第 26 页-web服务器安全_网站安全防护教程-PHP中文网

当前位置：首页 > 技术文章 > 运维 > 安全

方向：: 全部网络3.0 后端开发 web前端数据库运维开发工具 php框架常见问题其他科技 CMS教程 Java 系统教程电脑教程硬件教程手机教程软件教程手游教程

分类：: 苹果系统 linux运维 Apache nginx CentOS Docker LVS 流浪汉德比安扎比克斯库伯内特斯 SSH 织物

最热

最新

web文件上传漏洞的示例分析

文件上传功能模块文件上传功能是大部分WEB应用的必备功能，网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而，看似不起眼的文件上传功能如果没有做好安全防护措施，就存在巨大的安全风险。文件上传漏洞原理当用户在在文件上传的功能模块处上传文件时，如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验，攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击，这种情况下认为系统存在文件上传漏洞。

安全 1617 2023-05-25 10:49:37
如何进行ipsec说明以及隧道案例分析

1.IPSEC简介IPSec是包括安全协议(SecurityProtocol)和密钥交换协议（IKE），由IETF（InternetEngineeringTaskForce，Internet工程任务组）开发的，可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称，其中安全协议又包括AH（头验证协议）和ESP（安全封装载荷）；而IKE是一种基于ISAKMP（InternetSecurityAssociationandKeyMana

安全 1153 2023-05-25 09:50:40
如何进行URL过滤

url过滤1创建class-map(类映射),识别传输流量。第一内网的网段第二定义正则表达式，决定url中包含的（域名）关键字第三检查IP报文头部，是否是http流量2创建policy-map(策略映射)，关联class-map要么允许这个链接要么丢弃这个链接通常把策略应用在inside（入站）接口上一个接口只能应用一个策略映射3应用class-map到接口上。--------------------------------------------------------------------

安全 2226 2023-05-25 08:55:05
怎么合理利用DNSLOG进行无回显安全测试

在实际测试一些网站的安全性问题的时候，有些测试命令执行后是无回显的，我们可以写脚本来进行盲注，但有些网站会封禁掉我们的ip地址，这样我们可以通过设置ip代理池解决，但是遇到盲注往往效率很低，所以产生了DNSlog注入。在使用dnslog之前我们需要先了解一下反引号符号：符号：`名称：反引号，上分隔符位置：反引号,这个字符一般在键盘的左上角，数字1的左边，不要将其同单引号混淆作用：反引号括起来的字符串被shell解释为命令行，在执行时，shell首先执行该命令行，并以它的标准输出结果取代整个反引号

安全 2258 2023-05-25 08:04:29
Nmap如何快速上手

1.安装https://nmap.org/，不做过多赘述2.靶机搭建本文使用靶机为OWASPBrokenWebApplicationsProjecthttps://sourceforge.net/projects/owaspbwa/靶机地址1：192.168.154.128靶机地址2：192.168.3.73.命令行C:\Users\Torjan>nmap--helpNmap7.80(https://nmap.org)Usage:nmap[ScanType(s)][Options]{tar

安全 1329 2023-05-24 23:37:14
发现Google云平台漏洞并获得赏金的示例分析

下面讲述了一名乌拉圭17岁高中生，因对信息安全感兴趣，通过学习研究，独立发现谷歌云平台漏洞并获得$7500美金（此前，他曾发现了价值$10000美金的谷歌主机头泄露漏洞）。在谈论该漏洞的具体细节之前，希望读者对谷歌云服务和API机制相关能有所了解，可以先来熟悉几个相关概念。先导概念谷歌运行有一个名为GoogleServiceManagement的管理服务，谷歌通过它来管理各种应用谷歌系统的内外部接口和用户自行创建的云端服务。在GoogleServiceManagement下，用户可以在自己的云平

安全 1327 2023-05-24 22:07:40
计算机网络排错步骤是什么

（1.）ping127.0.0.1（不通，则为硬体问题，检查确认网路卡安装是否正确）（2.）ping自己本地IP（不通，代表TCP/IP没有正确设定，检查IP是否设定正确，同时确认没有被防火墙阻挡）（3）ping网关（数字）（不通，代表网路环境主要的进出口路由器故障或设定有误造成封包无法进出，便无法与其他伺服器连线）（4）ping网关（域名）（不通，可能是DNS问题）（5）ping对方IP或网站（不通，代表是对方网路伺服器的问题可能暂时关机或伺服器故障，不通的原因与自己无关）

安全 1250 2023-05-24 21:46:04
如何打造SOAR

考虑购买安全编排、自动化与响应(SOAR)解决方案的公司企业，往往会担心自己现有的事件响应项目尚未成熟到可实现带自动化与编排功能的综合性平台的程度。如果几乎没有任何基础，从零起步似乎甚为艰难，尤其是团队中无人有事件响应或安全编排解决方案经验的时候。虽然大家都不想仅仅是往低效过程中添加自动化就完事儿，但如果老方法本身已不够好，进一步巩固这种旧有的安全事件处理方式显然更不科学。如果你想要改善公司安全运营，但不知道从何处着手，以下几步或许可以帮你准备好迁移到SOAR平台。1.盘点当前运营状况认为自己不

安全 1107 2023-05-24 20:06:17
mesh组网和无线桥接有哪些区别

区别：1、组网模式不同，无线桥接以点对点或者点对多点模式组网通讯，天线应用主要以定向传输为主；Mesh自组网络中，所有设备在无线网络中的地位对等，任何一个网络节点都可以接入有线网络。2、传输距离不同。3、传输速率不同，桥接传输速率主要300Mbps、866Mbps两种规格；而Mesh速率对比传统网桥不明显。4、通讯频率不同。mesh组网是什么Mesh组网即”无线网格网络”，是“多跳（multi-hop）”网络，是由adhoc网络发展而来，是解决“最后一公里”问题的关键技术之一。在向下一代网络演进

安全 10261 2023-05-24 17:54:28
NTP配置实例分析

一、网络设备作为NTP服务器配置。1、配置NTP主时钟ntp-servicerefclock-master22.开启NTP认证ntp-serviceauthenticationenable3、配置NTP时钟源本地接口，可以不配置。ntp-servicesource-interfaceloopback04、配置NTP服务器服务认证密码ntp-serviceauthentication-keyid1authentication-modemd5cipheradmin5、配置可信秘钥号ntp-servi

安全 1897 2023-05-24 15:01:06
Android常用9种自动化测试框架是什么

移动APP自动化测试的难点移动APP的UI自动化测试长久以来一直是一个难点，难点在于UI的”变”,变化导致自动化用例的大量维护。从分层测试的角度，自动化测试应该逐层进行。最大量实现自动化测试的应该是单元测试，最容易实现也最容易在早期发现问题；其次是接口级测试，以验证逻辑为目的进行自动化，由于接口的相对稳定，自动化测试成本相对也可以接受；自动化成本最大的便是UI级自动化测试，然而UI界面是直接反馈给用户的效果展示，适度的尤其是BVT级的自动化测试也是非常必要的。为了摆脱这些，需要引进一些自动化测试

安全 1778 2023-05-24 14:41:31
如何使用Cryptsetup加密U盘

如今U盘的存储和数据传输能力已经非常强了，可以跨各类平台运行，存储空间甚至达到了256G，堪比过去普通硬盘的容量。这里，我们将向你展示如何加密U盘，妈妈再也不用担心我步陈老师后尘了……保护U盘的重要性笔记本和U盘被盗，是过去几年数据泄露的主要原因之一。然而比起笔记本电脑，人们通常不太重视U盘这个小玩意儿的安全。但是如果罪犯偷窃了一枚价值只有12美元的U盘，也许会让一家公司付出百万美元左右的代价。由于U盘存储容量的增加，也随着其价格的逐渐降低，你可以轻松

安全 1732 2023-05-24 13:07:39
IP数据报的分片和组装原理是什么

一份数据从一个主机通过路由器发送给另一个主机时，要经过很多路由层转发的。过程比较复杂，那么IP在路由层到底是以怎样的形式转发和目的主机这份数据报的时候又是如何处理的？首先我们需要了解数据报的格式：IP的转发和控制都是由IP数据报的头部决定4位首部长度的数值是以4字节为单位的,最小值为5,也就是说首部长度最小是4x5=20字节,也就是不带任何选项的IP首部,4位能表表示的最大值是15,也就是说首部长度最大是60字节8位TOS字段有3个位用来指定IP数据报的优先级(目前已经废弃不用),还有4个位表示

安全 3541 2023-05-24 11:12:13
如何进行rpm程序包管理功能解析

Rpm包管理功能全解软件包管理的功能：将编译好的程序的各组成文件打包成一个或几个程序包文件，为了方便的实现程序包的安装、升级、卸载、查询、校验、数据库维护。下面我们来看看RPM包管理的解析Rpm包在redhat和S.U.S.E中有很大的应用我们接下来就以centos系统中rpm包的管理做一些详细的功能解析使用yum（rhel系列）安装时可以自动解决依赖关系drpm包命名格式：name-VERSION-release.arch.rpmVERSION：major.minor.releaseMajor

安全 1594 2023-05-24 09:01:05
【缺陷周话】第31期：错误的内存释放

1、错误的内存释放方法C语言中常见的内存申请函数包括malloc()、realloc()、calloc()，它们虽然功能不同，但都对应同一个内存释放函数free()，C++中对内存的申请和释放采用new/delete、new[]/delete[]方式。不管是C语言还是C++语言，当编写源代码时要根据内存申请的方法不同来对应地选择内存释放方法，避免使用错误的内存释放。例如：混合使用C/C++的内存申请/释放，或混合使用标量和矢量的内存申请/释放。2、错误的内存释放方法的危害使用错误的内存释放方法，

安全 1791 2023-05-23 23:07:35