05-13 15:46:06
Sqlmap自动化注入的示例分析

使用sqlmap对dvwa进行自动化注入设置dvwa级别为low打开dvwa的SQLInjection（SQLInjection(Blind）），打开浏览器调试，输入userid并submit，查看拦截到的请求。可以看到是一条GET请求，url“http://192.168.1.222:8089/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#”我们直接放到salmap测试一下，使用-u命令-u"http://192.168.1.22

安全 1401 2023-05-13 15:31:13
win10远程桌面连接命令怎么使用

一、开启本地的远程桌面通过远程桌面连接，用户在家中就可以轻松控制公司或其他场所的计算机，这样当用户想使用公司计算机的某些功能时在家就可以了，当然公司的计算机不能关闭，而且还需要开启远程连接功能。如果用户想要连接某台远程计算机，则需要该计算机打开远程连接功能，并设置远程连接的用户，设置方法如下。1、打开控制面板，并在弹出的窗口中单击“系统”命令。2、单击“远程设置”文字链接。在打开的“系统”窗口中，单击窗口左侧的“远程设置”文字链接。3、单击“选择用户”按钮。在弹出的“系统属性”对话框的“远程”选

安全 2444 2023-05-13 14:31:06
Javascript怎样实现数组去重

数组去重1、from()叠加newSet()方法字符串或数值型数组的去重可以直接使用from方法。varplants=['Saturn','Earth','Uranus','Mercury','Venus','Earth','Mars','Jupiter&am

安全 1581 2023-05-13 14:07:26
怎样进行AppleJeus行动分析

Lazarus组织是目前最活跃的APT组织之一。2018年，卡巴斯基针发现由该组织发起的名为AppleJeus的攻击行动。该行动是Lazarus首次针对macOS用户的攻击，为了攻击macOS用户，Lazarus开发了macOS恶意软件并添加身份验证机制，其可以非常仔细谨慎的下载后一阶段的有效负载，并在不落盘的情况下加载下一阶段的有效负载。为了攻击Windows用户，他们制定了多阶段感染程序。在“AppleJeus”行动分析发布后，Lazarus在进行攻击时变得更加谨慎，采用了更多多方法来避免被

安全 3220 2023-05-13 13:58:13
如何分析APK安全及自动化审计

一、闲聊说到移动安全，可能大家比较陌生，因为这方面的研究是在最近几年才逐渐火起来的。那么什么是移动安全呢？首先，我们知道，移动安全无非就是ios平台和安卓平台上的一些安全性的问题，包括平台系统系统本身的一些问题和应用层面上的问题。当然在客户端和服务端在进行交互的时候还需要涉及一些通信协议，主要是http及https协议，当然还有一些其他的协议，比如websocket等等。这些协议本身的缺陷我们就不做过多的关注了，我们需要关注的是数据包在传输的过程中是否有进行必要的加密，服务端是否有对用户的操作权

安全 1172 2023-05-13 12:07:05
ZipperDown漏洞怎么解决

针对ZipperDown安全漏洞的攻击条件：1、App用了ZipArchive2、App下发的某个zip包传输过程没加密，zip包也没加密3、App使用了JSPatch或其他执行引擎，且本地脚本没有加密，只要把脚本放指定目录即可执行，且未对本地脚本进行合法性验证4、用户连接不可靠WIFI热点进行网络通信针对此漏洞的规避方法；开发者自身规避方法：1、对SSZipArchive库进行修复，在unzipFileAtPath解压函数中，对可能造成目录穿越的”../”字符串时进行拦截。2、客户端与服务端通

安全 1318 2023-05-13 11:55:21
vCenter Server及主机管理该如何理解

vCenterServer及主机管理一vCenterServer的连接使用vSphereClient连接到vCenterServer时，可以管理vCenterServer及其管理的所有主机和虚拟机1运行VMwarevSphereClient本地以管理员身份登录；输入IP地址或vCenterServer名称；输入Windows管理员用户名；输入Windows管理员密码2安装后首次连接到vCenterServer时，清单中没有任何对象二主机管理创建数据中心：相当于一个容器，同一个数据中心的主机可以做

安全 1026 2023-05-13 11:49:13
百度地图使用到的javascript函数是什么

javascript开发之百度地图使用到的js函数整理//创建和初始化地图函数：functioninitMap(){createMap();//创建地图setMapEvent();//设置地图事件addMapControl();//向地图添加控件addMarker();//向地图中添加marker}//创建地图函数：functioncreateMap(){varmap=newBMap.Map("container");//在百度地图容器中创建一个地图varpoint=newB

安全 1675 2023-05-13 11:40:06