- 方向:
- 全て ウェブ3.0 バックエンド開発 ウェブフロントエンド データベース 運用・保守 開発ツール PHPフレームワーク 毎日のプログラミング WeChat アプレット よくある問題 他の 技術 CMS チュートリアル Java システムチュートリアル コンピューターのチュートリアル ハードウェアチュートリアル モバイルチュートリアル ソフトウェアチュートリアル モバイル ゲームのチュートリアル
- 分類する:
-
- SQLMap と SQLi インジェクション防御を分析する方法
- パート 1: Sqlmap の使用 1.1 sqlmap の概要 1. SQL インジェクションの基本的なステートメントをいくつか説明しましたが、手動インジェクションは非常に面倒です. データを取得するには、強力な SQL インジェクション ツールである sqlmap を使用できます 2. sqlmap の概要 (1) # sqlmap は、SQL インジェクションの脆弱性とデータベースに接続されているサーバーを自動的に検出して悪用できるオープンソースの侵入テスト ツールです。非常に強力な検出エンジン、複数の機能を備えたペネトレーション テスター、データベース フィンガープリンティングによる基盤となるファイル システムへのアクセス、および帯域外接続を介したコマンド実行を備えています。公式 Web サイト: sqlmap.org(2)#サポートされるデータベース: MySQL、Oracle、PostgreS
- 安全性 1104 2023-05-11 18:37:06
-
- Webセキュリティテストの知識ポイントは何ですか?
- セキュリティテストとは何ですか?セキュリティ テストは、敵対的で悪意のある入力に直面してもアプリケーションが要件を適切に満たせるという証拠を提供することです。 a. 証拠はどうやって提出するのですか?失敗した一連のセキュリティ テスト ケースの実行結果を使用して、Web アプリケーションがセキュリティ要件を満たしていないことを証明します。 b. セキュリティテストの必要性をどう思いますか?セキュリティ テストは、ふるいにかけるべき入力と出力がより多くあるため、機能テストよりも要件に依存します。真のソフトウェア セキュリティとは、実際にはリスク管理を指します。つまり、ソフトウェアのセキュリティ レベルがビジネス ニーズを確実に満たすことができるということです。セキュリティテストはどのように実施すればよいですか?一般的な攻撃と脆弱性に基づいたセキュリティ テスト ケースを実際の実践と組み合わせて追加することで、セキュリティ テストを日常の機能テストのシンプルで一般的な部分に変えることができます。
- 安全性 1391 2023-05-11 18:34:06
-
- ヒューマンマシン認証キャプチャを簡単にバイパスする方法
- 今日共有された Writeup は、ターゲット Web サイトの脆弱性テスト中に作成者によって発見された、単純な人間とコンピュータの認証 (キャプチャ) バイパス方法です。キャプチャ バイパスは、Chrome デベロッパー ツールを使用してターゲット Web サイトのログイン ページ上の要素を編集するだけで実現されました。 。通常、Web サイトの登録ページ、ログインページ、パスワードリセットページには人間と機械の認証 (キャプチャ) が表示されますが、対象 Web サイトがログインページに配置したキャプチャの仕組みは次のとおりです。上の図からわかるように、ユーザーがキャプチャ検証メカニズムの「I'mnotarobot」にチェックを入れた後でのみ、ログイン ボタン (Sign-IN) が有効になり、ユーザーがクリックできるように表示されます。これに基づいて、Siを右クリックしました
- 安全性 5789 2023-05-11 17:55:12
-
- IPv4 から IPv6 への進化の実装パスは何ですか?
- IPv4 から IPv6 への変換の技術モデル 業界は、IPv4 から IPv6 への変換のための 3 つのソリューション、つまりデュアルスタック テクノロジー モード、トンネル テクノロジー モード、およびアドレス変換モードを提供しています。 1. デュアルスタック テクノロジー モデル: 同じネットワーク上で 2 つの独立したプレーン (IPv4 ネットワーク プレーンと IPv6 ネットワーク プレーン) を実行し、それぞれが独自の IGP/EGP ステータスとルーティングを維持します。このモードでは、IPv4 と IPv6 が共存するため、既存の IPv4 サービスに影響を与えることなく、IPv6 の新しいニーズにも対応できます。ただし、このモードの実装コストは比較的高く、第一に、ネットワーク全体のネットワーク機器のサポートが必要であること、第二に、ネットワーク機器全体の IGP/EGP を調整することが困難であることです。このエリアでは、これがより良い選択です。
- 安全性 1715 2023-05-11 17:52:13
-
- Facebook広告広告ビジネスAPIインターフェースのソースコード漏洩の脆弱性を分析する方法
- 脆弱性の発見から1カ月以上が経過した後、FacebookAdsの広告業務システムのAPIに脆弱性を発見した。脆弱な API は、Facebook 販売アカウントが広告画像をアップロードするために使用される画像処理インターフェイスで、アップロードされた画像は「/adimages」というディレクトリに保存され、base64 形式でエンコードされます。したがって、私のテストのアイデアは、ここでのメカニズムでは、アップロードされた画像に悪意のあるペイロードを挿入することができ、それが API によって Base64 形式に変換され、Facebook によってサーバーに渡されるというものです。画像をアップロードするための POST リクエストは次のとおりです: POST/v2.10/act_123456789/adimagesHTT
- 安全性 1488 2023-05-11 17:40:13
-
- XML 外部エンティティ インジェクションの脆弱性の分析例
- 1. XML 外部エンティティ インジェクション XML 外部エンティティ インジェクションの脆弱性は、一般に XXE 脆弱性と呼ばれるものです。 XML は広く使用されているデータ転送形式であり、多くのアプリケーションには XML データを処理するためのコードが含まれています。デフォルトでは、多くの古い XML プロセッサや不適切に構成された XML プロセッサは外部エンティティを参照します。攻撃者が脆弱なコード、依存関係、または統合を通じて XML ドキュメントをアップロードしたり、悪意のあるコンテンツを XML ドキュメントに追加したりできる場合、欠陥のある XML プロセッサを攻撃する可能性があります。 XXE 脆弱性の発生は開発言語とは関係ありませんが、アプリケーション内で XML データが解析され、データがユーザーによって制御されている限り、アプリケーションは XXE 攻撃に対して脆弱になる可能性があります。この記事ではJavaを使用しています
- 安全性 2257 2023-05-11 16:55:12
-
- リモートコード実行の脆弱性事例分析
- 0x01 mongo-express について mongo-express は、NodeJS、Express、および Bootstrap3 を使用して書かれた MongoDB AdminWeb 管理インターフェイスです。現在、mongo-express は、Github で最も多くのスターを獲得している MongoDBadmin 管理インターフェイスであるはずです。導入が簡単で使いやすいため、mongo を管理するために多くの人に選ばれています。 0x02 デバッグ環境をセットアップする 0x1 Docker サービスを開始する 公式 GitHub セキュリティ情報を読んだ結果、この脆弱性は 0.54.0 より前のすべてのバージョンに影響を与えることがわかりました。テストの例として 0.49 を使用することにしましたが、この脆弱性環境により、M
- 安全性 1601 2023-05-11 16:46:06
-
- Gogs の任意のユーザー ログインの脆弱性インスタンスの分析
- 1. 脆弱性の背景 Gogs は、GitHub に似たオープン ソース ファイル/コード管理システム (Git ベース) であり、Gogs の目標は、セルフサービス Git サービスを構築するための最もシンプル、最速、簡単な方法を作成することです。 Go 言語を使用して開発された Gogs は、独立したバイナリを通じて配布でき、Linux、MacOSX、Windows、ARM プラットフォームなど、Go 言語でサポートされるすべてのプラットフォームをサポートします。 2. 脆弱性の説明 gogs は、簡単に構築できるセルフサービス型の Git サービス プラットフォームであり、簡単なインストール、クロスプラットフォーム、軽量といった特徴があり、多くのユーザーを抱えています。 0.11.66 以前のバージョンでは、(go-macaron/session library) は sessionid を実行しません。
- 安全性 2429 2023-05-11 16:43:06
-
- リバウンドシェルってどういう意味ですか?
- *厳しい声明: この記事は技術的な議論と共有に限定されており、違法な方法で使用することは固く禁じられています。 0x00 はじめに リバウンド シェルは、制御側が特定の TCP/UDP ポートを監視し、制御側がそのポートへの要求を開始し、コマンド ラインの入出力を制御側に転送することを意味します。リバウンドシェルとは、平たく言えば、フォワードsshとは異なるリバースリンクの一種で、相手のコンピュータがコマンドを実行してこちら側に接続する攻撃モードであり、この攻撃モードはリモートで使用する必要があります。コマンド実行の脆弱性。なぜリバウンド シェルなのか? 通常、制御対象がファイアウォールによって制限されており、アクセス許可がなく、ポートが占有されている場合に使用されます。マシンを攻撃してそのマシンのポートを開くと、攻撃者は自分のマシンでターゲットのマシンに接続します。
- 安全性 6846 2023-05-11 16:25:20
-
- 実体験の共有:「Du Xiaoman」の情報セキュリティエンジニア
- この記事では、Du Xiaoman 情報セキュリティ エンジニア (金融セキュリティ部門) への面接で私が聞かれた質問を紹介します。合計 1 回、2 回、3 回の面接を受けました。一緒に見てみましょう。困っている人を助けます。友達が助けてくれますよ~
- 安全性 2018 2023-01-12 14:30:38
-
- QUIC プロトコルを通じてネットワーク プロトコルを学習する方法を見てみましょう
- この記事では、QUIC プロトコルを理解し、QUIC プロトコルを例としてネットワーク プロトコルの学習方法について説明します。
- 安全性 3369 2022-03-01 10:09:02
-
- セッション一貫性の設計
- セッション整合性とは何ですか? Web サーバーは、同じブラウザにアクセスするユーザーに対して自動的にセッションを作成し、ストレージ機能を提供します。通常、ユーザーのログイン情報はセッションに保存されます。セッションの一貫性の問題とは何ですか? バックエンドに Web サーバーが 1 つしかない場合、すべての http リクエストに対して正しいセッションが見つかります。問題は、高可用性を満たせないことです。1 つのサーバーがハングアップすると、それは終わりになります。冗長性 + フェイルオーバー、複数の Web サーバーの展開、nginx パス...
- 安全性 245 2021-06-26 15:54:56
-
- 一般的に使用されるいくつかの Web セキュリティ認証方法の紹介
- この記事では、一般的に使用されており、一定の参考価値のある Web セキュリティ認証方式を 5 つ紹介しますので、皆様のお役に立てれば幸いです。
- 安全性 7084 2021-03-15 10:40:55
-
- ウェブを安全に保つ方法
- インターネットの黎明期、まだ IE ブラウザの時代、誰もがインターネットを利用する目的は、ブラウザを通じて情報を共有したり、ニュースを入手したりすることでした。インターネットの急速な発展に伴い、ウェブページでできることはますます増え、ニュースを読んだり、ゲームをしたりするだけでなく、ショッピングやチャットなど、私たちの生活を豊かにしてくれています。
- 安全性 4258 2021-03-09 09:51:38
-
- いくつかの一般的な Web セキュリティ リスクに対するソリューションを共有する
- Web サーバーのセキュリティ: この記事では、いくつかの一般的な Web セキュリティ リスクに対する解決策を紹介します。一定の参考価値があり、皆様のお役に立てれば幸いです。
- 安全性 4314 2021-03-01 10:44:49