文件包含可以利用的方式 (1) 直接进行文件的遍历读取;(读取敏感信息) 在获悉中间件 IIS、apache与第三方集成包等程序默认安装路径的情况,可以直接利用文件包含结合目录遍历进行“配置文件的读取” include.php?file=../../../etc/pass include.php?f ...
分类:
其他好文 时间:
2016-12-07 01:43:00
阅读次数:
209
1、记录PHP错误日志 display_errors与log_errors的区别 display_errors 错误回显,一般常用于开发模式,但是很多应用在正式环境中也忘记了关闭此选项。错误回显可以暴露出非常多的敏感信息,为攻击者下一步攻击提供便利。推荐关闭此选项。 display_errors = ...
分类:
Web程序 时间:
2016-11-19 13:06:36
阅读次数:
195
GET方式提交1)地址栏(URI)会跟上参数数据,以?开始,多个参数之间以&分隔;2)GET提交参数数据有限制,不超过1K;3)GET方式不适合提交敏感信息,如密码;4)浏览器默认直接访问的请求提交方式为GET。POST方式提交1)参数不会跟在URI后面,参数是跟在请求实体内容中,没..
分类:
Web程序 时间:
2016-11-17 02:17:19
阅读次数:
111
[-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服务器将会产生一个会话(cookies ...
分类:
其他好文 时间:
2016-11-06 02:58:32
阅读次数:
284
Linux下几种文件传输命令 sz rz sftp scp介绍 1.sftpSecure Ftp 是一个基于SSH安全协议的文件传输管理工具。由于它是基于SSH的,会在传输过程中对用户的密码、数据等敏感信息进行加密,因此可以有效的防止用户信息在传输的过程中被窃取,比FTP有更高的安全性。在功能方面与 ...
分类:
系统相关 时间:
2016-11-05 20:42:54
阅读次数:
344
因为发的时候,有些敏感信息没去除,所以大家发文的时候,切记要过滤。不然抓取的很厉害。这个脚本的作用是同步远程机器的少量log到一台机器上,然后通过logstash过滤显示犯了好几个错误local写错locals,locals是python特有定义变量的,不能重名sftp老报错,IOError:[Errno2]N..
分类:
编程语言 时间:
2016-10-29 02:38:19
阅读次数:
448
在项目中,有时候一些信息不便完全显示,只需要显示部分信息。现在提供一些隐藏敏感信息的操作方法,主要为对信息的截取操作:1.指定左右字符数量,中间的*的个数和实际长度有关:///<summary>
///隐藏敏感信息
///</summary>
///<paramname="info">信息实体&..
分类:
Web程序 时间:
2016-10-22 01:11:30
阅读次数:
184
1)应用场景系统如果被黑客攻入,他就可以查看一下histroy就能知道了系统的一些敏感信息,像登录的密码之类的:比如有马虎的维护工程师,直接输入了数据库的密码:[root@mysql-master~]#history
16history
17clear
18mysql-uroot-p‘redhat12345‘-S/data/3306/mysql.sock
19hist..
分类:
其他好文 时间:
2016-10-18 23:44:30
阅读次数:
358
sftp sftp即Secure Ftp 是一个基于SSH安全协议的文件传输管理工具。由于它是基于SSH的,会在传输过程中对用户的密码、数据等敏感信息进行加密,因此可以有效的防止用户信息在传输的过程中被窃取不仅可以传输文件数据,而且可以进行远程的文件管理。 建立连接: 从本地上传文件: 下载文件: ...
分类:
系统相关 时间:
2016-10-02 13:02:58
阅读次数:
247
