localisation actuelle:Maison > Articles techniques > Opération et maintenance > Sécurité
- Direction:
- tous web3.0 développement back-end interface Web base de données Opération et maintenance outils de développement cadre php programmation quotidienne Applet WeChat Problème commun autre technologie Tutoriel CMS Java Tutoriel système tutoriels informatiques Tutoriel matériel Tutoriel mobile Tutoriel logiciel Tutoriel de jeu mobile
- Classer:
-
- Comment analyser la défense contre les injections SQLMap et SQLi
- Première partie : Utilisation de Sqlmap 1.1 Introduction à sqlmap 1. J'ai mentionné quelques instructions de base sur l'injection SQL, mais l'injection manuelle est très gênante. Nous pouvons utiliser sqlmap, un puissant outil d'injection SQL, pour obtenir des données. # sqlmap est un outil de test d'intrusion open source qui peut détecter et exploiter automatiquement les vulnérabilités d'injection SQL et les serveurs connectés à la base de données. Il dispose d'un moteur de détection très puissant, d'un testeur d'intrusion doté de multiples fonctionnalités, d'un accès au système de fichiers sous-jacent via l'empreinte digitale de la base de données et l'exécution de commandes via une connexion hors bande. Site officiel : sqlmap.org(2)#Bases de données prises en charge : MySQL, Oracle, PostgreS
- Sécurité 1112 2023-05-11 18:37:06
-
- Quels sont les points de connaissances pour les tests de sécurité Web ?
- Qu’est-ce que les tests de sécurité ? Les tests de sécurité consistent à fournir la preuve que l'application peut toujours répondre de manière adéquate à ses exigences face à des entrées hostiles et malveillantes. a. Comment fournir des preuves ? Nous utilisons un ensemble de résultats d’exécution de scénarios de tests de sécurité ayant échoué pour prouver que l’application Web ne répond pas aux exigences de sécurité. b. Comment considérez-vous la nécessité de tests de sécurité ? Les tests de sécurité dépendent davantage des exigences que les tests fonctionnels, car ils comportent plus d'entrées et de sorties possibles à parcourir. La véritable sécurité logicielle fait en réalité référence à la gestion des risques, c'est-à-dire que nous pouvons garantir que le niveau de sécurité du logiciel répond aux besoins de l'entreprise. Comment réaliser des tests de sécurité ? L'ajout de cas de tests de sécurité basés sur des attaques et des vulnérabilités courantes, combinés à des pratiques réelles, permet de transformer les tests de sécurité en une partie simple et commune des tests fonctionnels quotidiens.
- Sécurité 1397 2023-05-11 18:34:06
-
- Comment contourner facilement le Captcha d'authentification homme-machine
- L'article partagé aujourd'hui est une simple méthode de contournement de l'authentification homme-machine (Captcha) découverte par l'auteur lors des tests de vulnérabilité du site Web cible. Le contournement du Captcha a été réalisé en utilisant les outils de développement Chrome pour modifier simplement les éléments de la page de connexion du site Web cible. Passer. L'authentification homme-machine (Captcha) apparaît généralement sur les pages d'enregistrement, de connexion et de réinitialisation du mot de passe du site Web. Voici le mécanisme Captcha organisé par le site Web cible dans la page de connexion. Comme vous pouvez le voir sur l'image ci-dessus, ce n'est qu'après que l'utilisateur a vérifié "Je suis notarobot" du mécanisme de vérification Captcha que le bouton de connexion (Connexion) sera activé et affiché pour que l'utilisateur puisse cliquer. Donc sur cette base, j'ai fait un clic droit sur Si
- Sécurité 5795 2023-05-11 17:55:12
-
- Quel est le chemin de mise en œuvre pour l'évolution d'IPv4 vers IPv6 ?
- Modèle technique pour la transformation d'IPv4 à IPv6 L'industrie propose trois solutions pour la transformation d'IPv4 à IPv6, à savoir le mode technologique double pile, le mode technologique tunnel et le mode de traduction d'adresses. 1. Modèle technologique à double pile : exécutez deux plans indépendants sur le même réseau : un plan réseau IPv4 et un plan réseau IPv6, chacun conservant son propre statut et routage IGP/EGP. Dans ce mode, IPv4 et IPv6 cohabitent, ce qui n'affecte pas les services IPv4 existants et peut également répondre aux nouveaux besoins d'IPv6. Cependant, le coût de mise en œuvre de ce mode est relativement élevé. Premièrement, il nécessite la prise en charge de l'équipement réseau de l'ensemble du réseau. Deuxièmement, il est difficile d'ajuster l'IGP/EGP de l'ensemble de l'équipement réseau s'il n'est mis en œuvre que dans un petit nombre. zone, c’est un meilleur choix de moule.
- Sécurité 1720 2023-05-11 17:52:13
-
- Comment analyser la vulnérabilité de fuite de code source de l'interface API commerciale de publicité Facebook Ads
- Plus d'un mois après avoir découvert la vulnérabilité, j'ai découvert une vulnérabilité dans l'API du système commercial publicitaire FacebookAds. L'API vulnérable est une interface de traitement d'images utilisée par les comptes marchands Facebook pour télécharger des images publicitaires. Les images téléchargées seront stockées dans un répertoire appelé "/adimages" et codées au format base64. Par conséquent, mon idée de test est que dans le mécanisme ici, une charge utile malveillante peut être injectée dans l'image téléchargée, qui sera convertie au format Base64 par l'API puis transmise au serveur par Facebook. Voici la requête POST pour télécharger des images : POST/v2.10/act_123456789/adimagesHTT
- Sécurité 1493 2023-05-11 17:40:13
-
- Exemple d'analyse de la vulnérabilité d'injection d'entité externe XML
- 1. Injection d'entité externe XML La vulnérabilité d'injection d'entité externe XML est ce que nous appelons souvent la vulnérabilité XXE. XML est un format de transmission de données largement utilisé et de nombreuses applications contiennent du code pour traiter les données XML. Par défaut, de nombreux processeurs XML obsolètes ou mal configurés feront référence à des entités externes. Si un attaquant parvient à télécharger un document XML ou à ajouter du contenu malveillant à un document XML, via un code, des dépendances ou des intégrations vulnérables, il peut attaquer un processeur XML défectueux. L'apparition de vulnérabilités XXE n'a rien à voir avec le langage de développement. Tant que les données XML sont analysées dans l'application et que les données sont contrôlées par l'utilisateur, l'application peut être vulnérable aux attaques XXE. Cet article utilise Java
- Sécurité 2264 2023-05-11 16:55:12
-
- Analyse de cas de vulnérabilité d'exécution de code à distance
- 0x01 Découvrez mongo-expressmongo-express est une interface de gestion MongoDB AdminWeb, écrite à l'aide de NodeJS, Express et Bootstrap3. Actuellement, mongo-express devrait être l'interface de gestion MongoDBadmin avec le plus d'étoiles sur Github. Facile à déployer et simple à utiliser, il est devenu le choix de nombreuses personnes pour gérer mongo. 0x02 Configurer l'environnement de débogage 0x1 Démarrez le service docker Après avoir lu le bulletin de sécurité officiel de GitHub, nous avons constaté que la vulnérabilité affecte toutes les versions inférieures à 0.54.0. Nous avons choisi d'utiliser 0,49 comme exemple pour les tests. En raison de cet environnement de vulnérabilité, M.
- Sécurité 1604 2023-05-11 16:46:06
-
- Analyse d'instance de vulnérabilité de connexion utilisateur arbitraire Gogs
- 1. Contexte de la vulnérabilité Gogs est un système de gestion de fichiers/codes open source (basé sur Git) similaire à GitHub. L'objectif de Gogs est de créer le moyen le plus simple, le plus rapide et le plus simple de créer des services Git en libre-service. Développé à l'aide du langage Go, Gogs peut être distribué via des binaires indépendants et prend en charge toutes les plates-formes prises en charge par le langage Go, notamment les plates-formes Linux, MacOSX, Windows et ARM. 2. Description de la vulnérabilité gogs est une plate-forme de service Git en libre-service facile à créer. Elle présente les caractéristiques d'une installation facile, multiplateforme et légère, et compte de nombreux utilisateurs. Dans sa version 0.11.66 et versions précédentes, (bibliothèque go-macaron/session) n'effectue pas l'id de session
- Sécurité 2436 2023-05-11 16:43:06
-
- Que signifie la coque à rebond ?
- *Déclaration sévère : cet article est limité à la discussion et au partage techniques, et il est strictement interdit de l'utiliser de manière illégale. 0x00 Préface Le shell de rebond signifie que le terminal de contrôle surveille un certain port TCP/UDP, le terminal contrôlé initie une requête vers le port et transfère l'entrée et la sortie de sa ligne de commande au terminal de contrôle. En termes simples, le shell de rebond est une sorte de lien inverse, différent du ssh direct. Il s'agit d'un mode d'attaque dans lequel l'ordinateur de l'autre partie exécute une commande pour se connecter à notre côté, et ce mode d'attaque doit être utilisé avec une télécommande. vulnérabilité d’exécution de commande. Pourquoi le shell de rebond ? Il est généralement utilisé lorsque l'extrémité contrôlée est restreinte par un pare-feu, manque d'autorisations et que le port est occupé. Supposons que nous attaquions une machine et que nous ouvrions un port sur la machine. L'attaquant se connecte à la machine cible sur sa propre machine.
- Sécurité 6859 2023-05-11 16:25:20
-
- Véritable partage d'expérience : ingénieur en sécurité de l'information de 'Du Xiaoman'
- Cet article partagera avec vous les questions qui m'ont été posées lors de mon entretien avec l'ingénieur en sécurité de l'information de Du Xiaoman (Département de la sécurité financière). J'espère que c'est le cas. aidera ceux qui en ont besoin. Les amis peuvent aider ~
- Sécurité 2029 2023-01-12 14:30:38
-
- Voyons comment apprendre les protocoles réseau via le protocole QUIC
- Cet article vous amènera à comprendre le protocole QUIC et à utiliser le protocole QUIC comme exemple pour expliquer comment apprendre les protocoles réseau. J'espère que cela sera utile à tout le monde !
- Sécurité 3373 2022-03-01 10:09:02
-
- conception de cohérence de session
- Qu'est-ce que la cohérence des sessions ? Le serveur Web peut créer automatiquement des sessions pour les utilisateurs accédant au même navigateur et fournir des fonctions de stockage. Généralement, les informations de connexion de l'utilisateur sont stockées dans la session. Quel est le problème de cohérence de session ? Lorsqu'il n'y a qu'un seul serveur Web dans le backend, la session correcte peut être trouvée pour chaque requête http. Le problème est qu'il ne peut pas assurer la haute disponibilité. Si un serveur raccroche, ce sera terminé. Redondance + basculement, déploiement de plusieurs serveurs web, chemin nginx...
- Sécurité 248 2021-06-26 15:54:56
-
- Présentation de plusieurs méthodes d'authentification de sécurité Web couramment utilisées
- Cet article présente cinq méthodes d'authentification de sécurité Web couramment utilisées, qui ont une certaine valeur de référence, j'espère qu'elles pourront être utiles à tout le monde.
- Sécurité 7092 2021-03-15 10:40:55
-
- Comment assurer la sécurité du Web
- Au début du développement d'Internet, c'était encore l'ère du navigateur IE. À cette époque, le but de tous ceux qui surfaient sur Internet était de partager des informations et d'obtenir des nouvelles via le navigateur. Avec le développement rapide d'Internet, les pages Web peuvent faire de plus en plus de choses. Vous pouvez non seulement lire des actualités et jouer à des jeux, mais aussi faire des achats et discuter. Ces fonctions ont grandement enrichi nos vies.
- Sécurité 4263 2021-03-09 09:51:38
-
- Partagez des solutions à plusieurs risques courants en matière de sécurité Web
- Sécurité du serveur Web : cet article partage des solutions à plusieurs risques courants en matière de sécurité Web. Il a une certaine valeur de référence et j'espère qu'il pourra être utile à tout le monde.
- Sécurité 4321 2021-03-01 10:44:49