51CTO首页
内容精选
博客
学堂
精培
企业培训
CTO训练营
智能汽车
开源基础软件社区
WOT全球技术创新大会
公众号矩阵
移动端
短视频 免费课程 课程排行 直播课 软考学堂
精品班 厂商认证 IT技术 2024年软考 PMP项目管理 软考资讯
在线学习
CTO训练营 技术经理研习营 LeaTech峰会
文章 资源 问答 开源课堂 专栏 直播
51CTO
开源基础软件社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
开源基础软件社区订阅号
51CTO学堂APP
51CTO学堂企业版APP
开源基础软件社区视频号
Gitlab上利用SAST进行代码审计

Gitlab上利用SAST进行代码审计

===================前置安装配置==========================1、Gitlab 配置并启用SAST功能2、配置gitlab-runner单独安装gitlab-runner,需要设置为share模式,便于配合多project使用docker run -d --name gitlab-runner --restart always \ -v /srv/g

gitlab
sast
原创 2022-07-25 11:57:21 2291 阅读

合理利用DNSLOG进行无回显安全测试

利用dnslog进行无回显安全性测试

dbslog
无回显测试
原创 2019-01-02 13:48:04 6664 阅读

驭龙HIDS安装及测试

驭龙HIDS是一款由 YSRC 开源的***检测系统,由 Agent, Daemon, Server 和 Web 四个部分组成。集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现***行为。 简单的讲,驭龙提供了一个OSSEC/OSSIM之外的开源HIDS选择。对于“一个人的安全部/没有钱的安全部”来说,是一个功能更丰富,二次开发门槛更低一些的“轮子”。 除了agent中涉及到驱动的部分是c写的,其他后端、web都是golang写的,天然跨平台。agent支持32位/64位win、linux环境,后端所依赖的Elasticsearch、MongoDB本身也支持多平台,所以后端部署在win、linux皆可。如果只有小几百个agent部署实例,最少单台机器就能支撑。

驭龙
驭龙HIDS
开源IDS
原创 2018-06-08 15:45:45 10000+阅读 1评论
nginx_lua_waf安装测试

nginx_lua_waf安装测试

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙,对于中小企业或不愿购置硬件防火墙的企业的首选,能有效保证网站的安全性。 源码:https://github.com/loveshell/ngx_lua_waf0x1  安装部署系统版本:Centos7 x86_64 安装依赖包 yum install&

waf
ngx_lua_waf
原创 2017-11-09 14:21:11 2528 阅读 1收藏 1评论

Redis安全规范----check list

Redis安全规范—-check list.1.信任的内网运行,尽量避免有公网访问在/etc/redis/redis.conf中配置如下: bind 127.0.0.12.绑定redis监听的网络接口如果服务器有多个IP,可限定redis server监听的IP,通过redis配置项bind,可同时绑定多个IP3.设置防火墙如果需要其他机器访问,或者设置了slave模式,那就记得加上相应

安全
redis
原创 精选 2017-06-19 14:48:25 2840 阅读 1点赞

一句话木马(webshell)是如何执行命令的

      在很多的渗透过程中,渗透人员会上传一句话木马(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。首先我们先看一个原始而又简单的php一句话木马。<?php @eval($_POST['cmd

一句话
webshell
原创 精选 2017-06-16 10:12:32 10000+阅读 5点赞 1评论

浅谈webshell检测方式

一  什么是webshell“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。简单理解:webshell就是一个web的页面,但是它的功能非常强大可以获得一些管理员不希望你获得的权限,比如执行系统命令、删除web页面、修改主页等。webshell

服务器
网站
webshell
原创 推荐 2016-01-10 16:58:57 2502 阅读 3点赞 1评论

Kali Linux 渗透测试之拒绝服务攻击及防御

     作为渗透测试人员,有时候需要对客户的系统进行DDOS攻击测试,那么这个时候就需要我们有一款合格的测试工具。而在Kali Linux上就集成了一些DDOS测试工具供测试者使用,下面就简单介绍一些测试工具。kali下的拒绝服务攻击:D(D)OS........................................1yersinia...........

DOS
压力测试
原创 推荐 2015-12-16 10:56:10 10000+阅读 4点赞

Kali Linux Web渗透测试之 WebSploit

WebSploit简介:l   一个综合性的,高级的中间人漏洞攻击框架。l   由python编写的开源项目。l   源代码:https://github.com/websploit/websploitl   项目地址:http://sourceforge.net/project

websploit
原创 推荐 2015-12-09 14:34:53 4462 阅读 7点赞 3评论

WordPress博客系统的安全

   随着计算机网络的流行,越来越多的人开始创建自己的博客,论起博客系统,全球用的最多的博客系统就是wordpress(以下简称WP)。   但是如果用过WP的人都应该知道,WP的站点想要做的好看,插件是必不可少的,也因此插件上爆出的漏洞还是特别多的,个人感觉,对于WP的站点的安全测试,除了0Day常规的思路很难搞定:比如扫目录、找敏感文件和目录、查旁站等.

WordPress
wordpress安全
原创 精选 2015-12-08 13:23:45 3120 阅读

kali下生成web端后门

  很多时候在渗透测试时选择web木马害怕用的别人的马带有后门,这样自己的辛苦就要被别人不劳而获,很多时候我们都想拥有自己的马,那么这个时候你就应该使用kail来生成一个自己独特密码的web木马了。 Kali Linux自带有好几个web木马生成工具,下面我们来简单看几个:1.webacoo后门webacoo  -g -o test.php-g 制作后门代码-o 输出

kali linux
web后门
原创 2015-12-07 21:43:14 5226 阅读

Python中如何读写文件

Python读写文件 1.open 使用open打开文件后一定要记得调用文件对象的close()方法。 比如可以用try/finally语句来确保最后能关闭文件。 file_object = open('thefile.txt') try:      all_the_text = file_object.r

Python
读写文件
原创 2014-10-17 11:25:56 1035 阅读

让Web站点崩溃最常见的七大原因

磁盘已满  导致系统无法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况,隔一定的时间,就需要将磁盘上的一些负载转存到备份存储介质中(例如磁带)。日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件,以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间

web崩溃
崩溃原因
原创 2014-06-01 11:12:38 760 阅读

Apache优化

KeepAlive OnKeepAliveTimeout 15<IfModule mpm_prefork_module>    StartServers          5    MinSpareServers       10    MaxSp

apache优化
原创 2014-01-03 10:45:03 529 阅读

Apache -- Virtual Hosts

所谓虚拟主机,就是指一台服务器作为多域名的Web服务器。ISP经常通过一台服务器为其客户提供Web服务。而客户通常希望主页以自己的名字出现,而不是在该ISP的名字后面,因为使用单独的域名和根网址可以看起来更正式一些。传统上,用户必须自己设立一台服务器才能达到拥有单独域名的目的,然而这需要维护一个单独的服务器。很多小单位缺乏足够的维护能力,更为合适的方式是租用别人维护的服务器。ISP也没有必要为一个

虚拟主机
Virtual Hosts
原创 2013-12-29 23:46:51 679 阅读

HTTP头信息

通常 HTTP 消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行,一个或者多个头域,一个只是头域结束的空行和可选的消息体组成。HTTP 的头域包括通用头,请求头,响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部分组成。域名是大小写无关的,域值前可以添加任何数量的空格符,头域可以被扩展为多行,在每行开始处,使用至少一个空格或制表符。四种不同类型

HTTP
头信息
原创 2013-12-29 23:39:30 721 阅读

服务器安全维护

电子商务的兴起,使的很多中小企业都拥有了自己的服务器。对内用来建立局域网,提升办公效率;对外建立网站,更为广泛地宣传企业产品和形象,争取更多客源。但是作为网络的核心产品,服务器技术相对复杂,尤其是在病毒肆虐的网络时代,安全问题显得更加突出。现在就提供一些实际工作中总结出的经验,希望能和大家共享,以确保网站服务器安全。一、增强整体网络安全很多网管往往在维护网络安全方面存在这样的误区,认为只要将服务器

网站服务器
服务器安全
原创 2013-12-11 22:48:36 908 阅读

浅谈服务器被黑后的检查工作流程

今天说说以入侵者的角度去谈谈服务器被干掉后,我们该做的哪些防护和检查工作,高手的话都比较熟悉系统加固和安全的问题,对于我等初学者来说,没有做过从事过安全方面工作,所以只能从入侵者的角度去说说相对立的工作。因为初学者的我们也会自己弄服务器自己建站,又没有专业的知识,也不是搞什么大项目,所以都只能自己维护了,那么被入侵后,肯定也是得自己做维护和检查工作了,于是有了下文。通常服务器被入侵,一般有以下几种

其他
原创 推荐 2013-12-09 23:23:15 1972 阅读 4点赞 3评论

使用EFS加密windows文件

曾在碰到有朋友提出如下几个问题:一是,我加密的文件打不开,能否将NTFS格式分区转换成FAT32分区能打开吗?二是,加密数据后重装了操作系统,现在加密数据不能打开,如果我使用跟前一个系统同样的用户名和密码能否打开?三是,用GHOST恢复了一下系统,用户账户和相应的SID都没有变,能否打开加密的数据文件?以上种种是我们在XP/2000/2003中加密文件后,因为这样或那样的问题,经常出现打不开加密的

windows
文件夹
安全性
文件加密
EFS加密
原创 2013-11-01 12:06:41 1270 阅读

Backtrack5 SQL注入漏洞探测

SQLMAP,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限

sqlmap
sqlmap参数
sqlmap注入
原创 2013-10-20 11:03:13 1736 阅读 3点赞 1评论

Backtrack5 网络漏洞攻击工具 Metasploit

Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D.Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,

metasploit
原创 2013-10-17 22:35:26 3786 阅读 1点赞

Metasploit 下的口令猜测与嗅探

对于发现的系统和文件管理类网络服务,比如Telnet,SSH,FTP等,可以进行弱口令的猜测,以及对明文传输的口令的嗅探,从而获取直接通过这些服务进入目标网络的通道。1、SSH服务口令的猜解对SSH服务的发现我们可以使用NMAP工具对目标机器进行扫描,如果发现对方开启了22端口或者SSH服务,那我才能继续实验下去在进行口令攻击之前,我们需要有一个好的用户名字典和口令字典。(如何制作一个好的字典与社

metasploit
口令嗅探
口令猜解
原创 2013-10-17 14:11:04 1280 阅读

在 IIS6 中使用 GZIP

HTTP协议上的GZIP编码是一种用来改进WEB应用程序性能的技术。大流量的WEB站点常常使用GZIP压缩技术来让用户感受更快的速度。这一般是指WWW服务器中安装的一个功能,当有人来访问这个服务器中的网站时,服务器中的这个功能就将网页内容压缩后传输到来访的电脑浏览器中显示出来.一般对纯文本内容可压缩到原大小的40%.这样传输就快了,效果就是你点击网址后会很快的显示出来.当然这也会增加服务器的负载.

IIS6
GZIP
网页压缩
提升网站浏览速度
原创 2013-10-15 09:48:16 454 阅读

使用安全的Windows磁盘格式

在网络上经常看到有朋友说Windows的操作系统的漏洞很多,安全性不高,服务器经常被黑客入侵,其实不然。一个安全的服务器的定义不仅仅是指硬件上的安全,更重要的是指操作系统方面的安全,设置一个安全的操作系统需要我们从细节一点点加固系统,通过综合设置再加上管理人员的正常维护,才能打造真正意义上安全的服务器。在windows操作系统下,一些主要的分区格式有:FAT、FAT32以及NTFS格式,目前主流的

Windows磁盘配置
windows文件加密
磁盘安全
原创 推荐 2013-10-13 14:44:31 757 阅读 2点赞

BT5运行update、upgrade后不能运行msf的解决方法(msf升级至4.8)

一、更新bt5_R3_64_GNOME安装在虚拟机(VM9.0.0)中的,未更新源,直接apt-getupdate和apt-getupgrade后,发现msf不能运行了。错误提示如下:二、解决问题(一)bundleinstall的提示于是在/opt/metasploit/msf3目录下运行bundleinstall:root@bt:/opt/metasploit/msf3#bundleinstal

metasploit
metasploit升级
metasploit升级失败解决办法
原创 2013-10-12 21:27:50 1270 阅读 2点赞

存储型 XSS

存储型XSSXSS攻击的用处JS-Context存储型XSS:1、</script>闭合当前脚本,然后输入自定义内容。过滤<,>,/替换</script>为</’+’script>(网易邮箱)2、根据JS上下文,构造正确的闭合。根据实际情况,进行过滤。通常输出是字符串,在’和"之间,过滤’,"即可和<script>中的XSS一样,过滤’和

存储型xss
原创 2013-10-09 09:47:03 1201 阅读 2点赞

反射型 XSS

反射型XSS科普型paper,大牛略过。--:在Web2.0技术的发展下越来越多的计算工作被放到客户端处理,由于程序员的疏忽,导致了许多的安全漏洞。XSS属于比较常见的一种,在前几年XSS还并不怎么被人重视,但如今,随着XSS漏洞的危害日益增大,如校内和baidu空间前阵子的XSSWORM等等,其危害之大也引起了大家的重视。XSS的类型大体分为三种:反射型XSS、持久型XSS以及DOMXSS,相比

反射型XSS
原创 2013-10-08 22:04:59 2192 阅读 1点赞 2评论

PHP 代码审计

PHP是一种被广泛使用的脚本语言,尤其适合于web开发。具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应用,包括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。随着web安全的热

php代码审计
web程序安全
原创 推荐 2013-10-02 21:26:26 1553 阅读 2点赞 1收藏 1评论

会说谎的URL

我叫URL,即“UniformResourceLocators”,意思是统一资源定位器。地址栏中的网址就属于我URL的一种表达方式。基本上所有访问网站的朋友都会使用到我,所以我的作用是很大的。也许很多朋友都不知道,我可是很会骗人的。特别是有一群自称黑客的家伙很喜欢让我欺骗你们,趁你们不留心,就让我带你进入植入了木马的网页。所以我今天要大胆的自揭其短,让你们看清我,千万不要被那些黑客利用我把你们给欺

URL欺骗
转载 精选 2013-10-02 17:53:31 477 阅读

Meterpreter 简述

Metasploit是Windows系统下的ShellCode—meterpreter!MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。exploit是指“漏洞及其利用”,其利用一切可以利用的工具、采取一切可以采取的方法、找到一切可

meterpreter
原创 2013-09-30 11:31:21 2176 阅读
  • 1
  • 2
  • 3

Copyright © 2005-2023 51CTO.COM 版权所有 京ICP证060544号

关于我们
官方博客 全部文章 热门标签 班级博客
了解我们 网站地图 意见反馈
友情链接
开源基础软件社区 51CTO学堂
51CTO 软考资讯 汽车开发者社区