漏洞概述 zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 官方网站 http:// ...
分类:
数据库 时间:
2016-08-21 13:53:42
阅读次数:
184
近期zabbix出现一个漏洞。zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。这个漏洞在zabbix3.0.4已经修复,为了安全,升级下zabbix版本!http://mp.wei..
分类:
其他好文 时间:
2016-08-19 22:34:35
阅读次数:
189
上传漏洞0xx1 上传漏洞简介如何确定web应用程序是否存在上传漏洞呢?比如,有些网站,用户可以上传自己的个性头像,即图片文件,但是文件上传时并没有做验证,导致用户可以上传任意文件,这就是上传漏洞 0xx2 解析漏洞2.1 什么是解析漏洞?攻击者利用上传漏洞时,通常会与web容器的额解析漏洞配合使用,常见的web容器为iis nginx Apache tomcat,下面具体说下常见容器的解析漏...
分类:
Web程序 时间:
2016-07-21 12:56:54
阅读次数:
281
$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://www.php-note.co ...
分类:
Web程序 时间:
2016-07-14 13:28:59
阅读次数:
134
XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。 原文如下: 经过这样的过滤后,应该被攻击的机会会少上很多吧?试试看呢? Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数 ...
分类:
Web程序 时间:
2016-07-14 07:01:54
阅读次数:
272
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并 ...
分类:
其他好文 时间:
2016-07-11 13:51:36
阅读次数:
327
本博文讲述如何在linux系统下静默安装oracle11g(11.2.4.0)。主要用于图形显示不方便的场景,也适用于脚本化批量部署的需要。系统环境OS:OracleLinuxServerrelease6.7软件包采用mini安装,降低系统负载,减少系统漏洞攻击面。并安装oracle工具包,简化oracle数据库安装流程。..
分类:
数据库 时间:
2016-05-30 20:07:38
阅读次数:
230
近日,安全人员修复了一个Linux ASLR中比较古老的漏洞,拥有x86设备上的32位应用程序使用权限的任何用户,通过将RLIMIT_STACK资源设置为“无限制”可以禁用ASLR。 该漏洞CVE编号为CVE-2016-3672,CNNVD编号为CNNVD-201604-092。 2cto小科普: ...
分类:
系统相关 时间:
2016-04-15 18:03:05
阅读次数:
294
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP的服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一 ...
分类:
其他好文 时间:
2016-04-03 22:16:08
阅读次数:
227
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP的服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一 ...
分类:
其他好文 时间:
2016-04-03 06:58:14
阅读次数:
169