摘要:
一、S2-001 1、漏洞原理 在默认配置下,如果用户所提交的表单出现验证错误,后端会对用户的输入进行解析处理,然后返回并显示处理结果。 举个例子,当你提交的登录表单为username=xishir&password=%{1+1}时,后端验证登录失败后会返回登录界面并显示你的输入,这时passwor 阅读全文
摘要:
目录: 前言 漏洞原理 Demo演示 如何发现XXE漏洞 XXE其他危害 案例-微信支付的XXE 修复建议 前言: 什么是XXE漏洞? XXE全称是——XML External Entity 简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构造恶意内容,就可以导致任意文件读 阅读全文
摘要:
一、如何在Linux服务器上安装vsftp不在多说,直接介绍如何进行安全性配置; 二、编辑vsftp.conf文件 关键配置项如下: anonymous_enable=NO /禁止匿名用户登录 local_enable=YES /允许本地用户登录 write_enable=YES /允许登陆后写 l 阅读全文
摘要:
源码:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 感谢源码作者提供了这样的环境。 我自己在本地虚拟机的路径,http://127.0.0.1/xss/ 阅读全文
摘要:
1、nxlog简介 nxlog是个跨平台日志传输插件,支持linux、windows平台,支持window及linux内置的大部分系统日志及常见的web日志,支持tcp、udp、http(s)等协议传输。 安装包、指导手册及常用配置下载:http://pan.baidu.com/s/1qWTc2g0 阅读全文
摘要:
公司邮箱系统密码复杂度规则:字母大小写、数字、特殊字符,四选三,长度8位以上。这种复杂度的密码看着是比较安全的,但因历史原因,邮箱系统开放了外网登陆权限,加之公司人数众多,必然会有少量员工把自己的密码设成看似非常复杂但又非常普遍的常规密码,这些密码很容易被爆破,从而导致公司敏感信息泄露。 当必须忍受 阅读全文
摘要:
syslog服务器可以用作一个网络中的日志监控中心,rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。本文我们来讲讲在 Linux 上配置一个 syslog 服务器,还有CentOS上配置rsyslog客户端用以远程记录日志。 rsyslog 作为标准 阅读全文
摘要:
入门指南 https://wizardforcel.gitbooks.io/web-hacking-101/content/ Web Hacking 101 中文版 https://wizardforcel.gitbooks.io/asani/content/ 浅入浅出Android安全 中文版 h 阅读全文