第 44 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: Mac OS linux運維 Apache Nginx CentOS Docker LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

誤用html entities函數引發的漏洞怎麼解決

題目程式碼如下：漏洞解析：根據題目意思，這裡考察的應該是xss漏洞，漏洞觸發點應該在程式碼中的第13-14行。這兩行程式碼的作用是直接輸出一個html的標籤。程式碼中的第3-5行，foreach迴圈對$_GET傳入的參數進行了處理，但這裡有個問題。我們看下第四行的程式碼，這行程式碼針對$value進行型別轉換，強制變成int型別。但這部分程式碼只處理了$value變量，沒針對$key變數進行處理。經過了第3-5行的程式碼處理之後，依照&這個符號進行分割，然後拼接到第13行的echo語句中，在輸出的

安全 1900 2023-05-12 14:13:42
如何進行IPsec設定說明

實驗配置步驟:第一階段:iaskmpSA（IKESA要保護的對像是與密鑰有關的）IKE並不直接關心用戶的數據，並且IKESA是為安全協商IPSecSA服務的1、共享密鑰或數位證書IKE採用了Diffie-Hellman演算法、金鑰透過對等體推算出自己的金鑰group1金鑰長度為768bitgroup2金鑰長度為1024bitgroup5金鑰長度為1536bit用於資料加密的金鑰的值是靠演算法計算出來的，是不能由管理員定義和修改的2、驗證鄰居（建立鄰居）第二階段:IPsecSA（使用者的資料流量真正是在

安全 3532 2023-05-12 14:13:13
MaxCompute存取控制整體架構是怎麼樣的

基本術語project：專案空間，MaxCompute提供給使用者自助管理的基本單元。存取控制：檢查一個請求是否可信且合法。 ACL：存取控制列表，一種授權的表達方式。 Policy：基於規則的一種授權表達方式。 Role：權限的集合，用來實作基於角色的權限管理方式。 LabelSecurity：基於標籤的存取控制，用於實現列層級的權限管理。 ProjectProtection：專案空間保護，用於開啟資料流向存取控制。 TruestedProject：信任的專案空間，用於專案空間資料流向存取控制授權。 Exce

安全 1615 2023-05-12 13:22:06
VLAN訊框格式指的是什麼

Type/TPID：取值為0x8100時表示802.1QTag幀；此欄位又稱為「TPID(TagProtocolIdentifier，標籤協定標識)」PRI：表示幀的優先權，取值範圍為0～7，值越大優先權越高CFI：CanonicalFormatIndicator經典格式指示符，表示MAC位址是否為經典格式，CFI為0說明是標準格式，CFI為1表示為非標準格式，乙太網路的CFI值為0VID：可設定的VLANID取值範圍為1～4094。0和4095協定中規定為保留的VLANID

安全 2397 2023-05-12 12:52:22
sqlmap _dns注入配置方法是什麼

網路上針對sqlmap進行dns注入的相關文章太少，只是簡單介紹了下--dns-domain參數，相關的實戰文章要么就寫的模糊或者一筆帶過，搞的雲裡霧裡（主要是菜，關鍵還沒大佬帶）。然後自己參考網路上的方法自己重新搞了一遍。需要準備的東西，sqlmap、windows盲註一個、兩個網域、一台外網伺服器。某次搞事情的時候碰到一個時間盲注，剛好是台windows的，想起dns注入的方法。在開始前我準備先用sqlmap的--sql-shell指令進行dns注入payload的測試先到burpsuite中的

安全 1606 2023-05-12 12:25:06
如何實作sqlmap time-based inject的分析

1.前言sql注入如何檢測的？我的回答是：在甲方做安全，sql注入偵測還是比較好做的。 1)報錯注入檢測。 2)別做bool的報錯注入，誤報比較高。 3)做基於time-based的時間注入，聯繫運維做上慢日誌db記錄，監控sleep，benchmark的關鍵字監控，可以在sleep的時間小數點上加上掃描任務的id號，方便定位。 (p.s.這種方法能找到99%的sql注入了)因此，在做基於time-based的時間注入時，我把時間誤差限制的非常苛刻。但是，@chengable在乙方做安全相關工作，基於t

安全 1020 2023-05-12 12:10:06
由追蹤溯源發現的不安全解壓縮GetShell實例分析

近日我們幫助某客戶追蹤溯源一例入侵事件時，發現駭客在取得伺服器權限之前利用網站的「ZIP解壓縮功能」上傳了Webshell。由於這次的漏送利用方式在「攻擊載荷的構造」與「實際解壓路徑」方面較有代表性，業界對「不安全解壓」漏洞的關注度仍不夠。因此我們編寫了這篇報告，在報告中講解了入侵溯源與漏洞發現的過程，並從安全開發和安全狗產品防護方案兩個維度提出了一些安全建議，希望對行業有所補益。值得注意的是，雖然該CMS已經做了相關防禦配置，若在CMS的根目錄下直接寫入JSP檔是無法執行的，會報403錯誤

安全 1264 2023-05-12 11:19:11
怎樣進行Apache的配置

Apache的設定由httpd.conf檔配置，因此下面的設定指令都是在httpd.conf檔中修改。主網站的設定(基本設定)(1)基本設定:ServerRoot"/mnt/software/apache2"#你的apache軟體安裝的位置。其它指定的目錄如果沒有指定絕對路徑，則目錄是相對於該目錄。 PidFilelogs/httpd.pid#第一個httpd行程(所有其他行程的父行程)的行程號碼檔案位置。 Listen80#伺服器監聽的連接埠號碼。 ServerNamewww.cl

安全 1117 2023-05-12 11:13:19
乙太網路採用的基本拓樸結構是什麼

乙太網路的拓樸結構是「匯流排型」；乙太網路採用的拓樸結構基本上是匯流排型，匯流排拓撲使用單根電纜幹線作為公共傳輸介質，透過對應的硬體介面和纜線將網路中的所有電腦直接連接到共享總線；總線拓撲需要確保最終發送資料時沒有衝突。乙太網路的拓樸結構是什麼？乙太網路的拓樸結構是「總線型」。乙太網路採用的拓撲結構基本上是匯流排型，匯流排拓撲使用單根電纜幹線作為公共傳輸介質，透過對應的硬體介面和電纜將網路中的所有電腦直接連接到共用匯流排；匯流排拓撲需要確保最終發送資料時沒有衝突。乙太網路是現實世界中最普遍的一種電腦網路。乙太網路有兩類：

安全 2604 2023-05-12 10:52:12
如何進行crawlergo、rad、burpsuite和awvs爬蟲的對比

前言最近在寫程式碼，涉及了web爬取連結的方面，在百度過程中了解到了這篇文章：superSpider,突然就好奇平時常見的爬蟲工具和掃描器裡的爬蟲模組能力如何，所以來測試下。主要測試1個自己手寫的瞎眼爬蟲，還有crawlergo、rad、burpsuiteprov202012、awvs2019一手寫的基準爬蟲只抓取a標籤下的href和script標籤下的src；fromurllib.parseimporturlparse,urljoinombs4importBeauSofulfuls4importBeauSofulfulup6up

安全 1666 2023-05-12 10:49:13
如何使用exp進行SQL錯誤注入

0x01前言概述小編又在MySQL中發現了一個Double型資料溢位。當我們拿到MySQL裡的函數時，小編比較有興趣的是其中的數學函數，它們也應該包含一些資料型態來保存數值。所以小編就跑去測試看哪些函數會出現溢位錯誤。然後小編發現，當傳遞一個大於709的值時，函數exp()就會造成一個溢位錯誤。 mysql>selectexp(709);+-----------------------+|exp(709)|+----------- ------------+|8.218407461554972

安全 2126 2023-05-12 10:16:12
未啟用dhcp指的是什麼

未啟用dhcp的意思是指電腦未設定IP位址自動獲取，造成上網錯誤，其解決方法：1、按組合鍵「win+r」開啟運行窗口，輸入「services.msc」並回車；2、在調出服務視窗後，找到「DHCPClient」服務並雙擊將其開啟；3、開啟dhcp服務後，將其啟用類型改為自動，服務狀態改為已啟動，然後按確定儲存設定即可。未啟用dhcp什麼意思？意思是電腦未設定IP位址自動獲取，造成上網錯誤。 DHCP（動態主機設定協定）是一個區域網路的網路協定。指的是伺服器控制一段IP位址範圍，客戶端登入伺服器時就可

安全 6832 2023-05-12 10:16:05
如何分析繞過Tumblr用戶註冊過程中的reCAPTCHA驗證

大家好，以下分享的writeup是作者透過在Tumblr用戶註冊過程中，發現Tumblr的「人機身分驗證」機制（reCAPTCHA）有缺陷，可輕鬆繞過。這種繞過形成的安全風險是惡意攻擊者可進行大量虛假社交帳戶創建、進行針對帳戶的使用者名稱和郵箱枚舉，間接導致Tumblr網站應用程式出現流量異常甚至用戶資訊外洩。我對漏洞眾測的理解和經驗分享去年6月16日，HackerOne在倫敦舉辦的黑客馬拉松大賽中，為發現漏洞支付的賞金有超過了8萬多美金。漏洞眾測確實是個未來可期的產業，對眾測平台來說，有組織給賞金

安全 2110 2023-05-12 10:04:11
如何進行XXL-JOB API介面未授權存取RCE漏洞復現

XXL-JOB描述XXL-JOB是一個輕量級分散式任務調度平台，其核心設計目標是開發快速、學習簡單、輕量級、易擴展。現已開放原始碼並接入多家公司線上產品線，開箱即用。一、漏洞詳情此次漏洞核心問題是GLUE模式。 XXL-JOB透過「GLUE模式」支援多語言以及腳本任務，此模式任務特點如下：●多語言支援：支援Java、Shell、Python、NodeJS、PHP、PowerShell…等類型。 ●WebIDE：任務以原始碼方式維護在調度中心，支援透過WebIDE線上開發、維護。 ●動態生效：使用者在線通

安全 5750 2023-05-12 09:37:05
如何進行關閉iis錯誤頁面顯示詳細內容的安全性配置

為web安全，防止***透過web錯誤頁面資訊取得有用訊息，關閉iis錯誤頁面顯示詳細內容1.開啟iis功能視圖，開啟錯誤頁點選編輯功能設定預設為詳細錯誤選擇自訂錯誤

安全 1821 2023-05-12 09:28:13