第 41 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架每日程式設計微信小程式常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: phpstudy windows維 Mac OS linux運維 Apache Nginx CentOS Docker 安全 LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

Sqlmap自動化注入的範例分析

使用sqlmap對dvwa進行自動化注入設定dvwa等級為low開啟dvwa的SQLInjection（SQLInjection(Blind）），開啟瀏覽器調試，輸入userid並submit，查看攔截到的請求。可以看到是一個GET請求，url「http://192.168.1.222:8089/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#」我們直接放到salmap測試一下，用-u指令-u"http ://192.168.1.22

安全 1166 2023-05-13 15:31:13
win10遠端桌面連線指令怎麼使用

一、開啟本地的遠端桌面透過遠端桌面連接，使用者在家中就可以輕鬆控制公司或其他場所的計算機，這樣當使用者想使用公司電腦的某些功能時在家就可以了，當然公司的電腦不能關閉，而且還需要開啟遠端連線功能。如果使用者想要連接某台遠端計算機，則需要該計算機開啟遠端連線功能，並設定遠端連線的用戶，設定方法如下。 1、開啟控制面板，並在彈出的視窗中點選「系統」指令。 2、點選「遠端設定」文字連結。在開啟的「系統」視窗中，按一下視窗左側的「遠端設定」文字連結。 3、點選「選擇使用者」按鈕。在彈出的「系統屬性」對話框的「遠端」選

安全 2288 2023-05-13 14:31:06
Javascript怎麼實作陣列去重

陣列去重1、from()疊加newSet()方法字串或數值型陣列的去重可以直接使用from方法。 varplants=['Saturn','Earth','Uranus','Mercury','Venus','Earth','Mars','Jupiter&am

安全 1467 2023-05-13 14:07:26
怎樣進行AppleJeus行動分析

Lazarus組織是目前最活躍的APT組織之一。 2018年，卡巴斯基針發現由該組織發動的名為AppleJeus的攻擊行動。該行動是Lazarus首次針對macOS用戶的攻擊，為了攻擊macOS用戶，Lazarus開發了macOS惡意軟體並添加身份驗證機制，其可以非常仔細謹慎的下載後一階段的有效負載，並在不落盤的情況下加載下一階段的有效負載。為了攻擊Windows用戶，他們制定了多階段感染程序。在「AppleJeus」行動分析發布後，Lazarus在進行攻擊時變得更加謹慎，採用了更多多方法來避免被

安全 2984 2023-05-13 13:58:13
如何分析APK安全及自動化審計

一、閒聊說到行動安全，可能大家比較陌生，因為這方面的研究是在最近幾年才逐漸火起來的。那什麼是行動安全呢？首先，我們知道，行動安全無非是ios平台和安卓平台上的一些安全性的問題，包括平台系統系統本身的一些問題和應用層面上的問題。當然在客戶端和服務端在進行互動的時候還需要涉及一些通訊協議，主要是http及https協議，當然還有一些其他的協議，像是websocket等等。這些協定本身的缺陷我們就不做過多的關注了，我們需要關注的是資料包在傳輸的過程中是否有進行必要的加密，服務端是否有對使用者的操作權

安全 1040 2023-05-13 12:07:05
ZipperDown漏洞怎麼解決

針對ZipperDown安全漏洞的攻擊條件：1.App用了ZipArchive2、App下發的某個zip包傳輸過程沒加密，zip包也沒加密3、App使用了JSPatch或其他執行引擎，且本地腳本沒有加密，只要把腳本放指定目錄即可執行，且未對本地腳本進行合法性驗證4、用戶連接不可靠WIFI熱點進行網絡通信針對此漏洞的規避方法；開發者自身規避方法：1、對SSZipArchive庫進行修復，在unzipFileAtPath解壓縮函數中，對可能造成目錄穿越的”../”字串時進行攔截。 2、客戶端與服務端通

安全 1047 2023-05-13 11:55:21
vCenter Server及主機管理該如何理解

vCenterServer及主機管理一vCenterServer的連線使用vSphereClient連接至vCenterServer時，可管理vCenterServer及其管理的所有主機及虛擬機器1執行VMwarevSphereClient本機以管理員身分登入；輸入IP位址或vCenterServer位址或vCenterServer位址名稱；輸入Windows管理員使用者名稱；；輸入Windows管理員密碼2安裝後首次連線到vCenterServer時，清單中沒有任何物件二主機管理建立資料中心：相當於一個容器，同一個資料中心的主機可以做

安全 883 2023-05-13 11:49:13
百度地圖使用到的javascript函數是什麼

javascript開發之百度地圖使用到的js函數整理//創建和初始化地圖函數：functioninitMap(){createMap();//創建地圖setMapEvent();//設定地圖事件addMapControl();//向地圖添加控件addMarker();//在地圖中加入marker}//建立地圖函數：functioncreateMap(){varmap=newBMap.Map("container");//在百度地圖容器中建立一個地圖varpoint=newB

安全 1568 2023-05-13 11:40:06
mesh組網和無線橋接的差異有哪些

一、組網模式1、無線橋接是點對點或是點對多點組網通訊，主要是以定向傳輸為主。 2、mesh是所有裝置在無線網路的地位對等，任何一個網路節點都可以接取有線網路。二、距離1、無線橋接是以固定點監控為主，依不同的場景選擇不同的天線選型。 2.mesh的特色就是部署非常的靈活，Mesh自組網設備配合使用的天線主要是全向性天線為主，可以快速建立系統，三、傳輸速率1、橋接的設計傳輸速率主要300Mbps、866Mbps兩種規格2、天線的配置上主要是全向天線為主，衰減比較大。因此速率對比傳統網橋不明顯。四、通

安全 7479 2023-05-13 11:37:05
Struts2-052漏洞範例分析

前言2017年9月5日，由國外安全研究組織lgtm.com的安全研究人員發現的嚴重漏洞在ApacheStruts2官方發布，漏洞編號為CVE-2017-9805（S2-052）,攻擊者可以傳入精心構造的xml數據，遠端命令執行。 Struts2REST外掛程式的XStream元件有反序列化漏洞，使用XStream元件對XML格式的封包進行反序列化操作時，未對資料內容進行有效驗證，且有安全隱患，可遠端指令執行。利用條件：使用REST插件並在受影響版本範圍內。利用方式：攻擊者建構惡意資料包遠端利用。

安全 1335 2023-05-13 11:25:06
unity發佈出來的安卓apk該如何加密

Unity3D程式的安全問題程式碼安全問題Unity3D程式的核心組件檔案Assembly-CSharp.dll是標準的.NET檔案格式，附帶了方法名稱、類別名稱、類型定義等豐富的元資料訊息，使用DnSpy等工具可以輕易地將其反編譯和篡改，程式碼邏輯、類別名稱和方法名等一覽無餘。程式碼邏輯一但被反編譯，很容易滋生各種類型的外掛，破壞遊戲平衡，如果程式碼邏輯中存在漏洞，也容易被挖掘和利用，可能對開發商造成無法預料的損失。資源安全性問題Unity3D程式在編譯打包階段會透過Unity編輯器將資源打包成AssetBun

安全 1578 2023-05-13 11:10:22
PowerShell滲透測試利器Nishang怎麼用

初始PowerShell，首先我們先來了解概念：PowerShell可以當做是cmd(bat腳本語言)的升級版，它是Windows平台上的腳本語言。是面向對象，是和.NetFrameWork密切相關的。也可以認為是Windows上的bashshell。 WindowsPowerShell是一種命令列外殼程式和腳本環境，可讓命令列使用者和腳本編寫者利用.NETFramework的強大功能。它引入了許多非常有用的新概念，從而進一步擴展了您在Windows命令提示字元和WindowsHost環境中獲得

安全 1208 2023-05-13 10:58:20
從XML到遠端程式碼執行的方法是什麼

什麼是XXE簡單來說，XXE就是XML外部實體注入。當允許引用外部實體時，透過建構惡意內容，就可能導致任意檔案讀取、系統指令執行、內網連接埠探測、攻擊內網網站等危害。例如，如果你目前使用的程式為PHP，則可以將libxml_disable_entity_loader設定為TRUE來停用外部實體，從而起到防禦的目的。基本利用通常攻擊者會將payload注入XML文件中，一旦文件被執行，將會讀取伺服器上的本機文件，並對內網發動存取掃描內部網路連接埠。換而言之，XXE是一種從本地到達各種服務的方法。此外，

安全 1288 2023-05-13 10:04:21
如何進行bee-box LDAP注入的靶場練習

如果說sql注入的本質是拼接字串的話，那麼一切可以注入的本質都是拼接字串，LDAP注入作為注入的一種也不例外，更有趣一點的說它是在拼接圓括號（sql注入也拼接圓括號，但是更習慣的是說它拼接字串）。在環境配置篇裡面已經很詳細的說了bee-box中ldap環境的配置，靶場練習篇更多的是php與ldap的連接過程，中間使用的特殊函數介紹以及圓括號拼接的一些技巧。以下先說一下bwapp中ldap靶場的登入流程：首先這是一個LDAP的登入介面，URL是http://192.168.3.184/bW

安全 1645 2023-05-13 09:49:05
如何進行繞過WTS-WAF的分析

0x01.尋找目標inurl:.php?id=intext:電器找到了一個電器公司的網站，隨便測了測，發現有waf這還不安排（找了點資料，貌似直接加號代替空格就可以，直接嘗試）0x02.操作發現沒有waf攔截了資料還說了sqlmap.py-uhttp://*/*.php?id=29--tables--tamperspace2plus.py工具我嘗試了發現無法開始就這樣子. .....0x03.手註http://*/*.php?id=1+and+1=1#回顯正常http://*/*.php?id=1

安全 1993 2023-05-13 09:40:12