Nginx基本安全优化 隐藏Nginx软件版本号信息 一般来说,软件的漏洞都和版本有关,这个很像汽车的缺陷,同一批次的要有问题就都有问题,别的批次可能就都是好的。因此,我们应尽量隐藏或者消除Web服务对访问用户显示各类敏感信息(例如Web软件名称以及版本号等信息),增加恶意用户攻击服务器的难度,从而 ...
分类:
其他好文 时间:
2020-07-26 00:31:29
阅读次数:
97
by:铁乐与猫 注:文章下面涉及到ip地址和端口的敏感信息用了x处理代替。读者使用时可自行替换自己环境中的ip地址和端口。 用途 用在跳板机上(ssh免密登录),然后一条命令可以发送到多台机器执行后并在这一台机器上显示结果。分布式架构下,一个服务部署在多台机器下的运维必备利器。 安装 Polyshi ...
分类:
其他好文 时间:
2020-07-23 16:42:48
阅读次数:
115
漏洞扫描扫出来的敏感信息泄露隐患 如下图 响应里可以看到Server\X-Powered-By信息 试过了许多方法 如asp.net 程序的httpmodule global文件的prerequest事件 这些只能处理asp.net的资源文件、如何访问404文件 以上方法失效 还不支持.net co ...
分类:
Web程序 时间:
2020-07-21 14:03:34
阅读次数:
152
备份 生产环境下,备份是必需的。需要备份的文件有:配置文件和数据文件。 备份配置文件 配置文件包含密码等敏感信息,不要和数据文件放在一起。 sh -c 'umask 0077; tar -cf $(data "+etc-gitlab-%s.tar") -C /etc/gitlab' Copied! ...
分类:
其他好文 时间:
2020-07-16 18:13:16
阅读次数:
65
一、利用思路总结: 1、包含一些敏感的配置文件,获取目标敏感信息 2、配合图片马getshell 3、包含临时文件getshell 4、包含session文件getshell 5、包含日志文件getshell(Apach、SSH等等) 6、利用php伪协议进行攻击 二、具体利用方法: ①包含一些敏感 ...
分类:
其他好文 时间:
2020-07-07 20:06:50
阅读次数:
116
个人总结:高年级有约-老菜谈新零售 一,前言 前不久在高年级有约,有幸听到老菜亲自讲解新零售,并有了一些自己的体会与总结。 这次就已经公开的部分(老菜在“2020联商网大会”演讲中已经公开的部分),谈谈自己的总结。 如果有不足,不正确的地方,欢迎指出,共同探讨。 另外如果文中由于失误,出现敏感信息, ...
分类:
其他好文 时间:
2020-07-07 09:33:35
阅读次数:
104
恢复内容开始 今天,天气挺好,瓢泼大雨。。好了,回归现实,今天在群里看到工业信息的比赛,就想着良辰美景别浪费,学习一波。 首先根据工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n305 ...
分类:
其他好文 时间:
2020-07-04 01:40:17
阅读次数:
84
python设计模式之代理模式 在某些应用中,我们想要在访问某个对象之前执行一个或多个重要的操作,例如,访问敏感信息——在允许用户访问敏感信息之前,我们希望确保用户具备足够的权限。操作系统中也存在类似的情况,用户必须具有管理员权限才能在系统中安装新程序。 上面提到的重要操作不一定与安全问题相关。延迟 ...
分类:
编程语言 时间:
2020-07-02 11:57:03
阅读次数:
62
用于对文字内部进行过滤,类比身份证号手机号等敏感信息 /* 数字脱敏处理 param str 字符串 param frontLen 字符串前面保留位数,默认3位 param endLen 字符串后面保留位数,默认4位 returns {string} */ hideCode(str, frontLe ...
分类:
其他好文 时间:
2020-07-01 19:54:18
阅读次数:
122
原理: 服务端模板注入是由于服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露、代码执行、GetShell 等问题。 其影响范围主要取决于模版引擎的复杂性。 模板引擎 模板引擎(这里特指用于Web开发的模板引擎 ...
分类:
其他好文 时间:
2020-06-25 21:18:44
阅读次数:
103
