第 46 页-web服务器安全_网站安全防护教程-PHP中文网

当前位置：首页 > 技术文章 > 运维 > 安全

方向：: 全部网络3.0 后端开发 web前端数据库运维开发工具 php框架每日编程微信小程序常见问题其他科技 CMS教程 Java 系统教程电脑教程硬件教程手机教程软件教程手游教程

分类：: php研究 windows运维苹果系统 linux运维 Apache nginx CentOS Docker 安全 LVS 流浪汉德比安扎比克斯库伯内特斯 SSH 织物

最热

最新

如何分析SQLMap和SQLi注入防御

第一部分:Sqlmap使用1.1sqlmap介绍1.前边说了一些sql注入的基础语句,但是手工注入很麻烦,我们可以借助sqlmap这个强大的sql注入工具,进行数据的获取.2.sqlmap介绍(1)#sqlmap是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。官方网站:sqlmap.org(2)#支持的数据库：MySQL，Oracle,PostgreS

安全 1112 2023-05-11 18:37:06
Web安全测试知识点有哪些

什么是安全测试？安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分的满足它的需求。a.如何提供证据？我们通过一组失败的安全测试用例执行结果来证明web应用不满足安全需求。b.如何看待安全测试的需求？与功能测试相比，安全测试更加依赖于需求，因为它有更多可能的输入和输出可供筛选。真正的软件安全其实际上指的是风险管理，即我们确保软件的安全程度满足业务需要即可。如何开展安全测试？基于常见攻击和漏洞并结合实际添加安全测试用例，就是如何将安全测试变为日常功能测试中简单和普通的一部分的方

安全 1397 2023-05-11 18:34:06
如何简单绕过人机身份验证Captcha

今天分享的Writeup是作者在目标网站漏洞测试中发现的一种简单的人机身份验证（Captcha）绕过方法，利用Chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了Captcha绕过。人机身份验证（Captcha）通常会出现在网站的注册、登录和密码重置页面，以下是目标网站在登录页面中布置的Captcha机制。从上图中可以看到，用户只有在勾选了Captcha验证机制的“I‘mnotarobot”之后，登录按钮（Sign-IN）才会启用显示以供用户点击。因此，基于这点，我右键点击了Si

安全 5795 2023-05-11 17:55:12
IPv4至IPv6演进的实施路径是什么

IPv4至IPv6改造的技术模型业界对IPv4至IPv6改造过度提供三种解决方案，即双栈技术模式、隧道技术模式、地址转换模式。1、双栈技术模式：在同一个网络上运行两个彼此独立的平面：一个IPv4网络平面，一个IPv6网络平面，各自维护自己的IGP/EGP状态及路由。在这种模式下，IPv4和IPv6共存，既不影响现有IPv4业务，也可以满足IPv6的新需求。但这种模式下实施成本较高，一是需要全网的网络设备支持，二是全网设备IGP/EGP调整工作难度较大，如果仅在小范围内实施，这是一种比较好的选择模

安全 1720 2023-05-11 17:52:13
怎么分析Facebook Ads广告业务API接口的源代码泄露漏洞

发现漏洞一个多月后，我就发现了存在FacebookAds广告业务系统API中的一个漏洞。存在漏洞的API是一个图片处理接口，它用于Facebook商户账户上传广告图片，上传的图片会储存在一个名为“/adimages”的目录下，并用base64格式编码。所以，我的测试构想是，在这里的机制中，可以向上传图片中注入恶意Payload，经API转换为Base64格式后，再被Facebook传入服务器中。以下为上传图片的POST请求：POST/v2.10/act_123456789/adimagesHTT

安全 1493 2023-05-11 17:40:13
XML外部实体注入漏洞的示例分析

一、XML外部实体注入XML外部实体注入漏洞也就是我们常说的XXE漏洞。XML作为一种使用较为广泛的数据传输格式，很多应用程序都包含有处理xml数据的代码，默认情况下，许多过时的或配置不当的XML处理器都会对外部实体进行引用。如果攻击者可以上传XML文档或者在XML文档中添加恶意内容，通过易受攻击的代码、依赖项或集成，就能够攻击包含缺陷的XML处理器。XXE漏洞的出现和开发语言无关，只要是应用程序中对xml数据做了解析，而这些数据又受用户控制，那么应用程序都可能受到XXE攻击。本篇文章以java

安全 2264 2023-05-11 16:55:12
远程代码执行漏洞实例分析

0x01认识mongo-expressmongo-express是一个MongoDB的AdminWeb管理界面，使用NodeJS、Express、Bootstrap3编写而成。目前mongo-express应该是Github上Star最多的MongoDBadmin管理界面。部署方便，使用简单，成为了很多人管理mongo的选择。0x02调试环境搭建0x1启动docker服务阅读官方GitHub的安全公告，我们发现漏洞影响0.54.0以下的所有版本。选择以0.49为例进行测试，由于此漏洞环境还需要M

安全 1604 2023-05-11 16:46:06
Gogs任意用户登录漏洞实例分析

一、漏洞背景Gogs是一款类似GitHub的开源文件/代码管理系统（基于Git），Gogs的目标是打造一个最简单、最快速和最轻松的方式搭建自助Git服务。使用Go语言开发使得Gogs能够通过独立的二进制分发，并且支持Go语言支持的所有平台，包括Linux、MacOSX、Windows以及ARM平台。二、漏洞描述gogs是一款极易搭建的自助Git服务平台，具有易安装、跨平台、轻量级等特点，使用者众多。其0.11.66及以前版本中，（go-macaron/session库）没有对sessionid进

安全 2436 2023-05-11 16:43:06
反弹shell是什么意思

*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。0x00前言反弹shell，就是控制端监听在某TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出转到控制端。通俗点说，反弹shell就是一种反向链接，与正向的ssh等不同，它是在对方电脑执行命令连接到我方的攻击模式，并且这种攻击模式必须搭配远程执行命令漏洞来使用。为什么要反弹shell?通常用于被控端因防火墙受限、权限不足、端口被占用等情形。假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器，这

安全 6859 2023-05-11 16:25:20
真实面经分享：“度小满”的信息安全工程师

本篇文章给大家分享一下我在面试度小满信息安全工程师（金融安全部）时都被问了哪些问题，总共经历了一面、二面、三面，下面一起来看一下吧，希望对有需要的朋友有所帮助啊~

安全 2029 2023-01-12 14:30:38
通过QUIC协议，来看看怎么学习网络协议

本篇文章带大家了解一下QUIC协议，并以QUIC协议为例，来聊聊如何学习网络协议，希望对大家有所帮助！

安全 3373 2022-03-01 10:09:02
session一致性设计

session一致性什么是sessionweb-server可以自动为同一个浏览器的访问用户自动创建session，提供存储功能。一般把用户登录信息存到session中。什么是session一致性问题当后端只有一台web-server的时候，每次http请求，都能找到正确的session。问题是不能满足高可用，一台server挂了就完蛋了。冗余+故障转移，部署多台web-server，nginx路...

安全 248 2021-06-26 15:54:56
介绍几种常用的web安全认证方式

本文为大家介绍了五种常用的web安全认证方式，具有一定的参考价值，希望能对大家有所帮助。

安全 7092 2021-03-15 10:40:55
如何保证web安全

互联网发展初期，那还是IE浏览器的时代，那时大家上网的目的就是通过浏览器分享信息、获取新闻。随着互联网的快速发展，网页能做的事情越来越多，不仅可以看新闻、玩游戏，还能购物、聊天，这些功能极大地丰富了我们的生活。

安全 4262 2021-03-09 09:51:38
分享几个常见web安全隐患的解决方法

web服务器安全：本文为大家分享了几种常见web安全隐患的解决方法，具有一定的参考价值，希望能对大家有所帮助。

安全 4321 2021-03-01 10:44:49