GET请求在URL中传送的参数是有长度限制的,而POST没有。 GET比POST更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。 GET参数通过URL传递,POST放在Request body中。 GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。 GET请 ...
分类:
其他好文 时间:
2020-03-03 01:01:22
阅读次数:
82
0x00前言 开始从小的漏洞开始练习,搬运项目地址: https://github.com/imsebao/Code Audit 0x01 Axublog是一款PHP个人博客系统。 Axublog(c_login.php)存在SQL注入漏洞。攻击者可利用漏洞, 直接进行注入,获取数据库敏感信息。 漏 ...
分类:
数据库 时间:
2020-03-01 19:56:07
阅读次数:
77
由于ASP.NET Core应用是一个同时处理多个请求的服务器应用,所以在处理某个请求过程中抛出的异常并不会导致整个应用的终止。出于安全方面的考量,为了避免敏感信息的外泄,客户端在默认的情况下并不会得到详细的出错信息,这无疑会在开发环境下增加查错纠错的难度。对于生产环境来说,我们也希望最终用户能够根 ...
分类:
Web程序 时间:
2020-02-27 21:07:43
阅读次数:
89
一、Secret资源对象:解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者PodSpec中。Secret可以以Volume或者环境变量的方式使用。用来保存一些敏感信息,比如数据库的用户名密码或者密钥。Secret有三种类型:1.ServiceAccount:用来访问KubernetesAPI,由Kubernetes自动创建,并且会自动挂载到Pod的/run/s
分类:
其他好文 时间:
2020-02-25 13:16:42
阅读次数:
76
前台SQL注入 payload(username处存在延迟注入):admin' AND if(ascii(substring(user(),1,1))>104,benchmark(2000000,md5(0x72696e67)),1)%23 前台敏感信息泄露 payload: http://xxx. ...
分类:
其他好文 时间:
2020-02-19 05:34:51
阅读次数:
135
[root@masteryaml]#mkdirsecret[root@masteryaml]#cdsecret/Secret:用来保存一些敏感信息,比如数据库的用户名或者密钥。查看k8s自带的名称空间的密钥:kubectlgets1ecrets-nkube-system举例:保存数据1库的用户名和密码?用户名:root1?密码:123.com第一种方法:通过--from-literal(文字的方式
分类:
其他好文 时间:
2020-02-15 11:53:08
阅读次数:
95
开放出来给别人调用的API接口是就是开放API接口。 弱点: 数据窃取 用户的密码等信息被不轨之人窃取,登录账号发布敏感信息,盗刷等。 数据篡改 提交的数据被抓包后进行篡改再提交。 数据泄露 爬虫将业务数据甚至核心数据抓取,直接或者间接造成损失。 RSA/DES加密 MD5混淆 TOKEN令牌 有令 ...
开门见山 1. 扫描靶机ip,发现PCS 172.18.4.20 2. 用nmap扫描靶机开放服务及版本 3. 再扫描靶机的全部信息 4. 用nikto工具探测http服务敏感信息 5. 用dirb工具探测http服务敏感信息 6. 打开敏感页面进行查看 7. 使用OWASP-ZAP工具对网站进行扫 ...
分类:
Web程序 时间:
2020-02-05 18:50:22
阅读次数:
140
开门见山 1. 扫描靶机ip,发现PCS 172.18.5.1 2. 用nmap扫描靶机开放服务和服务版本 3. 再扫描靶机全部信息 4. 用nikto工具扫描http服务的敏感信息 5. 打开浏览器查看发现的网页 6. 查看临时缓冲目录 7. 查看home目录,挖掘用户信息 8. 查看具体用户的目 ...
分类:
Web程序 时间:
2020-02-05 18:49:29
阅读次数:
198
1. sftp Secure Ftp 是一个基于SSH安全协议的文件传输管理工具。由于它是基于SSH的,会在传输过程中对用户的密码、数据等敏感信息进行加密,因此可以有效的防止用户信息在传输的过程中被窃取,比FTP有更高的安全性。在功能方面与FTP很类似,不仅可以传输文件数据,而且可以进行远程的文件管 ...
分类:
系统相关 时间:
2020-02-04 23:34:03
阅读次数:
269
