摘要:
一、安全区定义根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。信息管理大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。不同安全区确定不同安全防护要求,其中安全区Ⅰ安全等级最高,安全区Ⅱ次之,其余依次类推。 安全区Ⅰ典型系统: 阅读全文
摘要:
0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器 0x 01 注入原理 存在注入的原因是因为后台在编写程序时,没有对用户输入的数据做过滤导致的,正如事实 阅读全文
摘要:
IDS(Intrusion Detection Systems):入侵检测系统 通过软件 硬件对网络 系统的运行状况进行监视,尽可能的发现各种攻击企图,攻击行为或者是攻击结果,以保证网络系统资源的完整性 机密性以及可用性. 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任 阅读全文
摘要:
什么是CSRF CSRF(Cross Site Request Forgery),中文是跨站请求伪造。一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法 CSRF攻击示意图: 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 1.登录受信任网站A,并在本地生成C 阅读全文
摘要:
Nginx文件解析漏洞端口:80 攻击方法: 解析漏洞 目录遍历 CVE-2016-1247:需要获取主机操作权限,攻击者可通过软链接任意文件来替换日志文件,从而实现提权以获取服务器的root权限。参考: https://www.seebug.org/vuldb/ssvid-92538 漏洞等级 高 阅读全文
摘要:
首先先给大家看一下OSI七层协议模型、TCP/IP四层模型和五层协议的关系: 一、OSI参考模型 七层模型,亦称开放系统互连(Open System Interconnection OSI)参考模型,是参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联的标准体系。 OSI七层协议 阅读全文
摘要:
首先我们kali如果没有装ssh的,那么==》apt-get install ssh or yum install ssh 然后去 kali 启动 SSH 服务 启动 完成后 在去设置一下 ssh 的配置(默认的配置都是不允许 root 用户登入的) 输入 然后按 esc 键(取消编辑模式) :wq 阅读全文
摘要:
概述: Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的Django、Flask;java的ssm等。因为使用MVC设计模式,所以在框架内部处理用户数据流参数的事后就不可避免的存在数据在不同层次流转的问题。struts2 阅读全文
摘要:
Struts2漏洞目录 S2-001 - 远程代码利用表单验证错误 S2-002 - <s:url>和<s:a>标记上的跨站点脚本(XSS)漏洞 S2-003 - XWork ParameterInterceptors旁路允许OGNL语句执行 S2-004 - 提供静态内容时的目录遍历漏洞 S2-0 阅读全文
摘要:
《OWASP Top 10》的首要目的是教导开发人员、设计人员、架构师、管理人员和企业组织,让他们认识到最严重Web应用程序安全弱点所产生的后果。Top 10提供了防止这些高风险问题发生的基本方法,并为获得这些方法的提供了指引. 详细解释: A1:2017-注入 将不受信任的数据作为命令或查询的一部 阅读全文