ページ 46-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

現在位置：ホームページ > 技術記事 > 運用・保守 > 安全性

方向：: 全てウェブ3.0 バックエンド開発ウェブフロントエンドデータベース運用・保守開発ツール PHPフレームワークよくある問題他の技術 CMS チュートリアル Java システムチュートリアルコンピューターのチュートリアルハードウェアチュートリアルモバイルチュートリアルソフトウェアチュートリアルモバイルゲームのチュートリアル

分類する：: Mac OS Linuxの運用と保守 Apache Nginx CentOS Docker LVS vagrant debian zabbix kubernetes ssh fabric

さいねつ

最新

JavaScriptでハイフンを使用する方法

注1. ハイフン(-)による一致文字の範囲は文字に限定されません。数値の範囲を照合することもできます。 2. 一連の文字と数字を 1 つの文字セットに組み合わせることができます。 = 文字セットでは、ハイフン (-) は一致する文字の範囲を定義します。この例では、文字列 quoteSample 内のすべての文字を一致させる必要があります。注: 必ず大文字と小文字の両方を一致させてください。 letquoteSample="Thequickbrownfoxjumpsoverthelazydog.";letalphabetRegex=/change/;//この行を変更 letresult=alphabetRegex;/

安全性 1622 2023-05-11 20:55:04
Web アプリケーションの中核となる防御メカニズムは何ですか?

悪意のある入力から保護するために、アプリケーションは概念的に類似した多数のセキュリティメカニズムを実装します。これらのセキュリティ機構は以下の側面から構成されます。 1. Web アプリケーションにアクセスするユーザーのデータと機能の処理 (不正アクセスの防止) 2. Web アプリケーションの機能にユーザーが入力するデータの処理 (悪意のあるデータの構築の防止) 3. 攻撃への対応(予期しないエラーの処理、明白な攻撃の自動的なブロック、管理者へのアラートの自動送信、プログラムアクセスログの維持) 4. アプリケーション処理アクセスの管理と保守通常、アプリケーションには、一般ユーザー、ログイン認証など、さまざまなタイプのユーザーが存在します。ユーザー、管理者。ユーザー Web アプリケーションごとに異なる権限が与えられるため、異なるデータと機能のみにアクセスできます。 w

安全性 1097 2023-05-11 20:46:19
広域ネットワーク、首都圏ネットワーク、ローカルエリアネットワークはどのように分かれていますか?

WAN、MAN、LAN は「カバレッジ」に基づいて分割されます。 LANの到達範囲は一般的に数km以内であり、導入の容易さ、コストの削減、拡張の容易さなどの特徴があり、さまざまなオフィスで広く利用されています。ワイドエリアネットワークは、さまざまなエリアのローカルエリアネットワークまたはメトロポリタンエリアネットワークのコンピュータ通信を接続する、数十から数千キロメートルの範囲をカバーする長距離ネットワークです。首都圏ネットワークは、都市内に確立されたコンピュータ通信ネットワークです。コンピュータネットワークは、ネットワークの機能 (カバー範囲) の範囲によって、ワイドエリアネットワーク、メトロポリタンエリアネットワーク、ローカルエリアネットワークに分類されます。コンピュータネットワークとは、地理的に異なる場所にある独立した機能を持つ複数のコンピュータとその外部装置を通信回線を通じて接続することを指します。ネットワークオペレーティングシステム、ネットワーク管理ソフトウェア、およびネットワーク通信では、

安全性 5102 2023-05-11 20:19:18
Apache Struts2 S2-057 セキュリティ脆弱性に関する CNNVD レポートの分析例

現在、Apache はこの脆弱性を修正するバージョンアップデートを正式にリリースしています。 Apache Struts の製品バージョンを適時に確認し、影響を受ける場合は適時にパッチを適用することをお勧めします。 1. 脆弱性の紹介 ApacheStruts2 は、American Apache Software Foundation の Jakarta プロジェクトのサブプロジェクトであり、MVC 設計に基づいた Web アプリケーションフレームワークです。 2018 年 8 月 22 日、Apache は Apache Struts2S2-057 セキュリティ脆弱性 (CNNVD-201808-740、CVE-2018-11776) を正式にリリースしました。 struts2開発フレームワークでpan-namespace機能を有効にする場合

安全性 1147 2023-05-11 20:04:12
Turla が水飲み場攻撃を利用してバックドアを設置する方法

標的の Web サイト Turla は、2 つの政府 Web サイトを含む少なくとも 4 つのアルメニアの Web サイトを侵害しました。したがって、ターゲットには政府関係者や政治家も含まれる可能性があります。次の Web サイトが侵害されました: armconsul[.]ru: 在ロシアアルメニア大使館領事部 mnp.nkr[.]am: アルツァフ共和国自然保護天然資源省 aiisa[.]am: アルメニア国際研究所および安全保障問題 adgf[. ]am: これらのアルメニア預金保証基金の Web サイトは、少なくとも 2019 年の初めから侵害されています。 Turla は、不正なアクセスを使用して、悪意のある JavaScript コードを Web サイトに挿入します。たとえば、jquery-mi の mnp.nkr[.]am の場合

安全性 1686 2023-05-11 20:04:04
nrpe が監視するオブジェクトとしきい値を分析する方法

nrpe 監視オブジェクトとしきい値: 監視オブジェクト監視しきい値ホストリソースホスト生存: check_ping-w3000.0、80%-c5000.0、100%-p5 (応答時間 3000 ミリ秒、パケット損失率が 80% を超える場合、警告が表示されます)報告対象、5000ミリ秒応答時間内、パケットロス率が100％を超えた場合はクリティカルとして報告され、合計5パケット送信されます）ログインユーザー：check_user-w5-c10（wは警告、cを意味します）クリティカルを意味します) システム負荷: check_load-w15,10,5-c30,25 ,20 (1 分、5 分、15 分は、対応する待機プロセス数を超える場合は警告またはクリティカルです) ディスク使用量: check_disk- w20%-c10%-p

安全性 1426 2023-05-11 19:31:04
OSPF の 2 つのアドレス 224.0.0.5 と 224.0.0.6 の具体的な違いを分析する方法

224.0.0.6 は、マルチアクセスネットワーク内の DR および BDR のマルチキャスト受信アドレスを指し、224.0.0.5 は、このグループに属するネットワーク内の OSPF プロセスを実行しているすべてのインターフェイスを指します。そのため、224.0.0.5 のすべてのマルチキャストデータは受け取りました。特定のグループにどのようなマルチキャストデータパケットが属し、どのようなマルチキャストデータパケットが受信されるかを理解することに重点を置きます。たとえば、DR/BDR はマルチキャストアドレス 224.0.0.6 のグループ (Group) に所属しているため、マルチキャストデータを受信します。宛先アドレス 224.0.0.6 のパケット。DR/BDR を設定することで、マルチチャネルアクセスが情報の過剰な処理を防止できる理由が理解できます (特定のグループ (OSPF インターフェイスを参照) に属する受信者のみが削除されるため)それ以上の処理を行わずに 2 番目の層を作成できるため、非常に手間がかかりません。

安全性 2921 2023-05-11 19:04:18
SQLMap と SQLi インジェクション防御を分析する方法

パート 1: Sqlmap の使用 1.1 sqlmap の概要 1. SQL インジェクションの基本的なステートメントをいくつか説明しましたが、手動インジェクションは非常に面倒です. データを取得するには、強力な SQL インジェクションツールである sqlmap を使用できます 2. sqlmap の概要 (1) # sqlmap は、SQL インジェクションの脆弱性とデータベースに接続されているサーバーを自動的に検出して悪用できるオープンソースの侵入テストツールです。非常に強力な検出エンジン、複数の機能を備えたペネトレーションテスター、データベースフィンガープリンティングによる基盤となるファイルシステムへのアクセス、および帯域外接続を介したコマンド実行を備えています。公式 Web サイト: sqlmap.org(2)#サポートされるデータベース: MySQL、Oracle、PostgreS

安全性 1426 2023-05-11 18:37:06
Webセキュリティテストの知識ポイントは何ですか?

セキュリティテストとは何ですか?セキュリティテストは、敵対的で悪意のある入力に直面してもアプリケーションが要件を適切に満たせるという証拠を提供することです。 a. 証拠はどうやって提出するのですか？失敗した一連のセキュリティテストケースの実行結果を使用して、Web アプリケーションがセキュリティ要件を満たしていないことを証明します。 b. セキュリティテストの必要性をどう思いますか?セキュリティテストは、ふるいにかけるべき入力と出力がより多くあるため、機能テストよりも要件に依存します。真のソフトウェアセキュリティとは、実際にはリスク管理を指します。つまり、ソフトウェアのセキュリティレベルがビジネスニーズを確実に満たすことができるということです。セキュリティテストはどのように実施すればよいですか?一般的な攻撃と脆弱性に基づいたセキュリティテストケースを実際の実践と組み合わせて追加することで、セキュリティテストを日常の機能テストのシンプルで一般的な部分に変えることができます。

安全性 1503 2023-05-11 18:34:06
ヒューマンマシン認証キャプチャを簡単にバイパスする方法

今日共有された Writeup は、ターゲット Web サイトの脆弱性テスト中に作成者によって発見された、単純な人間とコンピュータの認証 (キャプチャ) バイパス方法です。キャプチャバイパスは、Chrome デベロッパーツールを使用してターゲット Web サイトのログインページ上の要素を編集するだけで実現されました。。通常、Web サイトの登録ページ、ログインページ、パスワードリセットページには人間と機械の認証 (キャプチャ) が表示されますが、対象 Web サイトがログインページに配置したキャプチャの仕組みは次のとおりです。上の図からわかるように、ユーザーがキャプチャ検証メカニズムの「I'mnotarobot」にチェックを入れた後でのみ、ログインボタン (Sign-IN) が有効になり、ユーザーがクリックできるように表示されます。これに基づいて、Siを右クリックしました

安全性 6138 2023-05-11 17:55:12
IPv4 から IPv6 への進化の実装パスは何ですか?

IPv4 から IPv6 への変換の技術モデル業界は、IPv4 から IPv6 への変換のための 3 つのソリューション、つまりデュアルスタックテクノロジーモード、トンネルテクノロジーモード、およびアドレス変換モードを提供しています。 1. デュアルスタックテクノロジーモデル: 同じネットワーク上で 2 つの独立したプレーン (IPv4 ネットワークプレーンと IPv6 ネットワークプレーン) を実行し、それぞれが独自の IGP/EGP ステータスとルーティングを維持します。このモードでは、IPv4 と IPv6 が共存するため、既存の IPv4 サービスに影響を与えることなく、IPv6 の新しいニーズにも対応できます。ただし、このモードの実装コストは比較的高く、第一に、ネットワーク全体のネットワーク機器のサポートが必要であること、第二に、ネットワーク機器全体の IGP/EGP を調整することが困難であることです。このエリアでは、これがより良い選択です。

安全性 1830 2023-05-11 17:52:13
Facebook広告広告ビジネスAPIインターフェースのソースコード漏洩の脆弱性を分析する方法

脆弱性の発見から1カ月以上が経過した後、FacebookAdsの広告業務システムのAPIに脆弱性を発見した。脆弱な API は、Facebook 販売アカウントが広告画像をアップロードするために使用される画像処理インターフェイスで、アップロードされた画像は「/adimages」というディレクトリに保存され、base64 形式でエンコードされます。したがって、私のテストのアイデアは、ここでのメカニズムでは、アップロードされた画像に悪意のあるペイロードを挿入することができ、それが API によって Base64 形式に変換され、Facebook によってサーバーに渡されるというものです。画像をアップロードするための POST リクエストは次のとおりです: POST/v2.10/act_123456789/adimagesHTT

安全性 1648 2023-05-11 17:40:13
XML 外部エンティティインジェクションの脆弱性の分析例

1. XML 外部エンティティインジェクション XML 外部エンティティインジェクションの脆弱性は、一般に XXE 脆弱性と呼ばれるものです。 XML は広く使用されているデータ転送形式であり、多くのアプリケーションには XML データを処理するためのコードが含まれています。デフォルトでは、多くの古い XML プロセッサや不適切に構成された XML プロセッサは外部エンティティを参照します。攻撃者が脆弱なコード、依存関係、または統合を通じて XML ドキュメントをアップロードしたり、悪意のあるコンテンツを XML ドキュメントに追加したりできる場合、欠陥のある XML プロセッサを攻撃する可能性があります。 XXE 脆弱性の発生は開発言語とは関係ありませんが、アプリケーション内で XML データが解析され、データがユーザーによって制御されている限り、アプリケーションは XXE 攻撃に対して脆弱になる可能性があります。この記事ではJavaを使用しています

安全性 2701 2023-05-11 16:55:12
リモートコード実行の脆弱性事例分析

0x01 mongo-express について mongo-express は、NodeJS、Express、および Bootstrap3 を使用して書かれた MongoDB AdminWeb 管理インターフェイスです。現在、mongo-express は、Github で最も多くのスターを獲得している MongoDBadmin 管理インターフェイスであるはずです。導入が簡単で使いやすいため、mongo を管理するために多くの人に選ばれています。 0x02 デバッグ環境をセットアップする 0x1 Docker サービスを開始する公式 GitHub セキュリティ情報を読んだ結果、この脆弱性は 0.54.0 より前のすべてのバージョンに影響を与えることがわかりました。テストの例として 0.49 を使用することにしましたが、この脆弱性環境により、M

安全性 1698 2023-05-11 16:46:06
Gogs の任意のユーザーログインの脆弱性インスタンスの分析

1. 脆弱性の背景 Gogs は、GitHub に似たオープンソースファイル/コード管理システム (Git ベース) であり、Gogs の目標は、セルフサービス Git サービスを構築するための最もシンプル、最速、簡単な方法を作成することです。 Go 言語を使用して開発された Gogs は、独立したバイナリを通じて配布でき、Linux、MacOSX、Windows、ARM プラットフォームなど、Go 言語でサポートされるすべてのプラットフォームをサポートします。 2. 脆弱性の説明 gogs は、簡単に構築できるセルフサービス型の Git サービスプラットフォームであり、簡単なインストール、クロスプラットフォーム、軽量といった特徴があり、多くのユーザーを抱えています。 0.11.66 以前のバージョンでは、(go-macaron/session library) は sessionid を実行しません。

安全性 2691 2023-05-11 16:43:06

...

BTCホルダーのスタントと一緒に夜を過ごす

ワイオミング州知事のマーク・ゴードンは、州の提案されたスタブコインは7月までに立ち上げる準備ができているかもしれないと言います

84 2025-03-27
Immutable.comはSECプローブを克服し、Web3ゲームの未来を強化します

75 2025-03-27
本物のouyiをどこからダウンロードしますか？公式ウェブサイトのダウンロード。グローバル

70 2025-03-31
よく使用される Linux コマンド

255 2020-09-05
Linux で tar.gz を解凍する方法

312 2022-01-12
Linuxでgzファイルを解凍するコマンドは何ですか?

204 2019-02-28
Linuxサーバーの再起動コマンドとは何ですか?

248 2022-03-15
Linuxでファイル名を変更するにはどうすればよいですか?

193 2022-01-12
Linux でファイルを検索するコマンドは何ですか?

100 2023-01-05

コース分類

ツールの推奨事項

jQuery エンタープライズメッセージフォームの連絡先コード

jQuery エンタープライズメッセージフォーム連絡先コードは、シンプルで実用的なエンタープライズメッセージフォームおよび連絡先紹介ページコードです。

フォームボタン

2024-02-29

HTML5 MP3 オルゴール再生効果

HTML5 MP3 オルゴール再生特殊効果は、HTML5 + css3 に基づく MP3 音楽プレーヤーで、かわいいオルゴールの絵文字を作成し、スイッチボタンをクリックします。

プレイヤーの特殊効果

2024-02-29

HTML5 クールなパーティクルアニメーションナビゲーションメニューの特殊効果

HTML5 クールなパーティクルアニメーションのナビゲーションメニュー特殊効果は、ナビゲーションメニューにマウスを置くと色が変化する特殊効果です。

メニューナビゲーション

2024-02-29

jQuery ビジュアルフォームのドラッグアンドドロップ編集コード

jQuery ビジュアルフォームのドラッグアンドドロップ編集コードは、jQuery およびブートストラップフレームワークに基づいたビジュアルフォームです。

フォームボタン

2024-02-29

有機果物と野菜のサプライヤー Web テンプレート Bootstrap5

有機果物と野菜のサプライヤー Web テンプレート-Bootstrap5

ブートストラップテンプレート

2023-02-03

Bootstrap3 多機能データ情報バックグラウンド管理レスポンシブ Web ページテンプレート-Novus

バックエンドテンプレート

2023-02-02

不動産リソースサービスプラットフォーム Web ページテンプレート Bootstrap5

ブートストラップテンプレート

2023-02-02

シンプルな履歴書情報 Web テンプレート Bootstrap4

ブートストラップテンプレート

2023-02-02

かわいい夏の要素のベクター素材 (EPS+PNG)

これは、太陽、日よけ帽子、ココナッツの木、ビキニ、飛行機、スイカ、アイスクリーム、アイスクリーム、冷たい飲み物、浮き輪、ビーチサンダル、パイナップル、巻貝、貝殻、ヒトデ、カニを含む、かわいい夏の要素のベクター素材です。、レモン、日焼け止め、サングラスなど、素材は JPG プレビューを含む EPS および PNG 形式で提供されています。

PNG素材

2024-05-09

4 つの赤い 2023 卒業バッジベクター素材 (AI+EPS+PNG)

これは、2023 年卒業バッジの赤いベクター素材で、合計 4 つがあり、JPG プレビューを含む AI、EPS、PNG 形式で利用できます。

PNG素材

2024-02-29

歌う鳥と花がいっぱいのカートデザイン春のバナーベクター素材（AI+EPS）

これは、さえずる鳥と花でいっぱいのカートをデザインした春のバナーベクター素材で、JPG プレビューを含む AI および EPS 形式で利用できます。

バナー画像

2024-02-29

金色の卒業帽ベクター素材（EPS+PNG）

これは、JPG プレビューを含む EPS および PNG 形式で利用できる、金色の卒業帽のベクター素材です。

PNG素材

2024-02-27

室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

家の装飾のクリーニングとメンテナンスサービス会社の Web サイトテンプレートは、家の装飾、クリーニング、メンテナンス、その他のサービス組織を提供するプロモーション Web サイトに適した Web サイトテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-05-09

フレッシュカラーの個人履歴書ガイドページテンプレート

フレッシュカラーマッチング個人求人応募履歴書ガイドページテンプレートは、フレッシュカラーマッチングスタイルに適した個人求人検索履歴書仕事表示ガイドページWebテンプレートのダウンロードです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-29

デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

デザイナークリエイティブジョブ履歴書 Web テンプレートは、さまざまなデザイナーのポジションに適した個人の職務履歴書表示用のダウンロード可能な Web テンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

現代のエンジニアリング建設会社のウェブサイトのテンプレート

最新のエンジニアリングおよび建設会社の Web サイトテンプレートは、エンジニアリングおよび建設サービス業界の宣伝に適したダウンロード可能な Web サイトテンプレートです。ヒント: このテンプレートは Google フォントライブラリを呼び出すため、ページが開くのが遅くなる場合があります。

フロントエンドテンプレート

2024-02-28

おすすめ記事

コース分類

ツールの推奨事項