第 46 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: Mac OS linux運維 Apache Nginx CentOS Docker LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

javascript的連字符如何使用

說明1、使用連字號(-)匹配字元的範圍不限於字母。也可以匹配一系列數字。 2、可以在單一字元集中組合一系列字母和數字。在=字元集中，連字符（-）能夠定義要匹配的字元範圍。實例要求符合字串quoteSample中的所有字母。注意：一定要同時符合大小寫字母。 letquoteSample="Thequickbrownfoxjumpsoverthelazydog.";letalphabetRegex=/change/;//修改這一行letresult=alphabetRegex;/

安全 1624 2023-05-11 20:55:04
Web Application核心防禦機制是什麼

為防止惡意輸入，應用程式實施了大量的安全機制，而這些安全機制在概念上都具有相似性。這些安全機制由以下幾個面向組成：1、處理使用者存取web應用程式的資料與功能（防止未授權存取）2、處理使用者對web應用程式功能輸入的資料（防止建構惡意資料）3、因應攻擊（處理預料外的報錯、自動阻止明顯的攻擊、自動向管理員發送警報、維護程序的訪問日誌）4、管理與維護應用程式處理訪問通常一個應用程式的用戶有不同類型如，普通用戶、登錄驗證使用者、管理員。對不同使用者web應用程式給予不同的權限，他們只能存取不同的資料與功能。 w

安全 1098 2023-05-11 20:46:19
廣域網路,城域網路,區域網路是怎麼劃分的

廣域網路、城域網路和區域網路的劃分依據是「覆蓋範圍」。區域網路的覆蓋範圍一般是方圓幾千公尺之內，其具備的安裝便捷、成本節約、擴展方便等特點使其在各類辦公室內運用廣泛。廣域網路是連接不同地區區域網路或城域網路電腦通訊的遠端網，所涵蓋的範圍從幾十公里到數千公里。城域網路是在一個城市範圍內所建立的電腦通訊網路。電腦網路分為廣域網路、城域網路和區域網，其劃分的主要依據是：網路的角色（覆蓋）範圍。電腦網路是指將地理位置不同的具有獨立功能的多台電腦及其外部設備，透過通訊線路連接起來，在網路作業系統，網路管理軟體及網路通訊

安全 5103 2023-05-11 20:19:18
CNNVD關於Apache Struts2 S2-057安全漏洞狀況的通報範例分析

目前，Apache官方已經發布了版本更新修復了漏洞。建議使用者及時確認ApacheStruts產品版本，如受影響，請及時採取修補措施。一、漏洞介紹ApacheStruts2是美國阿帕契（Apache）軟體基金會下屬的Jakarta專案中的子項目，是基於MVC設計的Web應用架構。 2018年8月22日，Apache官方發布了ApacheStruts2S2-057安全漏洞（CNNVD-201808-740、CVE-2018-11776）。當在struts2開發框架中啟用泛namespace功

安全 1150 2023-05-11 20:04:12
Turla如何利用水坑攻擊植入後門

目標網站Turla至少破壞了四個Armenian網站，其中包括兩個政府網站。因此，目標可能包括政府官員和政客。以下網站入侵：armconsul[.]ru：俄羅斯亞美尼亞大使館領事處mnp.nkr[.]am：Artsakh共和國自然保護和自然資源部aiisa[.]am：亞美尼亞國際和安全事務研究所adgf[. ]am：亞美尼亞存款擔保基金這些網站至少從2019年初就遭到了入侵。 Turla利用非法存取向網站插入惡意JavaScript程式碼。例如，對於mnp.nkr[.]am，在jquery-mi

安全 1689 2023-05-11 20:04:04
如何分析nrpe監控的物件和閥值部分

nrpe監控物件與閥值：監控物件監控閥值主機資源主機存活：check_ping-w3000.0,80%-c5000.0,100%-p5(3000毫秒回應時間內，丟包率超過80%報警告，5000毫秒回應時間內，丟包率超過100%報危急，總共發送5個包）登入用戶：check_user-w5-c10(w為警告，c為危急)系統負載：check_load-w15,10,5-c30,25 ,20(1分鐘，5分鐘，15分鐘大於對應的等待進程數則警告或危急)磁碟佔用率：check_disk-w20%-c10%-p

安全 1426 2023-05-11 19:31:04
如何分析OSPF中224.0.0.5和 224.0.0.6兩個位址的具體差異

224.0.0.6指涉一個多路存取網路中DR和BDR的組播接收位址，224.0.0.5指涉在任意網路中所有運行OSPF進程的介面都屬於該群組，於是接收所有224.0.0.5的組播資料包。重點理解好屬於某一組和接收怎樣的組播資料包，例如DR/BDR屬於組播位址為224.0.0.6的群組（Group），因此它接收目的位址為224.0.0.6的組播封包，也就可以理解為何多路存取透過設定DR/BDR可以防止資訊過多處理（因為屬於某組的接收者（指OSPF介面），只會剝離到二層，而不會進一步處理，也就省去了很

安全 2935 2023-05-11 19:04:18
如何分析SQLMap與SQLi注入防禦

第一部分:Sqlmap使用1.1sqlmap介紹1.前邊說了一些sql注入的基礎語句,但是手工注入很麻煩,我們可以藉助sqlmap這個強大的sql注入工具,進行數據的獲取.2.sqlmap介紹(1)# sqlmap是一種開源的滲透測試工具，可自動偵測並利用SQL注入漏洞以及連接到該資料庫的伺服器。它擁有非常強大的檢測引擎、具有多種特性的滲透測試器、透過資料庫指紋提取存取底層檔案系統並透過外帶連接執行命令。官方網站:sqlmap.org(2)#支援的資料庫：MySQL，Oracle,PostgreS

安全 1433 2023-05-11 18:37:06
Web安全測試知識點有哪些

什麼是安全測試？安全測試就是要提供證據表明，在面對敵意和惡意輸入的時候，應用仍然能夠充分的滿足它的需求。 a.如何提供證據？我們透過一組失敗的安全測試案例執行結果來證明web應用程式不符合安全需求。 b.如何看待安全測試的需求？與功能測試相比，安全測試更依賴需求，因為它有更多可能的輸入和輸出可供篩選。真正的軟體安全其實指的是風險管理，也就是我們確保軟體的安全程度符合業務需求即可。如何進行安全測試？基於常見攻擊和漏洞並結合實際添加安全測試案例，就是如何將安全測試變為日常功能測試中簡單和普通的一部分的方

安全 1503 2023-05-11 18:34:06
如何簡單繞過人機身份驗證Captcha

今天分享的Writeup是作者在目標網站漏洞測試中發現的一種簡單的人機身份驗證（Captcha）繞過方法，利用Chrome開發者工具對目標網站登錄頁面進行了簡單的元素編輯就實現了Captcha繞過。人機驗證（Captcha）通常會出現在網站的註冊、登入和密碼重設頁面，以下是目標網站在登入頁面中佈置的Captcha機制。從上圖可以看到，使用者只有在勾選了Captcha驗證機制的「I‘mnotarobot」之後，登入按鈕（Sign-IN）才會啟用顯示以供使用者點擊。因此，基於這一點，我右鍵點擊了Si

安全 6147 2023-05-11 17:55:12
IPv4至IPv6演進的實施路徑是什麼

IPv4至IPv6改造的技術模型業界對IPv4至IPv6改造過度提供三種解決方案，分別為雙堆疊技術模式、隧道技術模式、位址轉換模式。 1.雙堆疊技術模式：在同一個網路上運行兩個彼此獨立的平面：一個IPv4網路平面，一個IPv6網路平面，各自維護自己的IGP/EGP狀態及路由。在這種模式下，IPv4和IPv6共存，既不影響現有IPv4業務，也可以滿足IPv6的新需求。但這種模式下實施成本較高，一是需要全網的網路設備支持，二是全網設備IGP/EGP調整工作難度較大，如果僅在小範圍內實施，這是比較好的選擇模

安全 1831 2023-05-11 17:52:13
怎麼分析Facebook Ads廣告業務API介面的源碼外洩漏洞

發現漏洞一個多月後，我發現了一個有FacebookAds廣告業務系統API中的漏洞。存在漏洞的API是一個圖片處理接口，它用於Facebook商家帳戶上傳廣告圖片，上傳的圖片會儲存在一個名為“/adimages”的目錄下，並用base64格式編碼。所以，我的測試構想是，在這裡的機制中，可以向上傳圖片中註入惡意Payload，經API轉換為Base64格式後，再被Facebook傳入伺服器中。以下為上傳圖片的POST請求：POST/v2.10/act_123456789/adimagesHTT

安全 1649 2023-05-11 17:40:13
XML外部實體注入漏洞的範例分析

一、XML外部實體注入XML外部實體注入漏洞也就是我們常說的XXE漏洞。 XML作為一種使用較廣泛的資料傳輸格式，許多應用程式都包含有處理xml資料的程式碼，預設情況下，許多過時的或配置不當的XML處理器都會對外部實體進行引用。如果攻擊者可以上傳XML文件或在XML文件中添加惡意內容，透過易受攻擊的程式碼、依賴項或集成，就能夠攻擊包含缺陷的XML處理器。 XXE漏洞的出現和開發語言無關，只要是應用程式中對xml資料做了解析，而這些資料又受使用者控制，那麼應用程式都可能受到XXE攻擊。本篇文章以java

安全 2714 2023-05-11 16:55:12
遠端程式碼執行漏洞實例分析

0x01認識mongo-expressmongo-express是一個MongoDB的AdminWeb管理介面，使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應該是Github上Star最多的MongoDBadmin管理介面。部署方便，使用簡單，成為了許多人管理mongo的選擇。 0x02調試環境搭建0x1啟動docker服務閱讀官方GitHub的安全公告，我們發現漏洞影響0.54.0以下的所有版本。選擇以0.49為例進行測試，由於此漏洞環境仍需M

安全 1699 2023-05-11 16:46:06
Gogs任意使用者登入漏洞實例分析

一、漏洞背景Gogs是一款類似GitHub的開源檔案/程式碼管理系統（基於Git），Gogs的目標是打造一個最簡單、最快速、最輕鬆的方式來建立自助Git服務。使用Go語言開發使得Gogs能夠透過獨立的二進位分發，並且支援Go語言支援的所有平台，包括Linux、MacOSX、Windows以及ARM平台。二、漏洞描述gogs是一款極易搭建的自助Git服務平台，具有易於安裝、跨平台、輕量級等特點，使用者眾多。其0.11.66及以前版本中，（go-macaron/session函式庫）並沒有對sessionid進

安全 2695 2023-05-11 16:43:06