ページ 42-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

現在位置：ホームページ > 技術記事 > 運用・保守 > 安全性

方向：: 全てウェブ3.0 バックエンド開発ウェブフロントエンドデータベース運用・保守開発ツール PHPフレームワークよくある問題他の技術 CMS チュートリアル Java システムチュートリアルコンピューターのチュートリアルハードウェアチュートリアルモバイルチュートリアルソフトウェアチュートリアルモバイルゲームのチュートリアル

分類する：: Mac OS Linuxの運用と保守 Apache Nginx CentOS Docker LVS vagrant debian zabbix kubernetes ssh fabric

さいねつ

最新

メッシュネットワークとワイヤレスブリッジングの違いは何ですか?

1. ネットワーキングモード 1. ワイヤレスブリッジングは、主に指向性伝送に基づいたポイントツーポイントまたはポイントツーマルチポイントのネットワーキング通信です。 2. メッシュとは、無線ネットワーク内ですべてのデバイスが同等のステータスを持ち、どのネットワークノードも有線ネットワークにアクセスできることを意味します。 2. 距離 1. ワイヤレスブリッジングは主に固定点監視に基づいており、さまざまなシナリオに応じてさまざまなアンテナが選択されます。 2. メッシュの特徴は、導入が非常に柔軟であることです. メッシュアドホックネットワーク機器で使用されるアンテナは主に無指向性アンテナであり、システムを迅速に確立できます 3. 伝送速度 1. ブリッジの設計伝送速度は次のとおりです。主に300Mbpsと866Mbps仕様2. アンテナ構成は比較的減衰の大きい無指向性アンテナが主体です。したがって、従来の橋と比較して速度は明らかではありません。 4、パス

安全性 7712 2023-05-13 11:37:05
Struts2-052 脆弱性分析例

はじめに 2017 年 9 月 5 日、海外のセキュリティ研究機関 lgtm.com のセキュリティ研究者によって発見された Apache Struts2 の重大な脆弱性が正式にリリースされました (脆弱性番号は CVE-2017-9805 (S2-052))。慎重に構築された XML データ、リモートコマンド実行。 Struts2REST プラグインの XStream コンポーネントには逆シリアル化の脆弱性があります。XStream コンポーネントを使用して XML 形式のデータパケットを逆シリアル化する場合、データの内容が効果的に検証されないため、セキュリティリスクが生じ、リモートコマンドによって実行される可能性があります。エクスプロイト条件: REST プラグインを使用し、影響を受けるバージョン範囲内で使用します。悪用方法: 攻撃者は、リモート悪用のために悪意のあるデータパケットを作成します。

安全性 1488 2023-05-13 11:25:06
UnityがリリースしたAndroid APKを暗号化する方法

Unity3D プログラムコードのセキュリティ上の問題 Unity3D プログラムのコアアセンブリファイル Assembly-CSharp.dll は、標準の .NET ファイル形式であり、メソッド名、クラス名、型定義などの豊富なメタデータ情報が付属しています。 DnSpyなどのツールを使用すると簡単に逆コンパイルや改ざんができ、コードロジックやクラス名、メソッド名などが一目でわかります。コードロジックが逆コンパイルされると、さまざまな種類のプラグインが繁殖しやすくなり、ゲームバランスが崩れやすくなります。開発者。リソースのセキュリティの問題: コンパイルとパッケージ化の段階で、Unity3D プログラムは Unity エディターを通じてリソースを AssetBun にパッケージ化します。

安全性 2065 2023-05-13 11:10:22
PowerShell 侵入テストツール Nishang の使用方法

初期 PowerShell、まず概念を理解しましょう。PowerShell は、Windows プラットフォームのスクリプト言語である cmd (bat スクリプト言語) のアップグレードバージョンとみなすことができます。これはオブジェクト指向であり、.NetFrameWork と密接に関連しています。 Windows の bashshell と考えることもできます。 Windows PowerShell は、コマンドラインユーザーとスクリプト作成者が .NET Framework の機能を活用できるようにするコマンドラインシェルおよびスクリプト環境です。多くの非常に便利な新しい概念が導入され、Windows コマンドプロンプトおよび WindowsHost 環境で得られる機能がさらに拡張されます。

安全性 1889 2023-05-13 10:58:20
XML からリモートコード実行への方法は何ですか

XXE とは何ですか? 簡単に言えば、XXE は XML 外部エンティティインジェクションです。外部エンティティの参照を許可すると、悪意のあるコンテンツが構築され、任意のファイルの読み取り、システムコマンドの実行、イントラネットのポート検出、イントラネット Web サイトへの攻撃などの被害が発生する可能性があります。たとえば、現在使用しているプログラムが PHP の場合、防御目的で libxml_disable_entity_loader を TRUE に設定して外部エンティティを無効にすることができます。基本的な悪用では通常、攻撃者が XML ファイルにペイロードを挿入し、ファイルが実行されると、サーバー上のローカルファイルが読み取られ、内部ネットワークポートをスキャンするために内部ネットワークへのアクセスが開始されます。つまり、XXE はローカルでさまざまなサービスにアクセスする方法です。また、

安全性 1423 2023-05-13 10:04:21
Bee-box LDAP インジェクションを使用して範囲練習を行う方法

SQL インジェクションの本質が文字列の結合である場合、注入できるすべての本質は文字列の結合です。LDAP インジェクションも一種のインジェクションとして例外ではありません。さらに興味深いのは、括弧の結合であることです (SQL インジェクションは括弧も連結しますが、文字列を連結すると言ったほうが一般的です)。環境構築編ではbee-boxのldap環境構築について詳しく解説しており、射撃練習編ではphpとldapの接続処理や途中で使用する特殊機能の紹介、括弧を接続するためのいくつかのテクニック。まず、bwapp での LDAP 射撃場のログインプロセスについて説明します。まず、これは LDAP ログインインターフェイスであり、URL は http://192.168.3.184/bW です。

安全性 2247 2023-05-13 09:49:05
WTS-WAFをバイパスする分析を行う方法

0x01. ターゲット inurl:.php?id=intext: 電化製品を探しています電化製品会社の Web サイトを見つけたので、何気なく試してみたところ、waf があることがわかりましたが、まだ整備されていませんでした (いくつかの情報を見つけました)スペースの代わりに記号を追加することもできるようです。直接試してください) 0x02。操作により、データをインターセプトする WAF がないことがわかり、また sqlmap.py-uhttp://*/*.php? id=29--tables--tamperspace2plus.py ツール。試してみましたが、起動できないことがわかりました。....0x03.Hand-note http://*/*.php?id=1+and +1=1#エコーは正常です http://*/*.php?id=1

安全性 2564 2023-05-13 09:40:12
Apache HTTP コンポーネントの権限昇格の脆弱性の悪用プロセスを詳細に分析する方法

ApacheHTTP には、ローカル権限昇格の脆弱性 (CVE-2019-0211) があることが判明しました。この脆弱性の作成者は、すぐに WriteUp と脆弱性 EXP を提供しました。Alpha Labs も、EXP の詳細な分析を実施しました。ここでは、分析ノートを以下に示します。この脆弱性を誰もが理解するのに役立つことを願っています。以下の内容では、主にEXPの実行手順をステップバイステップで説明し、また、利用過程でわかりにくい点についても詳しく説明します。 1. 脆弱性の原因: 脆弱性の原因となったコードは作者の WriteUp で既に紹介されていますが、ここでは簡単に説明し、読む負担を軽減するためにソースコードの大部分を省略します。 Apache の MPMprefork モードで、root 権限でマスターサーバーを実行します。

安全性 2294 2023-05-13 09:28:05
Spotify.app をリバースエンジニアリングし、その機能をフックしてデータを取得する方法

このプロジェクトの目標は、私のリスニング習慣を学習し、通常はスキップするいくつかの曲をスキップできる Spotify クライアントを構築することです。正直、この欲求は私の怠惰から来ていることを認めざるを得ません。何かをしたい気分のときにプレイリストを作成したり検索したりする必要はありません。私が望んでいるのは、ライブラリ内の曲を選択して、他の曲をシャッフルし、キューから「流れない」曲を削除できるようにすることです。これを達成するには、このタスクを実行できる何らかのモデルを学習する必要があります (これについては、将来の投稿で詳しく説明する可能性があります)。ただし、モデルをトレーニングできるようにするには、まずモデルをトレーニングするためのデータが必要です。データスキップした曲も含め、完全な視聴履歴が必要です。履歴を取得する

安全性 1304 2023-05-13 08:37:13
Winnti Group の新しいバリアント分析を実装する方法

2020 年 2 月、WinntiGroup の新しいモジュラーバックドア PipeMon が発見されました。その主な標的は韓国と台湾のマルチプレイヤーオンラインゲーム会社とビデオ会社であり、このマルウェアはサプライチェーンに攻撃を仕掛ける可能性があります。攻撃者は、公開されたゲームにトロイの木馬を埋め込んだり、ゲームサーバーを攻撃したり、ゲーム通貨を使用して金銭的利益を得ることができます。 WinntiGroup は 2012 年から活動を続けており、ソフトウェア業界のサプライチェーン攻撃をターゲットとしています。最近、ESET の研究者は香港のいくつかの大学を標的とした攻撃も発見しました。技術分析により、標的となった企業で PipeMon の 2 つの亜種が発見されました。PipeMon の最初の段階では、.rsrc に埋め込まれたパスワードで保護された実行可能ファイルを起動します。 RAR へのプログラムを起動します

安全性 1328 2023-05-12 22:01:04
電子財布APPの脆弱性分析の実施方法

Razer Pay はシンガポールとマレーシアで広く使用されています。この記事では、著者は APP リバース分析と Frida デバッグを使用して、Razer Pay Ewallet のユーザー署名 (Signature) 生成の脆弱性を発見しました。その結果、Razer 支払いユーザーのチャット履歴がこの脆弱性により、Razer は最終的に 6,000 ドル近くの公式報奨金を獲得しました。以下は著者の脆弱性発見の考え方であり、姿勢学習の参考としてのみ使用できます。脆弱性の背景 Razer Inc (RΛZΞR) は、「グリーンライトファクトリー」としても知られる、シンガポールに設立されたゲーム周辺機器会社です。

安全性 1709 2023-05-12 21:55:10
レイヤ 2 STP の原理は何ですか?

STPSTP の最終目標: ネットワークのどこからでも、スイッチと同じネットワークへの最短のループフリーデータ転送パス 1: 最初に直面する問題: 単一障害点解決策: ネットワークの冗長性/バックアップの提供 1 デバイスのバックアップ2 リンクバックアップによってもたらされる新しい問題: レイヤ 2 データ転送ループ新しい解決策: STP/RSTP-spanning-treeprotpocol [スパニングツリープロトコル] は別の問題を浮き彫りにします: 利用ソリューション: MSTP [インスタンスツリープロトコルの生成] には標準プロトコルがあります: STP-802.1d 、遅い; RSTP-802.1w、少し速い; MSTP-802.1s は、リンクバックアップを実現しながらデータ転送も実現できます。

安全性 1551 2023-05-12 21:43:11
高品質で高性能な SQL クエリステートメントを作成する方法

1. まず、実行計画とは何なのかを理解する必要があります。実行プランは、SQL ステートメントと関連テーブルの統計情報に基づいてデータベースによって作成されるクエリプランです。このプランはクエリオプティマイザーによって自動的に分析され、生成されます。たとえば、SQL ステートメントを使用して 1 つのレコードをクエリする場合100,000 レコードを含むテーブルからクエリオプティマイザーは「インデックス検索」方法を選択します。テーブルがアーカイブされていて、現在 5,000 レコードしか残っていない場合、クエリオプティマイザーは計画を変更して「フルテーブルスキャン」を使用します。方法。実行計画は固定されたものではなく、「個別化」されていることがわかります。正しい「実行計画」を生成するには、次の 2 つの重要なポイントがあります。 (1) SQL ステートメントはクエリオプティマイザーに何を実行したいかを明確に伝えていますか? (2) クエリオプティマイザによって取得されるデータベースシステム

安全性 1531 2023-05-12 21:04:12
API の 5 つの一般的な脆弱性は何ですか?

API を使用するとビジネスが簡単になります。ハッカーもそう考えています。企業のデジタルトランスフォーメーションが本格化している今日、API はテクノロジーの範囲をはるかに超えており、インターネットビジネスのイノベーションと従来の企業のデジタルトランスフォーメーションは API エコノミーや API 戦略と切り離せないものとなっています。 API は、システムとデータだけでなく、企業の機能部門、顧客やパートナー、さらにはビジネスエコシステム全体を接続します。同時に、セキュリティの脅威がますます深刻になる中、API はネットワークセキュリティの次のフロンティアとなりつつあります。私たちは、セキュリティ専門家が企業に提供した上位 5 つの API セキュリティの弱点とパッチ適用の提案をまとめました。 API を使用すると、データ共有からシステム接続、重要な機能の提供に至るまで、すべてが簡単になりますが、API は悪意のあるボットなどの攻撃者にとっても簡単になります。

安全性 1428 2023-05-12 20:40:04
Bee-box LDAP インジェクションの環境を構成する方法

1. 概要私の学習プロセスによれば、Web 攻撃のモデルと脆弱性が何であるかを知る必要がありました。今、私は予期せぬ状況に遭遇しました。私が初めて LDAP を目にしたのは、ある国営企業でのペネトレーションテスト中でした。人気のないもの（公認）を見つけて興味をそそられました。 LDAPの概念：正式名称：Lightweight Directory Access Protocol（Lightweight Directory Access Protocol）、特徴：プロトコルについては難解すぎるので説明しませんが、データを保存するデータベースとして理解できます、その特徴はそれはツリーですデータベースの形式をとったデータベースですまず、データベースの名前はツリーのルート (つまり DB=dc) に相当し、ルートからリーフノードまでのプロセスは次のようになります。

安全性 1228 2023-05-12 20:37:04

...

ペペ価格予測2025：ミームコインの勢いが戻ってきたときに0.0015ドルに注目するブルズ

BTCホルダーのスタントと一緒に夜を過ごす

71 2025-03-28
ワイオミング州知事のマーク・ゴードンは、州の提案されたスタブコインは7月までに立ち上げる準備ができているかもしれないと言います

64 2025-03-27
Immutable.comはSECプローブを克服し、Web3ゲームの未来を強化します

62 2025-03-27
情報セキュリティ問題の内部原因は何ですか?

93 2023-01-13
ハッカーによって引き起こされる主なセキュリティリスクは何ですか?

100 2022-01-12
CSRF防御方法とは何ですか?

116 2020-06-29
SQL インジェクションの 3 つの方法は何ですか?

211 2020-07-20
最高のプライバシー保護を備えた 5 つのブラウザ

130 2020-01-07
収集する価値のある、ハッカーがよく使用する 40 個の侵入ポートのまとめ

153 2019-11-23

コース分類

ツールの推奨事項

jQuery エンタープライズメッセージフォームの連絡先コード

jQuery エンタープライズメッセージフォーム連絡先コードは、シンプルで実用的なエンタープライズメッセージフォームおよび連絡先紹介ページコードです。

フォームボタン

2024-02-29

HTML5 MP3 オルゴール再生効果

HTML5 MP3 オルゴール再生特殊効果は、HTML5 + css3 に基づく MP3 音楽プレーヤーで、かわいいオルゴールの絵文字を作成し、スイッチボタンをクリックします。

プレイヤーの特殊効果

2024-02-29

HTML5 クールなパーティクルアニメーションナビゲーションメニューの特殊効果

HTML5 クールなパーティクルアニメーションのナビゲーションメニュー特殊効果は、ナビゲーションメニューにマウスを置くと色が変化する特殊効果です。

メニューナビゲーション

2024-02-29

jQuery ビジュアルフォームのドラッグアンドドロップ編集コード

jQuery ビジュアルフォームのドラッグアンドドロップ編集コードは、jQuery およびブートストラップフレームワークに基づいたビジュアルフォームです。

フォームボタン

2024-02-29

有機果物と野菜のサプライヤー Web テンプレート Bootstrap5

有機果物と野菜のサプライヤー Web テンプレート-Bootstrap5

ブートストラップテンプレート

2023-02-03

Bootstrap3 多機能データ情報バックグラウンド管理レスポンシブ Web ページテンプレート-Novus

バックエンドテンプレート

2023-02-02

不動産リソースサービスプラットフォーム Web ページテンプレート Bootstrap5

ブートストラップテンプレート

2023-02-02

シンプルな履歴書情報 Web テンプレート Bootstrap4

ブートストラップテンプレート

2023-02-02

かわいい夏の要素のベクター素材 (EPS+PNG)

これは、太陽、日よけ帽子、ココナッツの木、ビキニ、飛行機、スイカ、アイスクリーム、アイスクリーム、冷たい飲み物、浮き輪、ビーチサンダル、パイナップル、巻貝、貝殻、ヒトデ、カニを含む、かわいい夏の要素のベクター素材です。、レモン、日焼け止め、サングラスなど、素材は JPG プレビューを含む EPS および PNG 形式で提供されています。

PNG素材

2024-05-09

4 つの赤い 2023 卒業バッジベクター素材 (AI+EPS+PNG)

これは、2023 年卒業バッジの赤いベクター素材で、合計 4 つがあり、JPG プレビューを含む AI、EPS、PNG 形式で利用できます。

PNG素材

2024-02-29

歌う鳥と花がいっぱいのカートデザイン春のバナーベクター素材（AI+EPS）

これは、さえずる鳥と花でいっぱいのカートをデザインした春のバナーベクター素材で、JPG プレビューを含む AI および EPS 形式で利用できます。

バナー画像

2024-02-29

金色の卒業帽ベクター素材（EPS+PNG）

これは、JPG プレビューを含む EPS および PNG 形式で利用できる、金色の卒業帽のベクター素材です。

PNG素材

2024-02-27

室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

家の装飾のクリーニングとメンテナンスサービス会社の Web サイトテンプレートは、家の装飾、クリーニング、メンテナンス、その他のサービス組織を提供するプロモーション Web サイトに適した Web サイトテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-05-09

フレッシュカラーの個人履歴書ガイドページテンプレート

フレッシュカラーマッチング個人求人応募履歴書ガイドページテンプレートは、フレッシュカラーマッチングスタイルに適した個人求人検索履歴書仕事表示ガイドページWebテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-29

デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

デザイナークリエイティブジョブ履歴書 Web テンプレートは、さまざまなデザイナーのポジションに適した個人の職務履歴書表示用のダウンロード可能な Web テンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

現代のエンジニアリング建設会社のウェブサイトのテンプレート

最新のエンジニアリングおよび建設会社の Web サイトテンプレートは、エンジニアリングおよび建設サービス業界の宣伝に適したダウンロード可能な Web サイトテンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

おすすめ記事

コース分類

ツールの推奨事項