04 2016 档案

关于Apache Struts 2 S2-032高危漏洞的一些确认
摘要:2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081(S2-032)官方评级为高。 主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。 具体的漏洞分析网上已经有很多了,详细内容请参考: http://blog.nsfocus.net/tech/ 阅读全文
posted @ 2016-04-28 16:48 北海悟空 阅读(991) 评论(0) 推荐(0) 编辑
[企业级linux安全管理]- 主机安全管理
摘要:pass 阅读全文
posted @ 2016-04-27 15:45 北海悟空 阅读(198) 评论(0) 推荐(0) 编辑
[企业级linux安全管理]- 系统日志管理
摘要:pass 阅读全文
posted @ 2016-04-27 15:43 北海悟空 阅读(183) 评论(0) 推荐(0) 编辑
[企业级linux安全管理]- 安全管理基础(1)
摘要:1. 操作条件: (1)装有 Cent OS Linux 操作系统的虚拟机一台 2. 背景: 某企业有一台服务器,其信息如下: (1) 该服务器上存在管理员 root,密码为 root,另存有一些具有 root 权限的 其他账户,经确认这些账户长期未使用; (2) “/secure”文件夹为公司开发 阅读全文
posted @ 2016-04-27 15:41 北海悟空 阅读(352) 评论(0) 推荐(0) 编辑
编码识别工具:hash-identifier
摘要:hash-identifier的使用: 当不知道编码是什么类型的时候,可以通过kali系统中的hash工具判别,如下图所示, 在HASH后面输入要判别的编码内容,在后面的Possible Hashs中进行了输出,为MD5格式。 阅读全文
posted @ 2016-04-26 19:33 北海悟空 阅读(1585) 评论(0) 推荐(0) 编辑
python脚本实例002- 利用requests库实现应用登录
摘要:执行结果:用户admin已在欢迎页面显示出来,说明登录成功。 注意事项: (1)在创建登录数据时,uid与passw这两个变量名要与实际登录页面的变量名称相同才能提交登录,如下图所示 (2)将抓取的页面打印时一定要使用变量+text的方式打印,否则只会打出http状态码 <Response [200 阅读全文
posted @ 2016-04-12 14:07 北海悟空 阅读(442) 评论(0) 推荐(0) 编辑
python 包管理工具pip安装与使用
摘要:pip是python的一个包管理工具,与之类似的工具还有easy_install。根据官网的说法 如果你的python版本在Python 2 >=2.7.9 or Python 3 >=3.4的范围内的话默认是安装了pip的。 如果没有安装那么可以通过下载get-pip.py的这个文件进行安装。 下 阅读全文
posted @ 2016-04-11 18:22 北海悟空 阅读(228) 评论(0) 推荐(0) 编辑
RedMine项目管理系统安装问题(Linux版一键安装包)
摘要:安装环境 问题描述: 安装步骤与上一篇文章类似,一键式傻瓜安装,值得注意的是此次的安装包为64位,所以 在选择安装系统的时候要对应64位的linux机器。否则32位机器将会出现以下抛错信息: 阅读全文
posted @ 2016-04-11 15:37 北海悟空 阅读(392) 评论(0) 推荐(0) 编辑
信安师(二级)-结构图
摘要:一、安全组网技术 二、企业级Linux安全管理 三、应用服务安全管理 阅读全文
posted @ 2016-04-11 13:26 北海悟空 阅读(208) 评论(0) 推荐(0) 编辑
RedMine项目管理系统邮件推送设置(Windows环境)
摘要:RedMine项目管理系统有邮箱推送功能,当Bug,安全漏洞等内容被修改、解决、评论的时候,系统会通过邮件 及时的通知你的团队和客户。邮件通知的环节、形式、时间、接受人均可定制,功能十分实用。 下面是针对windows系统环境下安装的RedMine时,邮件推送的配置说明。 (1)登录后点击【管理】- 阅读全文
posted @ 2016-04-07 20:02 北海悟空 阅读(566) 评论(0) 推荐(0) 编辑
RedMine项目管理系统安装问题(Windows版一键安装包)
摘要:安装准备: 问题描述: 安装过程中没有出现问题,安装后访问首页的时候出现抛错: 尝试过的方法: (1)安装语言环境 -> 中文 -> 失败 (2)安装有元环境 -> 英文 -> 失败 (3)安装时去除如下图所示的非必选项组件 -> 失败 (4)重启以下服务以及重启机器 -> 失败 (5)安装环境由虚 阅读全文
posted @ 2016-04-07 18:42 北海悟空 阅读(703) 评论(0) 推荐(0) 编辑
redmine一键安装包下载链接
摘要:windows版本一键安装包:《bitnami-redmine-3.1.1-1-windows-installer.exe》 下载地址:http://pan.baidu.com/s/19Dds Linux版本一键安装包:《bitnami-redmine-3.1.1-1-linux-x64-insta 阅读全文
posted @ 2016-04-07 11:55 北海悟空 阅读(887) 评论(0) 推荐(0) 编辑
发现可高速缓存的 SSL 页面
摘要:发现可高速缓存的 SSL 页面 技术描述: 缺省情况下,大部分 Web 浏览器都配置成会在使用期间高速缓存用户的页面。 这表示也会高速缓存 SSL 页面。不建议让 Web 浏览器保存任何 SSL 信息,因为当有漏洞存在时,可能会危及这个信息。安全风险: 可能会收集有关 Web 应用程序的敏感信息,如 阅读全文
posted @ 2016-04-06 18:24 北海悟空 阅读(5905) 评论(0) 推荐(0) 编辑
启用了不安全的HTTP方法
摘要:安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。 方法简介: 除标准的GET和POST方法外,HTTP请求还使 阅读全文
posted @ 2016-04-05 17:03 北海悟空 阅读(15915) 评论(0) 推荐(0) 编辑
目录遍历漏洞
摘要:渗透人员可通过目录遍历攻击获取服务器的配置文件等等资料。 常见的目录遍历攻击,访问“../”这类的上级文件夹的文件。 例子: 那么一般来说就可以在Cookie做手脚(当然这是数次测试之后才能推测的path): 然后服务器给了回答: 阅读全文
posted @ 2016-04-05 16:30 北海悟空 阅读(343) 评论(0) 推荐(0) 编辑
强强合体:Docker版Kali Linux发布
摘要:Kali Linux是一款开源的基于Debian的渗透测试专用操作系统,系统中包含一系列用于渗透测试的神器。最近,Kali的开发者们为喜爱Docker的童鞋们发布了新版本。 FreeBuf百科:什么是Docker? Docker是目前最火热的开源应用容器,发布于2014年6月。它能让开发者打包他们的 阅读全文
posted @ 2016-04-05 15:55 北海悟空 阅读(357) 评论(0) 推荐(0) 编辑
Kali2.0 Sqlmap清除历史扫描日志
摘要:使用Sqlmap扫描SQL注入漏洞时,首次扫描会在SQL的/root/.sqlmap/output/目录下留下 以IP地址为名称的文件夹,如下所示: 而如果该安全漏洞经过修复后,再次使用SQLMAP扫描的时候仍然会出现与首次扫描相同的结果, 原因就是/root/.sqlmap/output/目录下存 阅读全文
posted @ 2016-04-05 10:08 北海悟空 阅读(5214) 评论(0) 推荐(0) 编辑
OWASP-ZAP
摘要:Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。 ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ZAP中国:http 阅读全文
posted @ 2016-04-01 12:07 北海悟空 阅读(2758) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示