微软昨天悄悄发布了带外软件更新,以修补两个影响数亿Windows 10和Server版本用户的高风险安全漏洞。 值得一提的是,微软赶在即将于7月14日发布的每月“补丁星期二更新”之前将近两周交付补丁。 这可能是因为这两个漏洞都存在于Windows编解码器库中,Windows编解码器库是社交工程师受害 ...
分类:
其他好文 时间:
2020-07-01 22:10:43
阅读次数:
58
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢 ...
分类:
数据库 时间:
2020-07-01 22:09:15
阅读次数:
80
0X01 漏洞介绍 WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。 漏洞利用条件: 不能包含特殊字符 命令需为小写 命令需使用绝对路 ...
分类:
其他好文 时间:
2020-07-01 14:12:45
阅读次数:
68
问题 最近我们的一台阿里云服务器 (ECS,有公网IP,Nginx 服务器,开放了80,443),遭受到了DDOS攻击,主要攻击的行为是 攻击我们443 端口。发起大量的请求。 但是我们在 Nginx 层面是做了限制的。只允许部分 IP 访问我们的Nginx (allow ....; deny al ...
分类:
其他好文 时间:
2020-07-01 00:18:46
阅读次数:
100
前言 现代软件行业的高速发展对开发者的综合素质要求越来越高,因为不仅是编程知识点,其它维度的知识点也会影响到软件的最终交付质量。比如:数据库的表结构和索引、设计缺陷可能带来软件上的架构缺陷或性能风险、工程结构混乱导致后续维护艰难、没有鉴权的漏洞代码易被黑客攻击等等。 那这样的话,我们在项目开发的过程 ...
分类:
其他好文 时间:
2020-06-30 22:34:09
阅读次数:
58
导读 谷歌推出2020年6月的安卓操作系统安全补丁,共解决了43个漏洞,其中多个为“严重”级别。 其中最为严重的 bug 存在于 System 中,可被用于远程执行任意代码。攻击者需要使用一个特殊构造的传输才能利用该漏洞。它是System 中出现的两个严重的远程代码执行漏洞之一。这两个 RCE 漏洞 ...
分类:
移动开发 时间:
2020-06-30 22:28:45
阅读次数:
82
两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非 ...
分类:
其他好文 时间:
2020-06-29 15:34:16
阅读次数:
73
1、编写脚本selinux.sh,实现开启或禁用SELinux功能 [root@centos7 scripts]# cat selinux.sh #!/bin/bash . /etc/init.d/functions STATUS=`getenforce` start(){ [ $STATUS != ...
分类:
其他好文 时间:
2020-06-28 22:32:22
阅读次数:
77
1.CSRF(get) 我们先修改个人信息然后抓包看看 我们可以发现参数是以get型提交的,没有做任何的安全验证。 这时我们只需要将127.0.0.1:88/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=66666&add= ...
分类:
其他好文 时间:
2020-06-27 18:36:49
阅读次数:
52
文件包含漏洞,简单地说,就是在通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,就会导致文件信息的泄露甚至注入了恶意代码。 PHP文件包含的几个函数: include():只有代码执行到该函数时才会包含文件进来,发生错误时只给出一个 ...
分类:
其他好文 时间:
2020-06-27 11:52:14
阅读次数:
77
