-
合理利用DNSLOG进行无回显安全测试
利用dnslog进行无回显安全性测试
-
一句话***(webshell)是如何执行命令的
在很多的***过程中,***人员会上传一句话***(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话***到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。首先我们先看一个原始而又简单的php一句话***。<?php @eval($_POST['cmd
-
Kali Linux ***测试之拒绝服务***及防御 荐
作为***测试人员,有时候需要对客户的系统进行DDOS***测试,那么这个时候就需要我们有一款合格的测试工具。而在Kali Linux上就集成了一些DDOS测试工具供测试者使用,下面就简单介绍一些测试工具。kali下的拒绝服务***:D(D)OS........................................1yersinia...........
-
Kali Linux Web***测试之 WebSploit 荐
WebSploit简介:l 一个综合性的,高级的中间人漏洞***框架。l 由python编写的开源项目。l 源代码:https://github.com/websploit/websploitl 项目地址:http://sourceforge.net/project
-
WordPress博客系统的安全
随着计算机网络的流行,越来越多的人开始创建自己的博客,论起博客系统,全球用的最多的博客系统就是wordpress(以下简称WP)。 但是如果用过WP的人都应该知道,WP的站点想要做的好看,插件是必不可少的,也因此插件上爆出的漏洞还是特别多的,个人感觉,对于WP的站点的安全测试,除了0Day常规的思路很难搞定:比如扫目录、找敏感文件和目录、查旁站等.
-
kali下生成web端后门
很多时候在***测试时选择web***害怕用的别人的马带有后门,这样自己的辛苦就要被别人不劳而获,很多时候我们都想拥有自己的马,那么这个时候你就应该使用kail来生成一个自己独特密码的web***了。 Kali Linux自带有好几个web***生成工具,下面我们来简单看几个:1.webacoo后门webacoo -g -o test.php-g 制作后门代码-o 输出
-
Python中如何读写文件
Python读写文件
1.open
使用open打开文件后一定要记得调用文件对象的close()方法。
比如可以用try/finally语句来确保最后能关闭文件。
file_object = open('thefile.txt')
try:
all_the_text = file_object.r
-
让Web站点崩溃最常见的七大原因
磁盘已满 导致系统无法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况,隔一定的时间,就需要将磁盘上的一些负载转存到备份存储介质中(例如磁带)。日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件,以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间
-
Apache优化
KeepAlive OnKeepAliveTimeout 15<IfModule mpm_prefork_module> StartServers 5 MinSpareServers 10 MaxSp
-
Apache -- Virtual Hosts
所谓虚拟主机,就是指一台服务器作为多域名的Web服务器。ISP经常通过一台服务器为其客户提供Web服务。而客户通常希望主页以自己的名字出现,而不是在该ISP的名字后面,因为使用单独的域名和根网址可以看起来更正式一些。传统上,用户必须自己设立一台服务器才能达到拥有单独域名的目的,然而这需要维护一个单独的服务器。很多小单位缺乏足够的维护能力,更为合适的方式是租用别人维护的服务器。ISP也没有必要为一个
-
HTTP头信息
通常 HTTP 消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行,一个或者多个头域,一个只是头域结束的空行和可选的消息体组成。HTTP 的头域包括通用头,请求头,响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部分组成。域名是大小写无关的,域值前可以添加任何数量的空格符,头域可以被扩展为多行,在每行开始处,使用至少一个空格或制表符。四种不同类型
-
服务器安全维护
电子商务的兴起,使的很多中小企业都拥有了自己的服务器。对内用来建立局域网,提升办公效率;对外建立网站,更为广泛地宣传企业产品和形象,争取更多客源。但是作为网络的核心产品,服务器技术相对复杂,尤其是在病毒肆虐的网络时代,安全问题显得更加突出。现在就提供一些实际工作中总结出的经验,希望能和大家共享,以确保网站服务器安全。一、增强整体网络安全很多网管往往在维护网络安全方面存在这样的误区,认为只要将服务器
-
浅谈服务器被黑后的检查工作流程 荐
今天说说以***者的角度去谈谈服务器被干掉后,我们该做的哪些防护和检查工作,高手的话都比较熟悉系统加固和安全的问题,对于我等初学者来说,没有做过从事过安全方面工作,所以只能从***者的角度去说说相对立的工作。因为初学者的我们也会自己弄服务器自己建站,又没有专业的知识,也不是搞什么大项目,所以都只能自己维护了,那么被***后,肯定也是得自己做维护和检查工作了,于是有了下文。通常服务器被***,一般有以下几种
-
使用EFS加密windows文件
曾在碰到有朋友提出如下几个问题:一是,我加密的文件打不开,能否将NTFS格式分区转换成FAT32分区能打开吗?二是,加密数据后重装了操作系统,现在加密数据不能打开,如果我使用跟前一个系统同样的用户名和密码能否打开?三是,用GHOST恢复了一下系统,用户账户和相应的SID都没有变,能否打开加密的数据文件?以上种种是我们在XP/2000/2003中加密文件后,因为这样或那样的问题,经常出现打不开加密的
-
Backtrack5 SQL注入漏洞探测
SQLMAP,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限
-
Backtrack5 网络漏洞***工具 Metasploit
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施***。它本身附带数百个已知软件漏洞的专业级漏洞***工具。当H.D.Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为***,每个人都可以使用***工具来***那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,
-
Metasploit 下的口令猜测与嗅探
对于发现的系统和文件管理类网络服务,比如Telnet,SSH,FTP等,可以进行弱口令的猜测,以及对明文传输的口令的嗅探,从而获取直接通过这些服务进入目标网络的通道。1、SSH服务口令的猜解对SSH服务的发现我们可以使用NMAP工具对目标机器进行扫描,如果发现对方开启了22端口或者SSH服务,那我才能继续实验下去在进行口令***之前,我们需要有一个好的用户名字典和口令字典。(如何制作一个好的字典与社
-
在 IIS6 中使用 GZIP
HTTP协议上的GZIP编码是一种用来改进WEB应用程序性能的技术。大流量的WEB站点常常使用GZIP压缩技术来让用户感受更快的速度。这一般是指WWW服务器中安装的一个功能,当有人来访问这个服务器中的网站时,服务器中的这个功能就将网页内容压缩后传输到来访的电脑浏览器中显示出来.一般对纯文本内容可压缩到原大小的40%.这样传输就快了,效果就是你点击网址后会很快的显示出来.当然这也会增加服务器的负载.
-
使用安全的Windows磁盘格式 荐
在网络上经常看到有朋友说Windows的操作系统的漏洞很多,安全性不高,服务器经常被******,其实不然。一个安全的服务器的定义不仅仅是指硬件上的安全,更重要的是指操作系统方面的安全,设置一个安全的操作系统需要我们从细节一点点加固系统,通过综合设置再加上管理人员的正常维护,才能打造真正意义上安全的服务器。在windows操作系统下,一些主要的分区格式有:FAT、FAT32以及NTFS格式,目前主流的
-
BT5运行update、upgrade后不能运行msf的解决方法(msf升级至4.8)
一、更新bt5_R3_64_GNOME安装在虚拟机(VM9.0.0)中的,未更新源,直接apt-getupdate和apt-getupgrade后,发现msf不能运行了。错误提示如下:二、解决问题(一)bundleinstall的提示于是在/opt/metasploit/msf3目录下运行bundleinstall:root@bt:/opt/metasploit/msf3#bundleinstal
Tar0
分享到朋友圈
- 关注技术:网络 Web服务器 ******
- 入住博客:2012-11-30 6.9年
七日热门
最近来访
