摘要:
文件包含漏洞 产生的原因:通过引入文件时,用户可控,没有严格的检验,或是被绕过,操作一些敏感文件,导致文件泄露和恶意代码注入 当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器是,就形成可远程文件包含。 常见的漏洞代码 if (isset($_GET[page])) { inc 阅读全文
摘要:
1.1 漏洞描述 上传漏洞这个顾名思义,就是攻击者通过上传木马文件,直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。 导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。 1.2 漏洞危害 1)可以得到WEBS 阅读全文
摘要:
密码策略和工作单 本部分介绍密码策略设置,并提供一个工作单,以帮助您定义符合要求的密码策略。 注 – 要使用默认的密码策略,请参见管理默认密码策略。 密码策略设置 在目录服务器中指定密码策略时,需要修改或创建包含对象类 pwdPolicy(5dsoc) 的条目。 为特定类型的用户定义密码策略时,需要 阅读全文
摘要:
僵尸网络(Botnet,亦译为丧尸网上、机器人网上)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即骇客常说的傀儡机或“肉鸡”(肉机),组织成一个个命令与控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。 最早的僵尸网 阅读全文
摘要:
0x00 前言 @0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开发,可以针对多种语言的源代码安全性评估。 在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。 在这一系列的笔记中,将会记录下对 C 阅读全文
摘要:
如何分析网站弱点 今天我们来谈谈作为一个SEO优化人员该如何去做好自己网站的搜索引擎优化。如果你已经有概念但还不知道该怎么做。那么作者今天就带你去分析网站的弱点。在开始正题之前先跟大家谈一下收录问题,如果收录没有解决的话,那就无从分析网站的弱点了。关于如何解决收录问题,我相信很多人已经有自己独特的方 阅读全文
摘要:
通常来说,一个企业或机构准备进军此领域时,往往选择从基于网络的IDS入手,因为网上有很多这方面的开放源代码和资料,实现起来比较容易,并且,基于网络的IDS适应能力强。有了简单网络IDS的开发经验,再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此,笔者将以基于网络的IDS 阅读全文
摘要:
前几天看到一篇写js文件反劫持的文章,想起15年主导做百度搜索结果页面反劫持项目做得一些研究,整理成文章,跟大家分享。 常见劫持手段 按照劫持的方法不同,我将劫持分为下面两类: 跳转型劫持:用户输入地址A,但是跳转到地址B 注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、if 阅读全文
摘要:
Web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。 Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器 阅读全文
摘要:
在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过。如果设立了白名单,则只有在白名单中的用户(或IP地址、IP包、邮件等)才能通过 阅读全文