第 46 頁-網頁伺服器安全_網站安全防護教學-PHP中文網

目前位置：首頁 > 科技文章 > 運維 > 安全

方向：: 全部網路3.0 後端開發 web前端資料庫運維開發工具 php框架每日程式設計微信小程式常見問題其他科技 CMS教程 Java 系統教程電腦教學硬體教學手機教學軟體教學手遊教學

分類：: phpstudy windows維 Mac OS linux運維 Apache Nginx CentOS Docker 安全 LVS vagrant debian zabbix kubernetes ssh fabric

最熱

最新

如何分析SQLMap與SQLi注入防禦

第一部分:Sqlmap使用1.1sqlmap介紹1.前邊說了一些sql注入的基礎語句,但是手工注入很麻煩,我們可以藉助sqlmap這個強大的sql注入工具,進行數據的獲取.2.sqlmap介紹(1)# sqlmap是一種開源的滲透測試工具，可自動偵測並利用SQL注入漏洞以及連接到該資料庫的伺服器。它擁有非常強大的檢測引擎、具有多種特性的滲透測試器、透過資料庫指紋提取存取底層檔案系統並透過外帶連接執行命令。官方網站:sqlmap.org(2)#支援的資料庫：MySQL，Oracle,PostgreS

安全 1050 2023-05-11 18:37:06
Web安全測試知識點有哪些

什麼是安全測試？安全測試就是要提供證據表明，在面對敵意和惡意輸入的時候，應用仍然能夠充分的滿足它的需求。 a.如何提供證據？我們透過一組失敗的安全測試案例執行結果來證明web應用程式不符合安全需求。 b.如何看待安全測試的需求？與功能測試相比，安全測試更依賴需求，因為它有更多可能的輸入和輸出可供篩選。真正的軟體安全其實指的是風險管理，也就是我們確保軟體的安全程度符合業務需求即可。如何進行安全測試？基於常見攻擊和漏洞並結合實際添加安全測試案例，就是如何將安全測試變為日常功能測試中簡單和普通的一部分的方

安全 1347 2023-05-11 18:34:06
如何簡單繞過人機身份驗證Captcha

今天分享的Writeup是作者在目標網站漏洞測試中發現的一種簡單的人機身份驗證（Captcha）繞過方法，利用Chrome開發者工具對目標網站登錄頁面進行了簡單的元素編輯就實現了Captcha繞過。人機驗證（Captcha）通常會出現在網站的註冊、登入和密碼重設頁面，以下是目標網站在登入頁面中佈置的Captcha機制。從上圖可以看到，使用者只有在勾選了Captcha驗證機制的「I‘mnotarobot」之後，登入按鈕（Sign-IN）才會啟用顯示以供使用者點擊。因此，基於這一點，我右鍵點擊了Si

安全 5714 2023-05-11 17:55:12
IPv4至IPv6演進的實施路徑是什麼

IPv4至IPv6改造的技術模型業界對IPv4至IPv6改造過度提供三種解決方案，分別為雙堆疊技術模式、隧道技術模式、位址轉換模式。 1.雙堆疊技術模式：在同一個網路上運行兩個彼此獨立的平面：一個IPv4網路平面，一個IPv6網路平面，各自維護自己的IGP/EGP狀態及路由。在這種模式下，IPv4和IPv6共存，既不影響現有IPv4業務，也可以滿足IPv6的新需求。但這種模式下實施成本較高，一是需要全網的網路設備支持，二是全網設備IGP/EGP調整工作難度較大，如果僅在小範圍內實施，這是比較好的選擇模

安全 1667 2023-05-11 17:52:13
怎麼分析Facebook Ads廣告業務API介面的源碼外洩漏洞

發現漏洞一個多月後，我發現了一個有FacebookAds廣告業務系統API中的漏洞。存在漏洞的API是一個圖片處理接口，它用於Facebook商家帳戶上傳廣告圖片，上傳的圖片會儲存在一個名為“/adimages”的目錄下，並用base64格式編碼。所以，我的測試構想是，在這裡的機制中，可以向上傳圖片中註入惡意Payload，經API轉換為Base64格式後，再被Facebook傳入伺服器中。以下為上傳圖片的POST請求：POST/v2.10/act_123456789/adimagesHTT

安全 1425 2023-05-11 17:40:13
XML外部實體注入漏洞的範例分析

一、XML外部實體注入XML外部實體注入漏洞也就是我們常說的XXE漏洞。 XML作為一種使用較廣泛的資料傳輸格式，許多應用程式都包含有處理xml資料的程式碼，預設情況下，許多過時的或配置不當的XML處理器都會對外部實體進行引用。如果攻擊者可以上傳XML文件或在XML文件中添加惡意內容，透過易受攻擊的程式碼、依賴項或集成，就能夠攻擊包含缺陷的XML處理器。 XXE漏洞的出現和開發語言無關，只要是應用程式中對xml資料做了解析，而這些資料又受使用者控制，那麼應用程式都可能受到XXE攻擊。本篇文章以java

安全 2187 2023-05-11 16:55:12
遠端程式碼執行漏洞實例分析

0x01認識mongo-expressmongo-express是一個MongoDB的AdminWeb管理介面，使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應該是Github上Star最多的MongoDBadmin管理介面。部署方便，使用簡單，成為了許多人管理mongo的選擇。 0x02調試環境搭建0x1啟動docker服務閱讀官方GitHub的安全公告，我們發現漏洞影響0.54.0以下的所有版本。選擇以0.49為例進行測試，由於此漏洞環境仍需M

安全 1556 2023-05-11 16:46:06
Gogs任意使用者登入漏洞實例分析

一、漏洞背景Gogs是一款類似GitHub的開源檔案/程式碼管理系統（基於Git），Gogs的目標是打造一個最簡單、最快速、最輕鬆的方式來建立自助Git服務。使用Go語言開發使得Gogs能夠透過獨立的二進位分發，並且支援Go語言支援的所有平台，包括Linux、MacOSX、Windows以及ARM平台。二、漏洞描述gogs是一款極易搭建的自助Git服務平台，具有易於安裝、跨平台、輕量級等特點，使用者眾多。其0.11.66及以前版本中，（go-macaron/session函式庫）並沒有對sessionid進

安全 2389 2023-05-11 16:43:06
反彈shell是什麼意思

*嚴正聲明：本文僅限於技術討論與分享，嚴禁用於非法途徑。 0x00前言反彈shell，就是控制端監聽在某TCP/UDP端口，被控端發起請求到該端口，並將其命令列的輸入輸出轉到控制端。通俗點說，反彈shell就是一種反向鏈接，與正向的ssh等不同，它是在對方電腦執行命令連接到我方的攻擊模式，並且這種攻擊模式必須搭配遠程執行命令漏洞來使用。為什麼要反彈shell?通常用來被控端因防火牆受限、權限不足、連接埠被佔用等情形。假設我們攻擊了一台機器，打開了該機器的一個端口，攻擊者在自己的機器去連接目標機器，這

安全 6762 2023-05-11 16:25:20
真實面經分享：「度小滿」的資安工程師

這篇文章給大家分享我在面試度小滿資安工程師（金融安全部）時都被問了哪些問題，總共經歷了一面、二面、三面，下面一起來看一下吧，希望對有需要的朋友有所幫助~

安全 1950 2023-01-12 14:30:38
透過QUIC協議，來看看怎麼學習網路協議

這篇文章帶大家了解QUIC協議，並以QUIC協議為例，來聊聊如何學習網路協議，希望對大家有幫助！

安全 3294 2022-03-01 10:09:02
session一致性設計

session一致性什麼是sessionweb-server可以自動為同一個瀏覽器的存取使用者自動建立session，提供儲存功能。一般把使用者登入資訊存到session中。什麼是session一致性問題當後端只有一台web-server的時候，每次http請求，都能找到正確的session。問題是不能滿足高可用，一台server掛了就完蛋了。冗餘+故障轉移，部署多台web-server，nginx路...

安全 195 2021-06-26 15:54:56
介紹幾種常用的web安全認證方式

本文為大家介紹了五種常用的web安全認證方式，具有一定的參考價值，希望能對大家有幫助。

安全 7037 2021-03-15 10:40:55
如何保證web安全

網路發展初期，那還是IE瀏覽器的時代，那時大家上網的目的就是透過瀏覽器分享資訊、取得新聞。隨著網路的快速發展，網頁能做的事情越來越多，不僅可以看新聞、玩遊戲，還能購物、聊天，這些功能都大大豐富了我們的生活。

安全 4215 2021-03-09 09:51:38
分享幾個常見web安全隱憂的解決方法

web伺服器安全：本文為大家分享了幾種常見web安全隱患的解決方法，具有一定的參考價值，希望能對大家有幫助。

安全 4273 2021-03-01 10:44:49