用户身份切换 如何在普通用户的情况下,完成日常工作? 1) 切换用户,使用普通用户登录,然后使用su命令切换到root。 优点:简单,方便 缺点:需要知道root密码,不安全,切换到root没有日志审计功能 2) 提权,当需要使用root权限时,进行提权,而无需切换至root用户。 优点:安全,方便 ...
分类:
其他好文 时间:
2020-05-18 22:51:14
阅读次数:
76
Amazon RDS 支持在 MySQL 数据库实例上使用 MariaDB 审核插件。MariaDB 审核插件可记录数据库活动,如用户登录数据库、针对数据库运行查询等。数据库活动记录存储在日志文件中。 注意 目前,仅以下 Amazon RDS MySQL 版本支持 MariaDB 审核插件: 所有 ...
分类:
数据库 时间:
2020-05-15 16:07:14
阅读次数:
252
1, actuator: 调用方法 http://localhost:port/actuator/health 可用项: iddescSensitive auditevents 显示当前应用程序的审计事件信息 Yes beans 显示应用Spring Beans的完整列表 Yes caches 显示 ...
分类:
编程语言 时间:
2020-05-12 14:07:11
阅读次数:
63
寻找SQL注入点的 way 在企业中有如下几种方式可以选择; 自动化 白盒基于源码卡点审计 黑盒基于流量进行自动化扫描 手动 手动白盒看代码 手动黑盒检查 MySQL Inject 入门案例 没有做任何过滤,直接把参数插入到SQL语句中,就是注入点; PHP Demo: 注意,上面只是一个演示案例, ...
分类:
数据库 时间:
2020-05-11 01:24:23
阅读次数:
71
一、log4j简介 1.1 在应用程序中添加日志记录总的来说基于三个目的: 1)监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作; 2)跟踪代码运行时轨迹,作为日后审计的依据; 3)担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。 1.2 1)最普通的做法 ...
分类:
其他好文 时间:
2020-05-10 22:56:42
阅读次数:
68
NMAP介绍 Nmap(“Network Mapper”)是一个用于网络发现和安全审计的免费开源实用程序。许多系统和网络管理员还发现它对于诸如网络资源清册、管理服务升级计划、监视主机或服务正常运行时间等任务非常有用。Nmap以新颖的方式使用原始IP包来确定网络上可用的主机、这些主机提供的服务(应用程 ...
分类:
其他好文 时间:
2020-05-09 17:21:40
阅读次数:
158
[0CTF 2016]piapiapia 1.审题 进入登录页面,简单的sql注入无效,可能是过滤了大部分的注入字符 dirsearch扫描一下,发现源码泄漏,www.zip 下载,源码审计 2.源码审计 config.php 猜测flag在这个文件中,我们要有一个意识:这是我们下载下来的源码,并非 ...
0x01 修改金币到8位,才能买东西 robots.txt中发现.git泄露 下载附件,得到源码 审计api.php 我们传入的值与随机生成的值进行比较, 按照相同的个数,得到不同的钱 if($numbers[$i] == $win_numbers[$i]) 存在若类型比较 抓包修改json值 tr ...
分类:
其他好文 时间:
2020-05-07 00:46:32
阅读次数:
132
最近在审计某银行的Java代码时,发现许多上传Excel文件的接口,允许后缀是xslx文件,xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。下面的测试使用Java语言进行blind xxe测试。 1、测试环境 解析Excel文件 ...
分类:
其他好文 时间:
2020-05-04 13:07:15
阅读次数:
150
