开门见山 1. 扫描靶机ip,发现PCS 192.168.31.37 2. 用nmap扫描开放端口信息 3. 快速扫描全部信息 4. 探测敏感信息 5. 用浏览器打开用户登录页面 6. 使用OWASP-ZAP扫描漏洞 7. 利用漏洞,使用sqlmap检测是否可以注入 8. 获取数据库 9. 使用ph ...
分类:
数据库 时间:
2020-02-04 20:09:01
阅读次数:
133
开门见山 1. 扫描靶机ip,发现PCS 192.168.31.48 2. 用nmap扫描靶机的开放服务和版本信息 3. 再扫描全部信息 4. 用nikto探测靶机http服务敏感信息 5. 再用dirb扫描http敏感目录 6. 使用OWASP-ZAP对站点进行扫描,并没有大的漏洞 7. 对敏感目 ...
分类:
Web程序 时间:
2020-02-04 18:47:56
阅读次数:
302
开门见山 1. 扫描靶场ip 192.168.1.106 2. 扫描靶场开放端口 3. 扫描靶场全部信息 4. 探测靶场敏感信息 5. 对一些特殊的端口进行nc探测 6. 为了绕过对应命令执行限制,可以使用相近命令来代替限制的shell命令 例:cat - more ...
分类:
其他好文 时间:
2020-02-04 17:14:23
阅读次数:
94
Secretsecret也是k8s中的一个资源对象,主要用于保存轻量的敏感信息,比如数据库用户名和密码,令牌,认证密钥等。我们可以将这类敏感信息放在secret对象中,如果把它们暴露到镜像或者podspec中稍显不妥,将其放在secret对象中可以更好地控制及使用,并降低意外暴露的风险。Secret可以使用volume或者环境变量的方式来使用这些轻量级数据。Secret有三种类型:ServiceA
分类:
其他好文 时间:
2020-02-03 15:46:00
阅读次数:
109
点击劫持 用户亲手操作 盗取用户资金(转账,消费) 用户不知情 获取用户敏感信息 ....if 利用 iframe 内嵌页面,并将原页面透明度设置为零,这样实现点击劫持 点击劫持防御 JavaScript 禁止内嵌 在内嵌页面中 和`window`不等 但这种方式有时并不完全有效,因为攻击者是可以禁 ...
分类:
其他好文 时间:
2020-01-30 23:10:43
阅读次数:
72
POST和GET的使用场景 1.请求中包含数据更新等副作用时 2.发送敏感信息时(防止Referer等安全隐患) 3.发送的信息量很多时(URL长度有限,但是http协议并未规定get和post的长度限制,长度限制来源与浏览器与web服务器,而不同的浏览器和web服务器,限制的最大长度不一样) (副 ...
分类:
其他好文 时间:
2020-01-30 23:02:17
阅读次数:
91
这是之前规划设计的IT基础架构运维规划方案,总结自己一段时间的运维经验相关敏感信息已经去除学无止境啊XX运维工作架构规划从2016年10月XX的运维工作到现在已经有两年多了,期间进行了很多调整,部署了很多业务系统,从一开始的混乱无序,到现在算是小有成效了。现在我们需要进一步完善现有运维工作,规划完整的架构,方便日后进行调整,保证能够科学而又高效的完成运维工作,提高客户满意度。1.整体架构设计整体架
分类:
其他好文 时间:
2020-01-22 23:34:35
阅读次数:
92
公众号:软件测试er 9月19日 “什么是安全测试?为什么要做安全测试?安全测试与功能测试之间有何联系? ” 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能 ...
分类:
其他好文 时间:
2019-12-31 12:23:21
阅读次数:
86
1.危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 2.利用 使用工具GitHack GitHack.py http://www.openssl.org/.git/ 3.防御 及时删除.git文件夹 发布页面时 ...
分类:
其他好文 时间:
2019-12-30 11:55:52
阅读次数:
78
1.危害 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 2.利用 3.防御 用户可参考如下供应商提供的 ...
分类:
其他好文 时间:
2019-12-30 11:29:52
阅读次数:
92
