1.危害 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 2.利用 3.防御 用户可参考如下供应商提供的 ...
分类:
其他好文 时间:
2019-12-30 11:29:52
阅读次数:
92
redis介绍 什么是redis? redis是一个高性能的key value 数据库 redis未授权访问 1. Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。 2. 攻击者可通过EVAL执行lua代码,或通过数 ...
分类:
其他好文 时间:
2019-10-09 12:35:01
阅读次数:
73
一深入理解Linx文件系统-inode与block 文件储存在硬盘上,硬盘的最小存储单位叫做"扇区"(Sector)。每个扇区储存512字节(相当于0.5KB)。 操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个 ...
分类:
系统相关 时间:
2019-08-31 15:22:51
阅读次数:
123
Cookie的内容是保存一小段文本信息,这些文本信息组成一份通行证。它是客户端对于无状态协议的一种解决方案。 Cookie的原理 (1)客户端第一次请求时,发送数据到服务器。 (2)服务器返回响应信息的同时,还会传回一个cookie(cookie S-001) (3)客户端接收服务器的响应之后,浏览 ...
分类:
其他好文 时间:
2019-08-28 14:41:17
阅读次数:
132
信息泄露 敏感信息泄露 信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露的信息进行对网站的进一步入侵 软件敏感信息 操作系统版本 可以通过NAMP等扫描得知 中间件的类型以及版本 http返回头判断 404报错页面(很多中间件会自定义404页面) 使用工具(例如whatweb:这是一种网站指纹识 ...
分类:
其他好文 时间:
2019-06-08 01:10:52
阅读次数:
301
1、应用服务级别的安全考虑 引入web安全中的十大安全方向: OWASP: 开源web应用安全项目。Open Web Application Security Project 十大安全问题: SQL 注入、失效的身份认证和会话管理、跨站脚本(xss)、失效的访问控制、安全配置错误、 敏感信息泄露、攻 ...
分类:
移动开发 时间:
2018-12-04 15:35:12
阅读次数:
210
软件敏感信息 * 操作系统版本 可用namp扫描得知 * 中间件的类型、版本 http返回头 404报错页面 使用工具(如whatweb) * Web程序(cms类型及版本、敏感文件) 可用whatweb、cms_identify Web敏感信息 * phpinfo()信息泄漏 http://[ip ...
分类:
其他好文 时间:
2018-05-27 15:14:50
阅读次数:
186
课后习题: 课外实践作业P467 1 SEED SQL注入实验 代码注入是针对Web应用程序的主流攻击技术之一,通过利用Web应用程序的输入验证不完善漏洞,使得Web应用程序执行由攻击者所注入的恶意指令和代码,造成敏感信息泄露、权限提升或对系统的未授权访问等危害后果,根据目标的不同分为:(1)恶意读 ...
分类:
其他好文 时间:
2018-04-08 18:21:54
阅读次数:
154
location ~ /\. #禁止访问所有目录(包括子目录)下的隐藏文件 { deny all; } location ~ .*\.(bak|jpa|rar|sql|tar|gz|zip|conf|tgz|bz2|log)$ { #主要是防止各种压缩包、备份文件放置在web目录下导致的敏感信息泄露 ...
分类:
其他好文 时间:
2018-02-03 17:52:18
阅读次数:
150
国内某厂商摄像头敏感信息泄露漏洞事件分析 PDF 版报告下载: 国内某厂商摄像头敏感信息泄露事件分析English Version: Webcam Sensitive Information Disclosure Vulnerability Analysis 1. 事件概述 国内某家监控产品供应商和 ...
分类:
其他好文 时间:
2017-12-17 17:04:21
阅读次数:
270
