第 43 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架每日程式設計微信小程式常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: phpstudy windows維 Mac OS linux運維 Apache Nginx CentOS Docker 安全 LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

Android逆向中smali複雜類別實例分析

1.java複雜類別如果有什麼地方不懂，請看：JAVA總綱或建構方法這裡貼程式碼，很簡單沒有難度。 2.smali程式碼我們要把java程式碼轉為smali程式碼，可以參考java轉smali我們還是分模組來看。 2.1第一個模組－資訊模組這個模組就是基本訊息，說明了類別名稱等，知道就好對分析幫助不大。 2.2第二個模組－構造方法我們來一句一句解析，如果有之前解析重複的地方就不再重複了。但是會提供連結。 .methodpublicconstructor(Ljava/lang/String;I)V這句話分為.m

安全 1686 2023-05-12 16:22:13
EVE-NG鏡像實例分析

一、下載，解壓縮壓縮包ikuai-8.rar二、上傳到/opt/unetlab/addons/qemu目錄下三、SSH登入EVE，執行腳本root@eve-ng:~#cd/opt/unetlab/addons /qemu/ikuai-8root@eve-ng:/opt/unetlab/addons/qemu/ikuai-8#sourceikuai.shGreat!!!"iKuaiDevice"importsuccessfully!!!root@eve-ng:/opt/unetl

安全 1483 2023-05-12 15:40:06
網路安全審計工具Nmap如何使用

一.軟體下載https://nmap.org/download.html二.掃描IPnmap192.168.1.10#掃描單IPnmap192.168.1.10-100#掃描IP段nmap192.168.1.10192.168.1.11#掃描單獨的多.168.1.1/24#掃描整個網段nmap-iLlist.txt#根據檔案清單掃描#list.txt192.168.1.20192.168.1.21nmap-iR3#隨機掃描3個IPnmap192.168.1.10-100--ex

安全 1186 2023-05-12 15:34:16
PrestaShop網站漏洞修復方法是什麼

PrestaShop網站的漏洞越來越多，該網站系統是許多外貿網站在使用的一個開源系統，從之前的1.0初始版本到現在的1.7版本，經歷了多次的升級，系統使用的人也越來越多，國內使用該系統的外貿公司也很多，PrestaShop擴展性較高，模板也多，多種貨幣自由切換，並支持信用卡以及paypal支付，是外貿網站的首選。就在最近幾天，PrestaShop被爆出有遠端程式碼注入漏洞，該漏洞影響範圍較光，危害較大，可以上傳webshell到網站根目錄下。 2018年11月7號PrestaShop官方發布了最新的

安全 1713 2023-05-12 15:07:06
如何分析UDP協議

一、套接字（socket）套接字socket:ip位址+port埠號碼。在TCP/IP協定中,它唯一標識網路通訊中的一個程序。套接字用來描述網路連結的一對一關係。 TCP/IP協定規定,網路資料流應採用大端字節序,即（記憶體）低位址高位元組（資料）。二、UDP_SOCKET相關UDP協定----用戶資料封包協定（面向非連線）---SOCK_DGRAMh表示host,n表示network,l表示32位元長整數,s表示16位元短整數。 IPv4位址格式定義在netinet/in.h中,IPv4位址:sockadd

安全 1440 2023-05-12 14:49:12
如何分析資料鏈路協定HDLC及PPP

一、常用的資料鏈路協定（HDLC、PPP）（一）分析協定的思路步驟一：了解協定的概貌,知道這個協定設計的目的、基本特徵步驟二：以協定資料單元（對於資料鏈結層而言是幀）的格式為主要線索來研究協議的具體實現步驟三：協議如何解決實際問題？（二）HDLC協定（進階資料鏈路控制規程）（面向位元協定）HDLC協定是一個面向位元的協議，其主要解決了資料鏈結層鏈路管理、尋址、幀同步、錯誤控制、流量控制，其具有了平衡系統的和非平衡系統兩個特性。 1.HDLC的組成：幀結構（語法）規程元素（語法）規則類型（語意）使用

安全 2610 2023-05-12 14:43:11
webshell被上傳溯源事件的範例分析

巡檢查殺首先，我明白自己要做的不是找到這個上傳的位置是哪裡出現的，我應該登上伺服器進行webshel查殺，進行巡檢，找找看是否被別人入侵了，是否存在後門等等情況。雖然報的是我們公司的ip位址，萬一漏掉了幾個webshell，被別人上傳成功了沒偵測出來，那伺服器被入侵瞭如何能行。所以我上去巡檢了伺服器，上傳這個webshell查殺工具進行查殺，使用netstat-anpt和iptables-L判斷是否存在後門建立，查看是否有挖礦程序佔用CPU，等等，此處不詳細展開了。萬幸的是伺服器沒有被入侵，然後

安全 1095 2023-05-12 14:43:06
一次mssql注入+白名單上傳繞過360的範例分析

資訊收集：站點使用vue+aspx+iis8.5搭建。網站登入框有版本號碼且url欄中存在siteserver字樣，因此懷疑是cms搭建的，但未見過該cms，使用谷歌搜尋發現該網站是用siteservercms搭建的，版本為最新，且網路上提供的漏洞在此無法使用，在登入框嘗試注入+弱口令+驗證碼繞過+未授權之類等等手段之後無果，由於具有測試的帳號，乾脆因此直接登入網站進行測試。圖示為我從網路上尋找的登入圖片，紅框處當時是版本號碼而非cms提示。功能測試：進入後台之後簡單瀏覽了一下功能，多是一些頁面管理的

安全 1708 2023-05-12 14:37:21
誤用html entities函數引發的漏洞怎麼解決

題目程式碼如下：漏洞解析：根據題目意思，這裡考察的應該是xss漏洞，漏洞觸發點應該在程式碼中的第13-14行。這兩行程式碼的作用是直接輸出一個html的標籤。程式碼中的第3-5行，foreach迴圈對$_GET傳入的參數進行了處理，但這裡有個問題。我們看下第四行的程式碼，這行程式碼針對$value進行型別轉換，強制變成int型別。但這部分程式碼只處理了$value變量，沒針對$key變數進行處理。經過了第3-5行的程式碼處理之後，依照&這個符號進行分割，然後拼接到第13行的echo語句中，在輸出的

安全 1504 2023-05-12 14:13:42
如何進行IPsec設定說明

實驗配置步驟:第一階段:iaskmpSA（IKESA要保護的對像是與密鑰有關的）IKE並不直接關心用戶的數據，並且IKESA是為安全協商IPSecSA服務的1、共享密鑰或數位證書IKE採用了Diffie-Hellman演算法、金鑰透過對等體推算出自己的金鑰group1金鑰長度為768bitgroup2金鑰長度為1024bitgroup5金鑰長度為1536bit用於資料加密的金鑰的值是靠演算法計算出來的，是不能由管理員定義和修改的2、驗證鄰居（建立鄰居）第二階段:IPsecSA（使用者的資料流量真正是在

安全 3420 2023-05-12 14:13:13
MaxCompute存取控制整體架構是怎麼樣的

基本術語project：專案空間，MaxCompute提供給使用者自助管理的基本單元。存取控制：檢查一個請求是否可信且合法。 ACL：存取控制列表，一種授權的表達方式。 Policy：基於規則的一種授權表達方式。 Role：權限的集合，用來實作基於角色的權限管理方式。 LabelSecurity：基於標籤的存取控制，用於實現列層級的權限管理。 ProjectProtection：專案空間保護，用於開啟資料流向存取控制。 TruestedProject：信任的專案空間，用於專案空間資料流向存取控制授權。 Exce

安全 1453 2023-05-12 13:22:06
VLAN訊框格式指的是什麼

Type/TPID：取值為0x8100時表示802.1QTag幀；此欄位又稱為「TPID(TagProtocolIdentifier，標籤協定標識)」PRI：表示幀的優先權，取值範圍為0～7，值越大優先權越高CFI：CanonicalFormatIndicator經典格式指示符，表示MAC位址是否為經典格式，CFI為0說明是標準格式，CFI為1表示為非標準格式，乙太網路的CFI值為0VID：可設定的VLANID取值範圍為1～4094。0和4095協定中規定為保留的VLANID

安全 2255 2023-05-12 12:52:22
sqlmap _dns注入配置方法是什麼

網路上針對sqlmap進行dns注入的相關文章太少，只是簡單介紹了下--dns-domain參數，相關的實戰文章要么就寫的模糊或者一筆帶過，搞的雲裡霧裡（主要是菜，關鍵還沒大佬帶）。然後自己參考網路上的方法自己重新搞了一遍。需要準備的東西，sqlmap、windows盲註一個、兩個網域、一台外網伺服器。某次搞事情的時候碰到一個時間盲注，剛好是台windows的，想起dns注入的方法。在開始前我準備先用sqlmap的--sql-shell指令進行dns注入payload的測試先到burpsuite中的

安全 1463 2023-05-12 12:25:06
如何實作sqlmap time-based inject的分析

1.前言sql注入如何檢測的？我的回答是：在甲方做安全，sql注入偵測還是比較好做的。 1)報錯注入檢測。 2)別做bool的報錯注入，誤報比較高。 3)做基於time-based的時間注入，聯繫運維做上慢日誌db記錄，監控sleep，benchmark的關鍵字監控，可以在sleep的時間小數點上加上掃描任務的id號，方便定位。 (p.s.這種方法能找到99%的sql注入了)因此，在做基於time-based的時間注入時，我把時間誤差限制的非常苛刻。但是，@chengable在乙方做安全相關工作，基於t

安全 872 2023-05-12 12:10:06
由追蹤溯源發現的不安全解壓縮GetShell實例分析

近日我們幫助某客戶追蹤溯源一例入侵事件時，發現駭客在取得伺服器權限之前利用網站的「ZIP解壓縮功能」上傳了Webshell。由於這次的漏送利用方式在「攻擊載荷的構造」與「實際解壓路徑」方面較有代表性，業界對「不安全解壓」漏洞的關注度仍不夠。因此我們編寫了這篇報告，在報告中講解了入侵溯源與漏洞發現的過程，並從安全開發和安全狗產品防護方案兩個維度提出了一些安全建議，希望對行業有所補益。值得注意的是，雖然該CMS已經做了相關防禦配置，若在CMS的根目錄下直接寫入JSP檔是無法執行的，會報403錯誤

安全 1085 2023-05-12 11:19:11