1.XSS原理 跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。 2.XSS分类反射型xss 反射型xss又称非持久 ...
分类:
其他好文 时间:
2021-02-20 12:02:08
阅读次数:
0
0x00 实验环境 攻击机:Win 10 靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 < ElasticSearch 1.2的版本 0x02 漏洞复现 简介:通过_search方法的参数传入恶意代码,远程执行任意MVEL表达式和Java代码(如下 ...
分类:
其他好文 时间:
2021-02-19 13:35:08
阅读次数:
0
注意:下面的内容都是放在虚拟主机的单独配置中,而并非是在httpd.conf 的全局配置中。 禁止访问某些文件/目录 增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库: <Files ~ "\.inc$"> Order allow,deny Deny from al ...
分类:
Web程序 时间:
2021-02-19 13:02:29
阅读次数:
0
注入位置分类 这个分类方式是我自己想的,可能会有一些不准确。如图所示注入方式有3种,内联、终止、堆叠。每种注入方式又根据服务器的响应分为4类,时间延迟、报错、布尔、将执行结果直接输出。 为什么给注入作分类? sql语句添加了注入语句之后,需要SQL编译器还是能正常编译并执行,才能达成攻击目的,不同的 ...
分类:
数据库 时间:
2021-02-17 14:49:51
阅读次数:
0
SSRF 即Server-Side Request Forgery 服务器端请求伪造攻击,利用漏洞伪造服务器端发起请求,从而突破客户端获取本身得不到的数据,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户 ...
分类:
其他好文 时间:
2021-02-17 14:37:02
阅读次数:
0
0x00 实验环境 攻击机:Win 10 靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 Apache ActiveMQ 5.13.0之前的5.x版本 0x02 漏洞复现 (1)实验环境:docker运行的vulhub漏洞环境首先,可直接访问到页面的 ...
分类:
其他好文 时间:
2021-02-15 11:48:02
阅读次数:
0
随着最近网络攻击的激增,企业安全已成为重中之重。由于IT管理员的任务太多,大部分人只能用很少的时间来检查IT安全性。但是,并非所有的企业都有CIO来帮助确保企业的IT安全。 当数据泄露确实发生时,企业有两种选择:报告泄露情况;或隐藏泄露情况以避免损害其品牌形象和声誉。令公众遗憾的是,许多企业(如Ub ...
分类:
其他好文 时间:
2021-02-10 13:32:35
阅读次数:
0
网站遭到DDOS攻击及处理 下午3点半左右的时候,突然收到短信,说网站遭到DDOS攻击,打开网站,访问不了,白的。 长那么大,第一次遇到,一脸懵逼。我以为内容管理网站是无利可图的,原来,一切都是我自以为。。。 以为一堆报警信息发过来,因为我在阿里云设置了站点监控,还有写的脚本也是:监控网站可用性事通 ...
分类:
其他好文 时间:
2021-02-09 12:17:40
阅读次数:
0
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账 ...
分类:
Web程序 时间:
2021-02-08 12:17:23
阅读次数:
0
漏洞描述: 2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。 漏洞级别:严重 漏洞 ...
分类:
Web程序 时间:
2021-02-06 12:17:15
阅读次数:
0
