現在位置:ホームページ > 技術記事 > 運用・保守 > 安全性

  • SQLMap と SQLi インジェクション防御を分析する方法
    SQLMap と SQLi インジェクション防御を分析する方法
    パート 1: Sqlmap の使用 1.1 sqlmap の概要 1. SQL インジェクションの基本的なステートメントをいくつか説明しましたが、手動インジェクションは非常に面倒です. データを取得するには、強力な SQL インジェクション ツールである sqlmap を使用できます 2. sqlmap の概要 (1) # sqlmap は、SQL インジェクションの脆弱性とデータベースに接続されているサーバーを自動的に検出して悪用できるオープンソースの侵入テスト ツールです。非常に強力な検出エンジン、複数の機能を備えたペネトレーション テスター、データベース フィンガープリンティングによる基盤となるファイル システムへのアクセス、および帯域外接続を介したコマンド実行を備えています。公式 Web サイト: sqlmap.org(2)#サポートされるデータベース: MySQL、Oracle、PostgreS
    安全性 1104 2023-05-11 18:37:06
  • Webセキュリティテストの知識ポイントは何ですか?
    Webセキュリティテストの知識ポイントは何ですか?
    セキュリティテストとは何ですか?セキュリティ テストは、敵対的で悪意のある入力に直面してもアプリケーションが要件を適切に満たせるという証拠を提供することです。 a. 証拠はどうやって提出するのですか?失敗した一連のセキュリティ テスト ケースの実行結果を使用して、Web アプリケーションがセキュリティ要件を満たしていないことを証明します。 b. セキュリティテストの必要性をどう思いますか?セキュリティ テストは、ふるいにかけるべき入力と出力がより多くあるため、機能テストよりも要件に依存します。真のソフトウェア セキュリティとは、実際にはリスク管理を指します。つまり、ソフトウェアのセキュリティ レベルがビジネス ニーズを確実に満たすことができるということです。セキュリティテストはどのように実施すればよいですか?一般的な攻撃と脆弱性に基づいたセキュリティ テスト ケースを実際の実践と組み合わせて追加することで、セキュリティ テストを日常の機能テストのシンプルで一般的な部分に変えることができます。
    安全性 1391 2023-05-11 18:34:06
  • ヒューマンマシン認証キャプチャを簡単にバイパスする方法
    ヒューマンマシン認証キャプチャを簡単にバイパスする方法
    今日共有された Writeup は、ターゲット Web サイトの脆弱性テスト中に作成者によって発見された、単純な人間とコンピュータの認証 (キャプチャ) バイパス方法です。キャプチャ バイパスは、Chrome デベロッパー ツールを使用してターゲット Web サイトのログイン ページ上の要素を編集するだけで実現されました。 。通常、Web サイトの登録ページ、ログインページ、パスワードリセットページには人間と機械の認証 (キャプチャ) が表示されますが、対象 Web サイトがログインページに配置したキャプチャの仕組みは次のとおりです。上の図からわかるように、ユーザーがキャプチャ検証メカニズムの「I'mnotarobot」にチェックを入れた後でのみ、ログイン ボタン (Sign-IN) が有効になり、ユーザーがクリックできるように表示されます。これに基づいて、Siを右クリックしました
    安全性 5789 2023-05-11 17:55:12
  • IPv4 から IPv6 への進化の実装パスは何ですか?
    IPv4 から IPv6 への進化の実装パスは何ですか?
    IPv4 から IPv6 への変換の技術モデル 業界は、IPv4 から IPv6 への変換のための 3 つのソリューション、つまりデュアルスタック テクノロジー モード、トンネル テクノロジー モード、およびアドレス変換モードを提供しています。 1. デュアルスタック テクノロジー モデル: 同じネットワーク上で 2 つの独立したプレーン (IPv4 ネットワーク プレーンと IPv6 ネットワーク プレーン) を実行し、それぞれが独自の IGP/EGP ステータスとルーティングを維持します。このモードでは、IPv4 と IPv6 が共存するため、既存の IPv4 サービスに影響を与えることなく、IPv6 の新しいニーズにも対応できます。ただし、このモードの実装コストは比較的高く、第一に、ネットワーク全体のネットワーク機器のサポートが必要であること、第二に、ネットワーク機器全体の IGP/EGP を調整することが困難であることです。このエリアでは、これがより良い選択です。
    安全性 1715 2023-05-11 17:52:13
  • Facebook広告広告ビジネスAPIインターフェースのソースコード漏洩の脆弱性を分析する方法
    Facebook広告広告ビジネスAPIインターフェースのソースコード漏洩の脆弱性を分析する方法
    脆弱性の発見から1カ月以上が経過した後、FacebookAdsの広告業務システムのAPIに脆弱性を発見した。脆弱な API は、Facebook 販売アカウントが広告画像をアップロードするために使用される画像処理インターフェイスで、アップロードされた画像は「/adimages」というディレクトリに保存され、base64 形式でエンコードされます。したがって、私のテストのアイデアは、ここでのメカニズムでは、アップロードされた画像に悪意のあるペイロードを挿入することができ、それが API によって Base64 形式に変換され、Facebook によってサーバーに渡されるというものです。画像をアップロードするための POST リクエストは次のとおりです: POST/v2.10/act_123456789/adimagesHTT
    安全性 1488 2023-05-11 17:40:13
  • XML 外部エンティティ インジェクションの脆弱性の分析例
    XML 外部エンティティ インジェクションの脆弱性の分析例
    1. XML 外部エンティティ インジェクション XML 外部エンティティ インジェクションの脆弱性は、一般に XXE 脆弱性と呼ばれるものです。 XML は広く使用されているデータ転送形式であり、多くのアプリケーションには XML データを処理するためのコードが含まれています。デフォルトでは、多くの古い XML プロセッサや不適切に構成された XML プロセッサは外部エンティティを参照します。攻撃者が脆弱なコード、依存関係、または統合を通じて XML ドキュメントをアップロードしたり、悪意のあるコンテンツを XML ドキュメントに追加したりできる場合、欠陥のある XML プロセッサを攻撃する可能性があります。 XXE 脆弱性の発生は開発言語とは関係ありませんが、アプリケーション内で XML データが解析され、データがユーザーによって制御されている限り、アプリケーションは XXE 攻撃に対して脆弱になる可能性があります。この記事ではJavaを使用しています
    安全性 2257 2023-05-11 16:55:12
  • リモートコード実行の脆弱性事例分析
    リモートコード実行の脆弱性事例分析
    0x01 mongo-express について mongo-express は、NodeJS、Express、および Bootstrap3 を使用して書かれた MongoDB AdminWeb 管理インターフェイスです。現在、mongo-express は、Github で最も多くのスターを獲得している MongoDBadmin 管理インターフェイスであるはずです。導入が簡単で使いやすいため、mongo を管理するために多くの人に選ばれています。 0x02 デバッグ環境をセットアップする 0x1 Docker サービスを開始する 公式 GitHub セキュリティ情報を読んだ結果、この脆弱性は 0.54.0 より前のすべてのバージョンに影響を与えることがわかりました。テストの例として 0.49 を使用することにしましたが、この脆弱性環境により、M
    安全性 1601 2023-05-11 16:46:06
  • Gogs の任意のユーザー ログインの脆弱性インスタンスの分析
    Gogs の任意のユーザー ログインの脆弱性インスタンスの分析
    1. 脆弱性の背景 Gogs は、GitHub に似たオープン ソース ファイル/コード管理システム (Git ベース) であり、Gogs の目標は、セルフサービス Git サービスを構築するための最もシンプル、最速、簡単な方法を作成することです。 Go 言語を使用して開発された Gogs は、独立したバイナリを通じて配布でき、Linux、MacOSX、Windows、ARM プラットフォームなど、Go 言語でサポートされるすべてのプラットフォームをサポートします。 2. 脆弱性の説明 gogs は、簡単に構築できるセルフサービス型の Git サービス プラットフォームであり、簡単なインストール、クロスプラットフォーム、軽量といった特徴があり、多くのユーザーを抱えています。 0.11.66 以前のバージョンでは、(go-macaron/session library) は sessionid を実行しません。
    安全性 2429 2023-05-11 16:43:06
  • リバウンドシェルってどういう意味ですか?
    リバウンドシェルってどういう意味ですか?
    *厳しい声明: この記事は技術的な議論と共有に限定されており、違法な方法で使用することは固く禁じられています。 0x00 はじめに リバウンド シェルは、制御側が特定の TCP/UDP ポートを監視し、制御側がそのポートへの要求を開始し、コマンド ラインの入出力を制御側に転送することを意味します。リバウンドシェルとは、平たく言えば、フォワードsshとは異なるリバースリンクの一種で、相手のコンピュータがコマンドを実行してこちら側に接続する攻撃モードであり、この攻撃モードはリモートで使用する必要があります。コマンド実行の脆弱性。なぜリバウンド シェルなのか? 通常、制御対象がファイアウォールによって制限されており、アクセス許可がなく、ポートが占有されている場合に使用されます。マシンを攻撃してそのマシンのポートを開くと、攻撃者は自分のマシンでターゲットのマシンに接続します。
    安全性 6846 2023-05-11 16:25:20
  • 実体験の共有:「Du Xiaoman」の情報セキュリティエンジニア
    実体験の共有:「Du Xiaoman」の情報セキュリティエンジニア
    この記事では、Du Xiaoman 情報セキュリティ エンジニア (金融セキュリティ部門) への面接で私が聞かれた質問を紹介します。合計 1 回、2 回、3 回の面接を受けました。一緒に見てみましょう。困っている人を助けます。友達が助けてくれますよ~
    安全性 2018 2023-01-12 14:30:38
  • QUIC プロトコルを通じてネットワーク プロトコルを学習する方法を見てみましょう
    QUIC プロトコルを通じてネットワーク プロトコルを学習する方法を見てみましょう
    この記事では、QUIC プロトコルを理解し、QUIC プロトコルを例としてネットワーク プロトコルの学習方法について説明します。
    安全性 3369 2022-03-01 10:09:02
  • セッション一貫性の設計
    セッション一貫性の設計
    セッション整合性とは何ですか? Web サーバーは、同じブラウザにアクセスするユーザーに対して自動的にセッションを作成し、ストレージ機能を提供します。通常、ユーザーのログイン情報はセッションに保存されます。セッションの一貫性の問題とは何ですか? バックエンドに Web サーバーが 1 つしかない場合、すべての http リクエストに対して正しいセッションが見つかります。問題は、高可用性を満たせないことです。1 つのサーバーがハングアップすると、それは終わりになります。冗長性 + フェイルオーバー、複数の Web サーバーの展開、nginx パス...
    安全性 245 2021-06-26 15:54:56
  • 一般的に使用されるいくつかの Web セキュリティ認証方法の紹介
    一般的に使用されるいくつかの Web セキュリティ認証方法の紹介
    この記事では、一般的に使用されており、一定の参考価値のある Web セキュリティ認証方式を 5 つ紹介しますので、皆様のお役に立てれば幸いです。
    安全性 7084 2021-03-15 10:40:55
  • ウェブを安全に保つ方法
    ウェブを安全に保つ方法
    インターネットの黎明期、まだ IE ブラウザの時代、誰もがインターネットを利用する目的は、ブラウザを通じて情報を共有したり、ニュースを入手したりすることでした。インターネットの急速な発展に伴い、ウェブページでできることはますます増え、ニュースを読んだり、ゲームをしたりするだけでなく、ショッピングやチャットなど、私たちの生活を豊かにしてくれています。
    安全性 4258 2021-03-09 09:51:38
  • いくつかの一般的な Web セキュリティ リスクに対するソリューションを共有する
    いくつかの一般的な Web セキュリティ リスクに対するソリューションを共有する
    Web サーバーのセキュリティ: この記事では、いくつかの一般的な Web セキュリティ リスクに対する解決策を紹介します。一定の参考価値があり、皆様のお役に立てれば幸いです。
    安全性 4314 2021-03-01 10:44:49

ツールの推奨事項

jQuery エンタープライズ メッセージ フォームの連絡先コード

jQuery エンタープライズ メッセージ フォーム連絡先コードは、シンプルで実用的なエンタープライズ メッセージ フォームおよび連絡先紹介ページ コードです。

HTML5 MP3 オルゴール再生効果

HTML5 MP3 オルゴール再生特殊効果は、HTML5 + css3 に基づく MP3 音楽プレーヤーで、かわいいオルゴールの絵文字を作成し、スイッチ ボタンをクリックします。

HTML5 クールなパーティクル アニメーション ナビゲーション メニューの特殊効果

HTML5 クールなパーティクル アニメーションのナビゲーション メニュー特殊効果は、ナビゲーション メニューにマウスを置くと色が変化する特殊効果です。

jQuery ビジュアル フォームのドラッグ アンド ドロップ編集コード

jQuery ビジュアル フォームのドラッグ アンド ドロップ編集コードは、jQuery およびブートストラップ フレームワークに基づいたビジュアル フォームです。

有機果物と野菜のサプライヤー Web テンプレート Bootstrap5

有機果物と野菜のサプライヤー Web テンプレート-Bootstrap5

Bootstrap3 多機能データ情報バックグラウンド管理レスポンシブ Web ページ テンプレート-Novus

Bootstrap3 多機能データ情報バックグラウンド管理レスポンシブ Web ページ テンプレート-Novus

不動産リソース サービス プラットフォーム Web ページ テンプレート Bootstrap5

不動産リソース サービス プラットフォーム Web ページ テンプレート Bootstrap5

シンプルな履歴書情報 Web テンプレート Bootstrap4

シンプルな履歴書情報 Web テンプレート Bootstrap4

かわいい夏の要素のベクター素材 (EPS+PNG)

これは、太陽、日よけ帽子、ココナッツの木、ビキニ、飛行機、スイカ、アイスクリーム、アイスクリーム、冷たい飲み物、浮き輪、ビーチサンダル、パイナップル、巻貝、貝殻、ヒトデ、カニを含む、かわいい夏の要素のベクター素材です。 、レモン、日焼け止め、サングラスなど、素材は JPG プレビューを含む EPS および PNG 形式で提供されています。
PNG素材
2024-05-09

4 つの赤い 2023 卒業バッジ ベクター素材 (AI+EPS+PNG)

これは、2023 年卒業バッジの赤いベクター素材で、合計 4 つがあり、JPG プレビューを含む AI、EPS、PNG 形式で利用できます。
PNG素材
2024-02-29

歌う鳥と花がいっぱいのカートデザイン春のバナーベクター素材(AI+EPS)

これは、さえずる鳥と​​花でいっぱいのカートをデザインした春のバナー ベクター素材で、JPG プレビューを含む AI および EPS 形式で利用できます。
バナー画像
2024-02-29

金色の卒業帽ベクター素材(EPS+PNG)

これは、JPG プレビューを含む EPS および PNG 形式で利用できる、金色の卒業帽のベクター素材です。
PNG素材
2024-02-27

室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

家の装飾のクリーニングとメンテナンス サービス会社の Web サイト テンプレートは、家の装飾、クリーニング、メンテナンス、その他のサービス組織を提供するプロモーション Web サイトに適した Web サイト テンプレートのダウンロードです。ヒント: このテンプレートは Google フォント ライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フレッシュカラーの個人履歴書ガイドページテンプレート

フレッシュカラーマッチング個人求人応募履歴書ガイドページテンプレートは、フレッシュカラーマッチングスタイルに適した個人求人検索履歴書仕事表示ガイドページWebテンプレートのダウンロードです。ヒント: このテンプレートは Google フォント ライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

デザイナー クリエイティブ ジョブ履歴書 Web テンプレートは、さまざまなデザイナーのポジションに適した個人の職務履歴書表示用のダウンロード可能な Web テンプレートです。ヒント: このテンプレートは Google フォント ライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

現代のエンジニアリング建設会社のウェブサイトのテンプレート

最新のエンジニアリングおよび建設会社の Web サイト テンプレートは、エンジニアリングおよび建設サービス業界の宣伝に適したダウンロード可能な Web サイト テンプレートです。ヒント: このテンプレートは Google フォント ライブラリを呼び出すため、ページが開くのが遅くなる場合があります。