第 37 页-web服务器安全_网站安全防护教程-PHP中文网

当前位置：首页 > 技术文章 > 运维 > 安全

方向：: 全部网络3.0 后端开发 web前端数据库运维开发工具 php框架常见问题其他科技 CMS教程 Java 系统教程电脑教程硬件教程手机教程软件教程手游教程

分类：: 苹果系统 linux运维 Apache nginx CentOS Docker LVS 流浪汉德比安扎比克斯库伯内特斯 SSH 织物

最热

最新

如何进行自动化web渗透测试框架的运用分析

关于VajarVajra是一个自动化的Web渗透测试框架，它可以帮助广大安全研究人员在Web应用程序渗透测试期间自动执行无聊的侦察任务以及针对多个目标的相同扫描。Vajra具有高度可定制特性，允许研究人员自定义扫描范围，我们无需针对目标执行所有的扫描，我们可以根据自己的需要来选择需要执行的扫描任务，这样可以最大化减少不必要的通信流量，并将扫描结果输出至CouchDB中。Vajra使用了最常见的开源工具，也就是很多安全研究人员在进行安全测试时都会使用到的一些工具。Vajra会通过Web浏览器来完成

安全 2614 2023-05-15 13:46:14
常见的Web安全漏洞及测试方法是什么

一、安全测试6项基本原则：认证:对认证的用户的请求返回访问控制：对未认证的用户的权限控制和数据保护完整性：用户必须准确的收到服务器发送的信息机密性：信息必须准确的传递给预期的用户可靠性：失败的频率是多少？网络从失败中恢复需要多长时间？采取什么措施来应对灾难性的失败？（个人理解这个地方应该更偏向于容错容灾测试的范畴）不可抵赖：用户应该能证明接收到的数据来自特定的服务器二、常见的安全测试内容权限控制SQL注入URL安全测试XSS（跨站脚本攻击）CSRF（跨站请求伪造）URL跳转漏洞其他安全方面的考量

安全 1902 2023-05-15 13:28:06
apache flink任意jar包上传导致远程代码执行的示例分析

漏洞描述:2019年11月11号，安全工程师HenryChen披露了一个ApacheFlink未授权上传jar包导致远程代码执行的漏洞。由于ApacheFlinkDashboard默认无需认证即可访问,通过上传恶意jar包并触发恶意代码执行,从而获取shell。影响范围Export(导出)b.然后选择java-->RunnableJARfilec.然后选择对应的java项目和导出路径以及导出文件名图片这样就生成了一个反弹shell的jar包msf生成jar马:(1)利用msfvenom来生

安全 1830 2023-05-15 13:01:13
Smarty SSTi怎么用

题目描述题目提供了一个读取XFF头的api,页面最下方有BuildWithSmarty的字样,可以确定是用Smarty引擎写的.基本上可以确定该页面存在SSTi的可能性将xff头从127.0.0.1改为127.0.0{1 2}出现如下结果ssti无疑了最终payload是X-Forwarded-For:{ifvar_dump(file_get_contents('/flag'))}{/if}SmartySSTI利用Smarty是基于PHP开发的，对于Smarty的

安全 1260 2023-05-15 11:37:06
C语言内存分配函数被污染的示例分析

1、被污染的内存分配C语言的内存分配函数包括malloc()、kmalloc、smalloc()、xmalloc()、realloc()、calloc()、GlobalAlloc()、HeapAlloc()等等，以malloc()为例，malloc()函数的原型为：externvoid*malloc(unsignedintnum_bytes);malloc()函数分配了num_bytes字节的内存，并返回了指向这块内存的指针。当内存分配长度的整数来自于可能被污染的不可信源时，如果没有对外部输入的

安全 1203 2023-05-15 11:13:05
如何进行AppLocker绕过分析

前言什么是applockerAppLocker即“应用程序控制策略”，是Windows7系统中新增加的一项安全功能。在win7以上的系统中默认都集成了该功能，我们可以使用在services中启用ApplicationIdentity，然后在localsecuritypolicy中找到ApplicationControlPolicies中看到Applocker选项。applocker规则默认的Applocker规则支持以下几种：规则**|关联的文件格式---|---可执行文件|.exe、.com脚

安全 1530 2023-05-15 10:55:19
防止计算机病毒感染的安全规则有哪些

1.使用正版软件由于使用正版软件的成本较高，大多数企业会选择使用盗版软件，但这些盗版软件中可能包含着恶意软件和病毒。它们从正版软件复制过来的代码也会存在漏洞，使不法分子能够轻易破解盗版软件的安全许可证，进而盗取数据、植入病毒，最终导致整个系统瘫痪。2.定期更新操作系统操作系统管理着计算机系统的硬件和软件资源，一旦感染上病毒，将会使系统宕机。为了抵抗不断发展的病毒，开发者在其中内置了防病毒的软件，因此通过定期更新操作系统，可以使病毒远离病毒。3.安装杀毒软件杀毒软件除了能够抵挡预防木马、病毒等威胁

安全 1750 2023-05-15 09:10:20
如何进行lvs-dr模式中后端RS的配置

1.在lo上配置vipipaddradd192.168.50.246/32devlolabello:02.抑制arpecho1>/proc/sys/net/ipv4/conf/lo/arp_ignoreecho1>/proc/sys/net/ipv4/conf/all/arp_ignoreecho2>/proc/sys/net/ipv4/conf/lo/arp_announceecho2>/proc/sys/net/ipv4/conf/all/arp_announcear

安全 1792 2023-05-15 09:04:11
WebView File域同源策略绕过漏洞实例分析

基本知识Android架构Kernel内核层漏洞危害极大，通用性强驱动由于多而杂，也可能存在不少漏洞Libaries系统运行库层系统中间件形式提供的运行库包括libc、WebKit、SQLite等等AndroidRunTimeDalvik虚拟机和内核库FrameWork应用框架层提供一系列的服务和API的接口活动管理器内容提供器视图资源管理器通知管理器Application应用层系统应用主屏幕Home、联系人Contact、电话Phone、浏览器Browser其他应用开发者使用应用程序框架层的A

安全 1877 2023-05-15 08:22:14
NMAP的端口扫描技术是什么

什么是端口？将网络设备比作一间房子，那么端口就是进出该房子的出入口(奇怪的地方就是这个房子的出入口太多了，多达65535个)，这些出入口供数据进出网络设备。设置端口的目的，就是为了实现“一机多用”，即在一台机器上运行多种不同的服务。那么当一台机器上运行着多个程序时，机器是如何区分不同程序的数据尼？这个任务交由操作系统来处理，其采用的机制就是划分除65535个不同的端口号。程序在发送信息时，会在数据中带上端口编号，而操作系统在收到数据后会按照端口号将信息分流到当前内存中使用该端口号的程序。端口的分

安全 2022 2023-05-14 23:43:04
Web测试入门知识点有哪些

一、Web应用程序应用程序有两种模式，C/S和B/S。C/S模式，即Client/Server（客户端/服务端）模式，这类程序可独立运行。B/S模式，即Browser/Server（浏览器/服务端）模式，这类程序需借助浏览器来运行。Web应用程序一般是B/S模式，一个Web应用程序是由完成特定任务的各种Web组件（webcomponents)构成的并通过Web将服务展示给外界。在实际应用中，Web应用程序是由多个Servlet、JSP页面、HTML文件以及图像文件等组成。了解了Web应用程序，该

安全 896 2023-05-14 23:19:04
bash基础特性是什么

#bash基础特性之命令别名bash在shell进程中可以为命令本身或者命令加上选项设定别名，设定后可以直接输入别名的方式调用其功能。设定命令别名的方式为：~]#aliasNAME=COMMAN。撤销命令别名的方式为：~]#unaliasNAME查看当前bash中已经设定的命令别名方式为：~]#alias注意1：此方式设定的命令别名生命周期只是当前shell进程。退出当前shell再登陆即已经失效。如需在shell启动后自动生效，需要设置bash的环境变量相关配置文件。注意2：如果命令别名和命令

安全 1737 2023-05-14 23:07:10
如何进行基于威胁情报周期模型的APT木马剖析

关于威胁情报处理周期模型“威胁情报处理周期”（F3EAD）一词源于军事，是美陆军为主战兵种各级指挥员设计的组织资源、部署兵力的方法。网络应急响应中心借鉴这套方法，分以下六个阶段处理威胁情报信息：威胁情报处理周期F3EAD威胁情报处理周期模型的应用第一步：查找某月某日，部署在合作方公有云服务器上的“洋葱”系统告警发现疑似木马程序，于是应急响应团队快速启动应急相应流程：干系人等一键拉群，电话接入。受害系统隔离待查。安全系统、审计日志导出待溯源分析。业务系统架构、代码相关资料准备，待分析入侵突破口及受

安全 2093 2023-05-14 22:01:12
如何分析juniper交换机ex2200配置及简单命令

qnqy-dpf-jrex2200-01#show|displaysetsetversion12.3R11.2setsystemhost-nameqnqy-dpf-jrex2200-01setsystemtime-zoneAsia/Shanghaisetsystemroot-authenticationencrypted-password"$1$7RMyTyeG$tLGAToBggMFhcOw85Ts.EP/"setsystemloginuseradminuid2000set

安全 2283 2023-05-14 21:58:04
net use 1231错误如何修正

公司有台服务器，原本都能够正常的netuse登录上去，在今天杀完毒后发现登录不上了，但是公司其他人员都能够正常的登录上去，所以问题肯定是处在自己的机器上。报的错误是netuse1231错误，到网上百度了一把，一堆人各种说是netbios的原因，但是都没有成功，还好找了个国外的网站，发现了问题，现在把问题在这记录一下，原因是由于Microsoft网络客户端被关掉了，把该选项选上，正常netuse成功！

安全 1672 2023-05-14 21:10:13