搜索结果
查询Tags标签: 安全漏洞,共有 30条记录-
Mybatis下的SQL注入漏洞原理及防护方法
一、前言之前我一直认为 Mybatis 框架下已经实现预编译机制,很多东西都封装好了,应该基本上不会再有 SQL 注入问题了。近期在渗透中发现,在实际项目中,即使使用了 Mybatis 框架,但仍然有可能因为编码人员安全意识不足而导致 SQL 注入问题。出现情况还真不少,因此有了…
2022/11/22 23:24:01 人评论 次浏览 -
Java代码(审计sql注入)
java_sec_code该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。由于服务器到期,在线的Demo网站已不能使用。登录用户名密码:admin/admin123joy…
2022/10/19 1:24:58 人评论 次浏览 -
浅谈安全漏洞
浅谈安全漏洞 安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略上存在的风险。 攻击者可以利用安全漏洞在未授权的情况下访问或破坏系统,造成经济损失、数据损失等。 漏洞会影响非常多的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由…
2022/9/10 6:55:12 人评论 次浏览 -
系统和应用安全漏洞及修复方法汇总
开发的系统上线前,通常需要对系统和站点进行安全扫描,提前避免一些漏洞上线后,被利用进行恶意操作,下面汇总了常见的安全漏洞及修复方法。 系统环境:CentOS7.9系统扫描漏洞: 1、【中风险】Weak Key Exchange (KEX) Algorithm(s) Supported (SSH) 修复方法:支持的弱…
2022/9/1 23:22:50 人评论 次浏览 -
PHP 安全漏洞:会话劫持、跨站点脚本、SQL 注入以及如何修复它们
PHP 中的安全性在编写 PHP 代码时,牢记以下安全漏洞非常重要,以避免编写不安全的代码。 漏洞类型这些是您在编写 PHP 代码时会遇到的常见漏洞。我们将在下面更深入地讨论一些。 Cross Site Request Forgery由于程序员没有检查请求从哪里发送而导致的应用程序中的一个漏洞…
2022/8/13 2:25:25 人评论 次浏览 -
Redis、Tomact安全漏洞处理
最近在工作中遇到了一些Redis/Tomact安全漏洞问题,在此整理了一下: 一:Redis安全加固及安全漏洞处理 1.禁止一些高危命令(重启redis才能生效) 修改 redis.conf 文件,禁用远程修改 DB 文件地址 rename-command FLUSHALL "" rename-command CONFIG "&q…
2022/1/6 19:38:44 人评论 次浏览 -
Redis、Tomact安全漏洞处理
最近在工作中遇到了一些Redis/Tomact安全漏洞问题,在此整理了一下: 一:Redis安全加固及安全漏洞处理 1.禁止一些高危命令(重启redis才能生效) 修改 redis.conf 文件,禁用远程修改 DB 文件地址 rename-command FLUSHALL "" rename-command CONFIG "&q…
2022/1/6 19:38:44 人评论 次浏览 -
尴尬,刚夸完就被罚,因未及时报告Log4j2安全漏洞,阿里云被处罚!
近期,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿…
2021/12/24 23:11:41 人评论 次浏览 -
尴尬,刚夸完就被罚,因未及时报告Log4j2安全漏洞,阿里云被处罚!
近期,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿…
2021/12/24 23:11:41 人评论 次浏览 -
log4j2安全漏洞
产生原理: log4j2版本安全漏洞。 rmi远程方法调用:jvm与jvm进程做远程交互的服务。 攻击方式: 黑客部署nginx服务器和rmi服务器,nginx中放入攻击脚本(是个class文件)。 服务器的rmi参数必须是true. 通过远程注入方式(rmi协议),让服务器通过log4j2发送rmi请求到rm…
2021/12/22 23:24:16 人评论 次浏览 -
log4j2安全漏洞
产生原理: log4j2版本安全漏洞。 rmi远程方法调用:jvm与jvm进程做远程交互的服务。 攻击方式: 黑客部署nginx服务器和rmi服务器,nginx中放入攻击脚本(是个class文件)。 服务器的rmi参数必须是true. 通过远程注入方式(rmi协议),让服务器通过log4j2发送rmi请求到rm…
2021/12/22 23:24:16 人评论 次浏览 -
Apache log4j2安全漏洞解析及解决方法
1、使用logj2的低版本记录日志时,如果使用如下方式,则输出: 这是log4j2的一个lookup功能。 2、先用浏览器打开 http://dnslog.cn/ 这个网址,如下图3、调整代码,执行后,点击刷新 Refresh Record,发现ip获取到了。 4、解决方法: 1、通过jvm参数调整, 2、升级2.15.0版…
2021/12/13 23:46:55 人评论 次浏览 -
Apache log4j2安全漏洞解析及解决方法
1、使用logj2的低版本记录日志时,如果使用如下方式,则输出: 这是log4j2的一个lookup功能。 2、先用浏览器打开 http://dnslog.cn/ 这个网址,如下图3、调整代码,执行后,点击刷新 Refresh Record,发现ip获取到了。 4、解决方法: 1、通过jvm参数调整, 2、升级2.15.0版…
2021/12/13 23:46:55 人评论 次浏览 -
一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权
之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多…
2021/9/19 23:35:35 人评论 次浏览 -
一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权
之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多…
2021/9/19 23:35:35 人评论 次浏览
