2016年4月7日
RedMine项目管理系统邮件推送设置(Windows环境)
摘要: RedMine项目管理系统有邮箱推送功能,当Bug,安全漏洞等内容被修改、解决、评论的时候,系统会通过邮件 及时的通知你的团队和客户。邮件通知的环节、形式、时间、接受人均可定制,功能十分实用。 下面是针对windows系统环境下安装的RedMine时,邮件推送的配置说明。 (1)登录后点击【管理】- 阅读全文
posted @ 2016-04-07 20:02 北海悟空 阅读(540) 评论(0) 推荐(0) 编辑
RedMine项目管理系统安装问题(Windows版一键安装包)
摘要: 安装准备: 问题描述: 安装过程中没有出现问题,安装后访问首页的时候出现抛错: 尝试过的方法: (1)安装语言环境 -> 中文 -> 失败 (2)安装有元环境 -> 英文 -> 失败 (3)安装时去除如下图所示的非必选项组件 -> 失败 (4)重启以下服务以及重启机器 -> 失败 (5)安装环境由虚 阅读全文
posted @ 2016-04-07 18:42 北海悟空 阅读(689) 评论(0) 推荐(0) 编辑
redmine一键安装包下载链接
摘要: windows版本一键安装包:《bitnami-redmine-3.1.1-1-windows-installer.exe》 下载地址:http://pan.baidu.com/s/19Dds Linux版本一键安装包:《bitnami-redmine-3.1.1-1-linux-x64-insta 阅读全文
posted @ 2016-04-07 11:55 北海悟空 阅读(801) 评论(0) 推荐(0) 编辑
2016年4月6日
发现可高速缓存的 SSL 页面
摘要: 发现可高速缓存的 SSL 页面 技术描述: 缺省情况下,大部分 Web 浏览器都配置成会在使用期间高速缓存用户的页面。 这表示也会高速缓存 SSL 页面。不建议让 Web 浏览器保存任何 SSL 信息,因为当有漏洞存在时,可能会危及这个信息。安全风险: 可能会收集有关 Web 应用程序的敏感信息,如 阅读全文
posted @ 2016-04-06 18:24 北海悟空 阅读(5793) 评论(0) 推荐(0) 编辑
2016年4月5日
启用了不安全的HTTP方法
摘要: 安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。 方法简介: 除标准的GET和POST方法外,HTTP请求还使 阅读全文
posted @ 2016-04-05 17:03 北海悟空 阅读(15882) 评论(0) 推荐(0) 编辑
目录遍历漏洞
摘要: 渗透人员可通过目录遍历攻击获取服务器的配置文件等等资料。 常见的目录遍历攻击,访问“../”这类的上级文件夹的文件。 例子: 那么一般来说就可以在Cookie做手脚(当然这是数次测试之后才能推测的path): 然后服务器给了回答: 阅读全文
posted @ 2016-04-05 16:30 北海悟空 阅读(341) 评论(0) 推荐(0) 编辑
强强合体:Docker版Kali Linux发布
摘要: Kali Linux是一款开源的基于Debian的渗透测试专用操作系统,系统中包含一系列用于渗透测试的神器。最近,Kali的开发者们为喜爱Docker的童鞋们发布了新版本。 FreeBuf百科:什么是Docker? Docker是目前最火热的开源应用容器,发布于2014年6月。它能让开发者打包他们的 阅读全文
posted @ 2016-04-05 15:55 北海悟空 阅读(355) 评论(0) 推荐(0) 编辑
Kali2.0 Sqlmap清除历史扫描日志
摘要: 使用Sqlmap扫描SQL注入漏洞时,首次扫描会在SQL的/root/.sqlmap/output/目录下留下 以IP地址为名称的文件夹,如下所示: 而如果该安全漏洞经过修复后,再次使用SQLMAP扫描的时候仍然会出现与首次扫描相同的结果, 原因就是/root/.sqlmap/output/目录下存 阅读全文
posted @ 2016-04-05 10:08 北海悟空 阅读(5100) 评论(0) 推荐(0) 编辑
2016年4月1日
OWASP-ZAP
摘要: Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。 ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ZAP中国:http 阅读全文
posted @ 2016-04-01 12:07 北海悟空 阅读(2700) 评论(0) 推荐(0) 编辑
2016年3月31日
基于web的项目管理软件Redmine
摘要: Redmine是用Ruby开发的基于web的项目管理软件,是用ROR框架开发的一套跨平台项目管理系统,据说是源于Basecamp的ror版而来, 支持多种数据库,有不少自己独特的功能,例如提供wiki、新闻台等,还可以集成其他版本管理系统和BUG跟踪系统,例如Perforce、 SVN、CVS、TD 阅读全文
posted @ 2016-03-31 19:43 北海悟空 阅读(280) 评论(0) 推荐(0) 编辑
sqlmap用户手册
摘要: sqlmap用户手册 瞌睡龙 · 2013/06/13 18:45 http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: sqlmap支持五种不同的注入模式: sqlmap支持的数据库有: 可以提供一个 阅读全文
posted @ 2016-03-31 17:43 北海悟空 阅读(258) 评论(0) 推荐(0) 编辑
Sqlmap基础(二)
摘要: sqlmap.py -r req1.txt --dbms Oracle --risk 3 阅读全文
posted @ 2016-03-31 17:00 北海悟空 阅读(213) 评论(0) 推荐(0) 编辑
信息存储安全
摘要: 名词:未对重要信息进行加密存储 解释:对重要信息不进行加密处理或加密强度不够,或者没有安全地存储加密信息,都会导致攻击者获得这些信息。 建议: 1.对所有重要信息进行加密; 2.仅使用足够强度的加密算法,例如AES、RSA; 3.存储密码时,用SHA-256等健壮哈希算法进行处理; 4.产生的密钥不 阅读全文
posted @ 2016-03-31 16:17 北海悟空 阅读(314) 评论(0) 推荐(0) 编辑
数据库存储安全之(MD5+盐)加密
摘要: 一般系统数据库密码加密方式: MD5后存入数据库 SHA1 Hash后存入数据库 缺点:黑客可以通过密码暴力破解获取密码信息,具体做法是将常用密码进行Hash后做成一个字典, 破解的时候,只需要查字典就能知道对应的明文密码。 建议:使用以下两种密码策略相结合的方式去解决 密码 + 盐(一串随机数) 阅读全文
posted @ 2016-03-31 15:15 北海悟空 阅读(1512) 评论(0) 推荐(0) 编辑
Armitage主屏幕说明与命令行启动
摘要: (1)我们将Armitage主屏幕标注为A、B和C A:该区域显示预配置的模块。您可以在模块列表下面的文本框中输入要查找的模块进行查找。 B:该区域显示我们可以进行漏洞测试的活跃主机。 C:该区域显示多个Metasploit标签,可以让运行的多个Meterpreter或控制台会话能够同时显示。 (2 阅读全文
posted @ 2016-03-31 11:44 北海悟空 阅读(510) 评论(0) 推荐(0) 编辑
kali2.0 系统自带截图功能
摘要: (1)点击左下角的【显示应用程序】 (2)在上面搜索栏输入关键字“screen” (3)进入截图选项页面 阅读全文
posted @ 2016-03-31 10:59 北海悟空 阅读(1021) 评论(0) 推荐(0) 编辑
Armitage初始化
摘要: Kali2.0 Armitage初始化步骤如下 (1)点击页面的Armitage按钮 (2)提示Metasploit RPC server is not running,是否启动该服务,选择是 (3)跳出不能连接到数据库的原因,是因为kali2.0,所以在终端执行命令/etc/init.d/post 阅读全文
posted @ 2016-03-31 09:38 北海悟空 阅读(587) 评论(0) 推荐(0) 编辑
2016年3月29日
Cobalt Strike
摘要: http://www.77169.com/hack/201512/222080.shtm 阅读全文
posted @ 2016-03-29 19:22 北海悟空 阅读(187) 评论(0) 推荐(0) 编辑
2016年3月28日
跨站点请求伪造
摘要: 跨站点请求伪造 危害:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因:应用程序使用的认证方法不充分 技术分析:即使是格式正确、有效且一致的请求也可能已在用户不知情的情况下发送。因此,Web 应用程序应检查所有请求 阅读全文
posted @ 2016-03-28 13:31 北海悟空 阅读(1147) 评论(0) 推荐(0) 编辑
2016年3月18日
Python之异常篇 [待更新]
摘要: 当你的程序中出现某些 异常的 状况的时候,异常就发生了。例如,当你想要读某个文件的时候,而那个文件不存在。或者在程序运行的时候,你不小心把它删除了。上述这些情况可以使用异常来处理。 假如你的程序中有一些无效的语句,会怎么样呢?Python会引发并告诉你那里有一个错误,从而处理这样的情况。 考虑一个简 阅读全文
posted @ 2016-03-18 15:19 北海悟空 阅读(176) 评论(0) 推荐(0) 编辑