本文作者:浅蓝前段时间有人发过搜云的源码,都好长时间了。这次我放出个最新的。是在他换模板之前的源码。(现在的搜云后端基本没什么变化 换了个模板而已)同时审计出来了一些漏洞。。我里面的数据库配置信息等重要敏感信息换成了"马赛克"以下附上审计出的漏洞1.user.ph#sql注入265行$card = ...
分类:
其他好文 时间:
2015-11-26 19:07:04
阅读次数:
483
新浪科技讯 北京时间11月19日早间消息,迅雷(Nasdaq:XNET)今天公布了截至9月30日的2015财年第三季度未经审计财报。报告显示,迅雷第三季度总营收为3350万美元,比上一季度增长7.5%,超出该公司此前预期区间的上限;来自于持续运营业务的净亏损为330万美元,相比之下上一季度来自于持续...
分类:
其他好文 时间:
2015-11-20 19:33:25
阅读次数:
144
原文链接:https://www.leavesongs.com/PENETRATION/thinkphp-callback-backdoor.html90sec上有人问,我说了还有小白不会用。去年我审计TP的时候留意到的,干脆分析一下代码和操作过程。 thinkphp的I函数,是其处理输入的函数,....
分类:
Web程序 时间:
2015-11-18 07:04:20
阅读次数:
368
最初想要在执行一段业务逻辑的时候调用一个外部接口记录审计信息,一直找不到一个比较优雅的方式,经过讨论觉得log4j自定义的appender或许可以实现此功能。后来就了解了一下log4j的这部分。Apache Log4j 架构Apache Log4j是当前在J2EE和J2SE开发中用得最多的日志框架(...
分类:
移动开发 时间:
2015-11-17 12:43:37
阅读次数:
204
日志分析软件 secilog 1.18发布,增加了mysql数据库审计,增加了多个web报表,对日志查询做了更多友好的新特性,上篇文章1.17,有兴趣可以了解一下。本次升级主要增加以下功能: 增加了mysql数据库审计 mysql的审...
分类:
数据库 时间:
2015-11-12 10:11:40
阅读次数:
355
什么是日志 ? ? ? ? 简单地说,日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源。例如,Unix操作系统会记录用户登录和注销的消息,防火墙将记录ACL通过和拒绝的消息,磁...
分类:
其他好文 时间:
2015-11-10 14:29:33
阅读次数:
1107
1.上周已经对web攻击方式进行了总结,并完善攻击的正则表达式。2.本周的工作是对设备和主机的攻击进行调研与总结a.分析对设备和主机的攻击包括哪几种类型b.调研当下企业日志审计系统的情况,找到适合的系统进行分析。c.确定使用ManageEngine Firewall Analyzer、ManageE...
分类:
其他好文 时间:
2015-11-06 20:59:17
阅读次数:
148
Linux运维第三阶段(十三)nss&pam一、nss(networkserviceswitch网络服务转换)authentication(认证,决定用户的用户名和密码是否能通过检验)authorization(授权,决定用户是否能访问某服务)audition(审计)username-->UIDgroupname-->GIDhttp-->80portFQDN..
分类:
系统相关 时间:
2015-11-05 19:06:38
阅读次数:
352
为什么服务器尤其大型服务器都使用Linux系统服务器尤其是大型服务器一般都使用Linux系统,有以下几点原因:1、成本低,Linux操作系统是免费的2、安全性好,Linux采取了许多的安全措施,包括对读写权限控制、带保护的子系统、审计跟踪、核心授权等,为网络多用户环境中的用户提供了必要的安全保障3、...
分类:
系统相关 时间:
2015-11-01 19:25:26
阅读次数:
202
中级学员---徐化栋2015年10月27日作业一、项目收尾管理1、项目收尾包括哪三方面内容?1)项目验收2)项目总结3项目评估审计2、项目总结的意义;1)了解项目全过程的工作情况及相关的团队或成员的绩效状况2)了解出现的问题并进行改进措施总结3)了解项目全过程中出现的值得吸取的经..
分类:
其他好文 时间:
2015-10-30 02:10:04
阅读次数:
252
