- 方向:
- 全て ウェブ3.0 バックエンド開発 ウェブフロントエンド データベース 運用・保守 開発ツール PHPフレームワーク よくある問題 他の 技術 CMS チュートリアル Java システムチュートリアル コンピューターのチュートリアル ハードウェアチュートリアル モバイルチュートリアル ソフトウェアチュートリアル モバイル ゲームのチュートリアル
- 分類する:
-
- JavaScriptでハイフンを使用する方法
- 注1. ハイフン(-)による一致文字の範囲は文字に限定されません。数値の範囲を照合することもできます。 2. 一連の文字と数字を 1 つの文字セットに組み合わせることができます。 = 文字セットでは、ハイフン (-) は一致する文字の範囲を定義します。この例では、文字列 quoteSample 内のすべての文字を一致させる必要があります。注: 必ず大文字と小文字の両方を一致させてください。 letquoteSample="Thequickbrownfoxjumpsoverthelazydog.";letalphabetRegex=/change/;//この行を変更 letresult=alphabetRegex;/
- 安全性 1622 2023-05-11 20:55:04
-
- Web アプリケーションの中核となる防御メカニズムは何ですか?
- 悪意のある入力から保護するために、アプリケーションは概念的に類似した多数のセキュリティ メカニズムを実装します。これらのセキュリティ機構は以下の側面から構成されます。 1. Web アプリケーションにアクセスするユーザーのデータと機能の処理 (不正アクセスの防止) 2. Web アプリケーションの機能にユーザーが入力するデータの処理 (悪意のあるデータの構築の防止) 3. 攻撃への対応(予期しないエラーの処理、明白な攻撃の自動的なブロック、管理者へのアラートの自動送信、プログラム アクセス ログの維持) 4. アプリケーション処理アクセスの管理と保守 通常、アプリケーションには、一般ユーザー、ログイン認証など、さまざまなタイプのユーザーが存在します。ユーザー、管理者。ユーザー Web アプリケーションごとに異なる権限が与えられるため、異なるデータと機能のみにアクセスできます。 w
- 安全性 1097 2023-05-11 20:46:19
-
- 広域ネットワーク、首都圏ネットワーク、ローカルエリアネットワークはどのように分かれていますか?
- WAN、MAN、LAN は「カバレッジ」に基づいて分割されます。 LANの到達範囲は一般的に数km以内であり、導入の容易さ、コストの削減、拡張の容易さなどの特徴があり、さまざまなオフィスで広く利用されています。ワイド エリア ネットワークは、さまざまなエリアのローカル エリア ネットワークまたはメトロポリタン エリア ネットワークのコンピュータ通信を接続する、数十から数千キロメートルの範囲をカバーする長距離ネットワークです。首都圏ネットワークは、都市内に確立されたコンピュータ通信ネットワークです。コンピュータ ネットワークは、ネットワークの機能 (カバー範囲) の範囲によって、ワイド エリア ネットワーク、メトロポリタン エリア ネットワーク、ローカル エリア ネットワークに分類されます。コンピュータ ネットワークとは、地理的に異なる場所にある独立した機能を持つ複数のコンピュータとその外部装置を通信回線を通じて接続することを指します。ネットワーク オペレーティング システム、ネットワーク管理ソフトウェア、およびネットワーク通信では、
- 安全性 5102 2023-05-11 20:19:18
-
- Apache Struts2 S2-057 セキュリティ脆弱性に関する CNNVD レポートの分析例
- 現在、Apache はこの脆弱性を修正するバージョンアップデートを正式にリリースしています。 Apache Struts の製品バージョンを適時に確認し、影響を受ける場合は適時にパッチを適用することをお勧めします。 1. 脆弱性の紹介 ApacheStruts2 は、American Apache Software Foundation の Jakarta プロジェクトのサブプロジェクトであり、MVC 設計に基づいた Web アプリケーション フレームワークです。 2018 年 8 月 22 日、Apache は Apache Struts2S2-057 セキュリティ脆弱性 (CNNVD-201808-740、CVE-2018-11776) を正式にリリースしました。 struts2開発フレームワークでpan-namespace機能を有効にする場合
- 安全性 1147 2023-05-11 20:04:12
-
- Turla が水飲み場攻撃を利用してバックドアを設置する方法
- 標的の Web サイト Turla は、2 つの政府 Web サイトを含む少なくとも 4 つのアルメニアの Web サイトを侵害しました。したがって、ターゲットには政府関係者や政治家も含まれる可能性があります。次の Web サイトが侵害されました: armconsul[.]ru: 在ロシア アルメニア大使館領事部 mnp.nkr[.]am: アルツァフ共和国自然保護天然資源省 aiisa[.]am: アルメニア国際研究所および安全保障問題 adgf[. ]am: これらのアルメニア預金保証基金の Web サイトは、少なくとも 2019 年の初めから侵害されています。 Turla は、不正なアクセスを使用して、悪意のある JavaScript コードを Web サイトに挿入します。たとえば、jquery-mi の mnp.nkr[.]am の場合
- 安全性 1686 2023-05-11 20:04:04
-
- nrpe が監視するオブジェクトとしきい値を分析する方法
- nrpe 監視オブジェクトとしきい値: 監視オブジェクト 監視しきい値 ホスト リソース ホスト生存: check_ping-w3000.0、80%-c5000.0、100%-p5 (応答時間 3000 ミリ秒、パケット損失率が 80% を超える場合、警告が表示されます)報告対象、5000ミリ秒 応答時間内、パケットロス率が100%を超えた場合はクリティカルとして報告され、合計5パケット送信されます) ログインユーザー:check_user-w5-c10(wは警告、cを意味します)クリティカルを意味します) システム負荷: check_load-w15,10,5-c30,25 ,20 (1 分、5 分、15 分は、対応する待機プロセス数を超える場合は警告またはクリティカルです) ディスク使用量: check_disk- w20%-c10%-p
- 安全性 1426 2023-05-11 19:31:04
-
- OSPF の 2 つのアドレス 224.0.0.5 と 224.0.0.6 の具体的な違いを分析する方法
- 224.0.0.6 は、マルチアクセス ネットワーク内の DR および BDR のマルチキャスト受信アドレスを指し、224.0.0.5 は、このグループに属するネットワーク内の OSPF プロセスを実行しているすべてのインターフェイスを指します。そのため、224.0.0.5 のすべてのマルチキャスト データは受け取りました。特定のグループにどのようなマルチキャスト データ パケットが属し、どのようなマルチキャスト データ パケットが受信されるかを理解することに重点を置きます。たとえば、DR/BDR はマルチキャスト アドレス 224.0.0.6 のグループ (Group) に所属しているため、マルチキャスト データを受信します。宛先アドレス 224.0.0.6 のパケット。DR/BDR を設定することで、マルチチャネル アクセスが情報の過剰な処理を防止できる理由が理解できます (特定のグループ (OSPF インターフェイスを参照) に属する受信者のみが削除されるため)それ以上の処理を行わずに 2 番目の層を作成できるため、非常に手間がかかりません。
- 安全性 2921 2023-05-11 19:04:18
-
- SQLMap と SQLi インジェクション防御を分析する方法
- パート 1: Sqlmap の使用 1.1 sqlmap の概要 1. SQL インジェクションの基本的なステートメントをいくつか説明しましたが、手動インジェクションは非常に面倒です. データを取得するには、強力な SQL インジェクション ツールである sqlmap を使用できます 2. sqlmap の概要 (1) # sqlmap は、SQL インジェクションの脆弱性とデータベースに接続されているサーバーを自動的に検出して悪用できるオープンソースの侵入テスト ツールです。非常に強力な検出エンジン、複数の機能を備えたペネトレーション テスター、データベース フィンガープリンティングによる基盤となるファイル システムへのアクセス、および帯域外接続を介したコマンド実行を備えています。公式 Web サイト: sqlmap.org(2)#サポートされるデータベース: MySQL、Oracle、PostgreS
- 安全性 1426 2023-05-11 18:37:06
-
- Webセキュリティテストの知識ポイントは何ですか?
- セキュリティテストとは何ですか?セキュリティ テストは、敵対的で悪意のある入力に直面してもアプリケーションが要件を適切に満たせるという証拠を提供することです。 a. 証拠はどうやって提出するのですか?失敗した一連のセキュリティ テスト ケースの実行結果を使用して、Web アプリケーションがセキュリティ要件を満たしていないことを証明します。 b. セキュリティテストの必要性をどう思いますか?セキュリティ テストは、ふるいにかけるべき入力と出力がより多くあるため、機能テストよりも要件に依存します。真のソフトウェア セキュリティとは、実際にはリスク管理を指します。つまり、ソフトウェアのセキュリティ レベルがビジネス ニーズを確実に満たすことができるということです。セキュリティテストはどのように実施すればよいですか?一般的な攻撃と脆弱性に基づいたセキュリティ テスト ケースを実際の実践と組み合わせて追加することで、セキュリティ テストを日常の機能テストのシンプルで一般的な部分に変えることができます。
- 安全性 1503 2023-05-11 18:34:06
-
- ヒューマンマシン認証キャプチャを簡単にバイパスする方法
- 今日共有された Writeup は、ターゲット Web サイトの脆弱性テスト中に作成者によって発見された、単純な人間とコンピュータの認証 (キャプチャ) バイパス方法です。キャプチャ バイパスは、Chrome デベロッパー ツールを使用してターゲット Web サイトのログイン ページ上の要素を編集するだけで実現されました。 。通常、Web サイトの登録ページ、ログインページ、パスワードリセットページには人間と機械の認証 (キャプチャ) が表示されますが、対象 Web サイトがログインページに配置したキャプチャの仕組みは次のとおりです。上の図からわかるように、ユーザーがキャプチャ検証メカニズムの「I'mnotarobot」にチェックを入れた後でのみ、ログイン ボタン (Sign-IN) が有効になり、ユーザーがクリックできるように表示されます。これに基づいて、Siを右クリックしました
- 安全性 6138 2023-05-11 17:55:12
-
- IPv4 から IPv6 への進化の実装パスは何ですか?
- IPv4 から IPv6 への変換の技術モデル 業界は、IPv4 から IPv6 への変換のための 3 つのソリューション、つまりデュアルスタック テクノロジー モード、トンネル テクノロジー モード、およびアドレス変換モードを提供しています。 1. デュアルスタック テクノロジー モデル: 同じネットワーク上で 2 つの独立したプレーン (IPv4 ネットワーク プレーンと IPv6 ネットワーク プレーン) を実行し、それぞれが独自の IGP/EGP ステータスとルーティングを維持します。このモードでは、IPv4 と IPv6 が共存するため、既存の IPv4 サービスに影響を与えることなく、IPv6 の新しいニーズにも対応できます。ただし、このモードの実装コストは比較的高く、第一に、ネットワーク全体のネットワーク機器のサポートが必要であること、第二に、ネットワーク機器全体の IGP/EGP を調整することが困難であることです。このエリアでは、これがより良い選択です。
- 安全性 1830 2023-05-11 17:52:13
-
- Facebook広告広告ビジネスAPIインターフェースのソースコード漏洩の脆弱性を分析する方法
- 脆弱性の発見から1カ月以上が経過した後、FacebookAdsの広告業務システムのAPIに脆弱性を発見した。脆弱な API は、Facebook 販売アカウントが広告画像をアップロードするために使用される画像処理インターフェイスで、アップロードされた画像は「/adimages」というディレクトリに保存され、base64 形式でエンコードされます。したがって、私のテストのアイデアは、ここでのメカニズムでは、アップロードされた画像に悪意のあるペイロードを挿入することができ、それが API によって Base64 形式に変換され、Facebook によってサーバーに渡されるというものです。画像をアップロードするための POST リクエストは次のとおりです: POST/v2.10/act_123456789/adimagesHTT
- 安全性 1648 2023-05-11 17:40:13
-
- XML 外部エンティティ インジェクションの脆弱性の分析例
- 1. XML 外部エンティティ インジェクション XML 外部エンティティ インジェクションの脆弱性は、一般に XXE 脆弱性と呼ばれるものです。 XML は広く使用されているデータ転送形式であり、多くのアプリケーションには XML データを処理するためのコードが含まれています。デフォルトでは、多くの古い XML プロセッサや不適切に構成された XML プロセッサは外部エンティティを参照します。攻撃者が脆弱なコード、依存関係、または統合を通じて XML ドキュメントをアップロードしたり、悪意のあるコンテンツを XML ドキュメントに追加したりできる場合、欠陥のある XML プロセッサを攻撃する可能性があります。 XXE 脆弱性の発生は開発言語とは関係ありませんが、アプリケーション内で XML データが解析され、データがユーザーによって制御されている限り、アプリケーションは XXE 攻撃に対して脆弱になる可能性があります。この記事ではJavaを使用しています
- 安全性 2701 2023-05-11 16:55:12
-
- リモートコード実行の脆弱性事例分析
- 0x01 mongo-express について mongo-express は、NodeJS、Express、および Bootstrap3 を使用して書かれた MongoDB AdminWeb 管理インターフェイスです。現在、mongo-express は、Github で最も多くのスターを獲得している MongoDBadmin 管理インターフェイスであるはずです。導入が簡単で使いやすいため、mongo を管理するために多くの人に選ばれています。 0x02 デバッグ環境をセットアップする 0x1 Docker サービスを開始する 公式 GitHub セキュリティ情報を読んだ結果、この脆弱性は 0.54.0 より前のすべてのバージョンに影響を与えることがわかりました。テストの例として 0.49 を使用することにしましたが、この脆弱性環境により、M
- 安全性 1698 2023-05-11 16:46:06
-
- Gogs の任意のユーザー ログインの脆弱性インスタンスの分析
- 1. 脆弱性の背景 Gogs は、GitHub に似たオープン ソース ファイル/コード管理システム (Git ベース) であり、Gogs の目標は、セルフサービス Git サービスを構築するための最もシンプル、最速、簡単な方法を作成することです。 Go 言語を使用して開発された Gogs は、独立したバイナリを通じて配布でき、Linux、MacOSX、Windows、ARM プラットフォームなど、Go 言語でサポートされるすべてのプラットフォームをサポートします。 2. 脆弱性の説明 gogs は、簡単に構築できるセルフサービス型の Git サービス プラットフォームであり、簡単なインストール、クロスプラットフォーム、軽量といった特徴があり、多くのユーザーを抱えています。 0.11.66 以前のバージョンでは、(go-macaron/session library) は sessionid を実行しません。
- 安全性 2691 2023-05-11 16:43:06