最近公司对项目安全方面的问题很是重视,进行了多次各种安全漏洞的扫描,于是乎就扫到了mongodb弱口令的问题。 在项目部署初期,因为大家对这个都不是特别重视,大概是因为觉得反正是内网项目吧,所以mongodb数据库的用户名和密码就都是admin。 这次扫到弱口令之后,要求解决这个问题,于是任务便分到 ...
分类:
数据库 时间:
2016-04-18 19:00:14
阅读次数:
269
1,sql注入2,xss3,不安全下载 code_backup.tar.gz .sql 4.隐私文件访问 .svn .git 5.弱口令6. 非授权访问 redis 7.cc攻击 性能cc攻击8.DDOS攻击 Nginx cc攻击:频率限制 不安全下载:判断后缀 非授权访问:后缀、认证 测试防护:根 ...
分类:
Web程序 时间:
2016-03-26 14:05:41
阅读次数:
208
一、上传木马的过程1、默认端口22弱口令暴力破解;2、21端口或者3306端口弱口令暴力破解;3、webshell进行shell反弹提权;4、木马传入服务器的上面并且执行,通过木马的方式来控制你的服务器进行非法的操作。二、常见操作1、切入/tmp;2、wget下载木马;3、木马加载权限;4、执行木马...
分类:
系统相关 时间:
2016-01-27 12:25:41
阅读次数:
275
(1) nmap --script=auth 192.168.137.*负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令(2)nmap --script=brute 192.168.137.*提供暴力破解的方式 可对数据库,smb,snmp等进行简单密码的暴力猜解(3)nmap --...
分类:
其他好文 时间:
2015-11-19 18:49:32
阅读次数:
216
服务器配置不当包括三个部分:1.Redis服务使用ROOT账号启动2.Redis服务无密码认证或者使用的是弱口令进行认证3.服务器开放了SSH服务,而且允许使用密钥登录简单的写下过程测试环境victim server CentOS6.6 192.168.1.11attack server CentO...
分类:
其他好文 时间:
2015-11-12 16:00:39
阅读次数:
332
1、java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务。Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器。1.1常见的Server概述 常见的Java服务器:Tomcat、Weblogic、JBoss、GlassFish、Jet.....
分类:
Web程序 时间:
2015-09-09 22:47:33
阅读次数:
333
一、基本信息
样本名称:Rub.EXE
样本大小:21504 字节
病毒名称:Trojan.Win32.Rootkit.hv
加壳情况:UPX(3.07)
样本MD5:035C1ADA4BACE78DD104CB0E1D184043
样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB
病毒文件的组成:
病毒母体文件Rub.EX...
分类:
其他好文 时间:
2015-08-20 13:12:18
阅读次数:
184
需求:标题就是需求,想用密码库批量检测一下域内的弱密码。解决:PowerShell来实现,不需要第三方工具,不怕被人偷了密码。本脚本需要3个文件,空的即可,位于d:/pwd下1name.csv,保存需要测试的用户名列表2pwd.csv,保存需要测试的密码列表3name2.csv,保存验证成功的密码域不..
分类:
系统相关 时间:
2015-07-16 14:24:04
阅读次数:
321
1.弱口令漏洞解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。2.未使用用户名及密码登录后台可直接输入后台URL登录系统。解决方案:通过配置filter来过滤掉无效用户的连...
分类:
编程语言 时间:
2015-07-10 18:21:51
阅读次数:
169
前言无论是个人的VPS还是企业允许公网访问的服务器,如果开放22端口的SSH密码登录验证方式,被众多黑客暴力猜解捅破菊花也可能是经常发生的惨剧。企业可以通过防火墙来做限制,普通用户也可能借助修改22端口和强化弱口令等方式防护,但目前相对安全和简单的方案则是让SSH使用密钥登录并禁止口令登录。...
分类:
其他好文 时间:
2015-07-07 14:48:16
阅读次数:
125
