第 42 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架每日程式設計微信小程式常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: phpstudy windows維 Mac OS linux運維 Apache Nginx CentOS Docker 安全 LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

mesh組網和無線橋接的差異有哪些

一、組網模式1、無線橋接是點對點或是點對多點組網通訊，主要是以定向傳輸為主。 2、mesh是所有裝置在無線網路的地位對等，任何一個網路節點都可以接取有線網路。二、距離1、無線橋接是以固定點監控為主，依不同的場景選擇不同的天線選型。 2.mesh的特色就是部署非常的靈活，Mesh自組網設備配合使用的天線主要是全向性天線為主，可以快速建立系統，三、傳輸速率1、橋接的設計傳輸速率主要300Mbps、866Mbps兩種規格2、天線的配置上主要是全向天線為主，衰減比較大。因此速率對比傳統網橋不明顯。四、通

安全 7698 2023-05-13 11:37:05
Struts2-052漏洞範例分析

前言2017年9月5日，由國外安全研究組織lgtm.com的安全研究人員發現的嚴重漏洞在ApacheStruts2官方發布，漏洞編號為CVE-2017-9805（S2-052）,攻擊者可以傳入精心構造的xml數據，遠端命令執行。 Struts2REST外掛程式的XStream元件有反序列化漏洞，使用XStream元件對XML格式的封包進行反序列化操作時，未對資料內容進行有效驗證，且有安全隱患，可遠端指令執行。利用條件：使用REST插件並在受影響版本範圍內。利用方式：攻擊者建構惡意資料包遠端利用。

安全 1483 2023-05-13 11:25:06
unity發佈出來的安卓apk該如何加密

Unity3D程式的安全問題程式碼安全問題Unity3D程式的核心組件檔案Assembly-CSharp.dll是標準的.NET檔案格式，附帶了方法名稱、類別名稱、類型定義等豐富的元資料訊息，使用DnSpy等工具可以輕易地將其反編譯和篡改，程式碼邏輯、類別名稱和方法名等一覽無餘。程式碼邏輯一但被反編譯，很容易滋生各種類型的外掛，破壞遊戲平衡，如果程式碼邏輯中存在漏洞，也容易被挖掘和利用，可能對開發商造成無法預料的損失。資源安全性問題Unity3D程式在編譯打包階段會透過Unity編輯器將資源打包成AssetBun

安全 2044 2023-05-13 11:10:22
PowerShell滲透測試利器Nishang怎麼用

初始PowerShell，首先我們先來了解概念：PowerShell可以當做是cmd(bat腳本語言)的升級版，它是Windows平台上的腳本語言。是面向對象，是和.NetFrameWork密切相關的。也可以認為是Windows上的bashshell。 WindowsPowerShell是一種命令列外殼程式和腳本環境，可讓命令列使用者和腳本編寫者利用.NETFramework的強大功能。它引入了許多非常有用的新概念，從而進一步擴展了您在Windows命令提示字元和WindowsHost環境中獲得

安全 1859 2023-05-13 10:58:20
從XML到遠端程式碼執行的方法是什麼

什麼是XXE簡單來說，XXE就是XML外部實體注入。當允許引用外部實體時，透過建構惡意內容，就可能導致任意檔案讀取、系統指令執行、內網連接埠探測、攻擊內網網站等危害。例如，如果你目前使用的程式為PHP，則可以將libxml_disable_entity_loader設定為TRUE來停用外部實體，從而起到防禦的目的。基本利用通常攻擊者會將payload注入XML文件中，一旦文件被執行，將會讀取伺服器上的本機文件，並對內網發動存取掃描內部網路連接埠。換而言之，XXE是一種從本地到達各種服務的方法。此外，

安全 1423 2023-05-13 10:04:21
如何進行bee-box LDAP注入的靶場練習

如果說sql注入的本質是拼接字串的話，那麼一切可以注入的本質都是拼接字串，LDAP注入作為注入的一種也不例外，更有趣一點的說它是在拼接圓括號（sql注入也拼接圓括號，但是更習慣的是說它拼接字串）。在環境配置篇裡面已經很詳細的說了bee-box中ldap環境的配置，靶場練習篇更多的是php與ldap的連接過程，中間使用的特殊函數介紹以及圓括號拼接的一些技巧。以下先說一下bwapp中ldap靶場的登入流程：首先這是一個LDAP的登入介面，URL是http://192.168.3.184/bW

安全 2230 2023-05-13 09:49:05
如何進行繞過WTS-WAF的分析

0x01.尋找目標inurl:.php?id=intext:電器找到了一個電器公司的網站，隨便測了測，發現有waf這還不安排（找了點資料，貌似直接加號代替空格就可以，直接嘗試）0x02.操作發現沒有waf攔截了資料還說了sqlmap.py-uhttp://*/*.php?id=29--tables--tamperspace2plus.py工具我嘗試了發現無法開始就這樣子. .....0x03.手註http://*/*.php?id=1+and+1=1#回顯正常http://*/*.php?id=1

安全 2535 2023-05-13 09:40:12
如何進行Apache HTTP元件提權漏洞利用流程深度分析

ApacheHTTP被發現有本地提權漏洞（CVE-2019-0211），漏洞作者在第一時間就給出了WriteUp和漏洞EXP，阿爾法實驗室也對EXP進行了深入分析，在此將分析的筆記整理分享出來，希望對大家理解漏洞有所幫助。以下內容主要依照EXP的執行步驟一步步講解，同時詳細解釋了利用過程中幾個比較難理解的點。一、漏洞成因作者的WriteUp中對導致漏洞程式碼已經有了介紹，這裡就只是簡單提一下，並省略了大部分的源碼以減輕閱讀負擔。在Apache的MPMprefork模式中，以root權限執行主服

安全 2281 2023-05-13 09:28:05
如何逆向分析Spotify.app並hook其功能取得數據

專案這個專案的目標是建立一個Spotify客戶端，讓它能夠學習我的聽曲習慣並跳過一些我通常會跳過的歌曲。不得不承認，這種需求來自於我的懶惰。我不想在當我有心情想要聽某些音樂時，創建或尋找播放清單。我希望的是在我的庫中選擇一首歌，然後可以隨機播放其他歌曲，並從隊列中刪除不“flow（節奏與旋律的流暢度）”的歌曲。為了實現這一點，我需要學習某種能夠執行此任務的模型（在未來的帖子中可能更多）。但是為了能夠訓練一個模型，我首先需要資料來訓練它。數據我需要完整的聽歌歷史記錄，包括我跳過的那些歌曲。取得歷史記錄

安全 1297 2023-05-13 08:37:13
如何實現Winnti Group新變體分析

2020年2月發現WinntiGroup新的模組化後門PipeMon。其主要目標是韓國和台灣多人線上遊戲和視訊公司，惡意軟體可發動對供應鏈的攻擊。攻擊者可在發行的遊戲中植入木馬，或攻擊遊戲伺服器，利用遊戲貨幣獲取經濟利益。 WinntiGroup自2012年以來一直保持活躍，該組織針對軟體產業供應鏈攻擊。最近ESET研究人員也發現了其針對香港幾所大學的攻擊。技術分析在目標公司中發現了PipeMon的兩個變體，PipeMon的第一階段包括啟動嵌入在.rsrc中受密碼保護的可執行檔。啟動程序將RAR

安全 1321 2023-05-12 22:01:04
如何進行電子錢包APP漏洞分析

雷蛇支付（RazerPay）在新加坡和馬來西亞被廣泛使用，在該篇Writeup中，作者透過APP逆向分析，利用Frida調試，發現了雷蛇支付電子錢包（RazerPayEwallet）中的用戶簽名（Signature）生成漏洞，由此可讀取雷蛇支付用戶的聊天記錄、刪除用戶綁定的銀行帳戶並竊取用戶個人敏感信息，漏洞最終獲得了雷蛇官方將近$6,000的獎勵。以下是作者的漏洞發現思路，僅當姿勢學習借鏡。漏洞背景雷蛇（RazerInc，RΛZΞR）是一家在新加坡創立的遊戲週邊設備公司，又被稱為“綠燈廠”，

安全 1700 2023-05-12 21:55:10
二層STP的原理是什麼

STPSTP的終極目標：從網路的任何地方，都是去往跟交換器最短的無環的資料轉送路徑1同一個網路：面臨的第一個問題：單點故障解決方案：提供網路冗餘/備份1設備的備份2鏈路的備份所帶來的新問題：二層資料轉送環路新的解決方案:STP/RSTP-spanning-treeprotpocol【生成樹協定】凸顯出另一個問題：利用率解決方案： MSTP【生成實例樹協定】共有標準協定：STP-802.1d，慢；RSTP-802.1w,快了一點；MSTP-802.1s為了在實現鏈路備份的同時，還可以實現資料轉發的

安全 1544 2023-05-12 21:43:11
怎麼寫出高品質高效能的SQL查詢語句

一、首先要搞清楚什麼叫執行計畫？執行計劃是資料庫根據SQL語句和相關表格的統計資料所作出的查詢方案，這個方案是由查詢優化器自動分析產生的，例如一條SQL語句如果用來從一個10萬筆記錄的表中查1條記錄，那查詢優化器會選擇「索引查找」方式，如果該表進行了歸檔，目前只剩下5000條記錄了，那查詢優化器就會改變方案，採用「全表掃描」方式。可見，執行計劃並不是固定的，它是「個人化」的。產生一個正確的「執行計劃」有兩點很重要：(1)SQL語句是否清楚地告訴查詢最佳化器它想做什麼？ (2)查詢最佳化器所得到的資料庫統

安全 1523 2023-05-12 21:04:12
API的五個常見漏洞分別是什麼

API讓天下沒有難做的生意，駭客也是這麼認為的。在企業數位轉型如火如荼的今天，API已經遠遠超越了技術範疇，而網路商業創新和傳統企業數位轉型都離不開API經濟或API策略。 API連結的不僅是系統和數據，還包括企業職能部門、客戶和合作夥伴，甚至整個商業生態。同時，日益嚴峻的安全威脅，使得API正成為網路安全的下一個前線。我們整理了安全專家給企業的五大API安全弱點和修補建議。 API讓一切變得更容易，從資料共享到系統連接到關鍵功能的交付，但API也使攻擊者（包括惡意機器人

安全 1415 2023-05-12 20:40:04
如何進行bee-box LDAP注入的環境配置

一、綜述依照我的學習過程來說，我必須知道我進行web攻擊的這個模型和漏洞的原理是什麼，現在我就碰到個冷門，最初見到LDAP時是某次在某國企的滲透測試中發現一個冷門（經過授權的），激起了我對它的興趣。 LDAP的概念：全名：輕量級目錄存取協定（LightweightDirectoryAccessProtocolt），特點：協定什麼的就不說了，太深奧，可以把它理解為一種儲存資料的資料庫，它的特殊之處在於它是一種樹狀的資料庫，首先這個資料庫的名字相當於樹根（即DB=dc），然後從樹根到某個葉子節點過程所經過

安全 1211 2023-05-12 20:37:04