一 、此次漏洞分析1 nginx HTTP/2漏洞[nginx-announce] nginx安全公告(CVE-2018-16843,CVE-2018-16844)在nginx HTTP / 2实现中发现了两个安全问题,漏洞对服务器的影响: 可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。影响范围: 这些问题会影响使用ngx_http_v2_
转载
2024-05-09 23:38:19
1031阅读
在详细使用说明上里,对nginx的一个部分已经进行了说明。这节开始解析http部分。在当前我的nginx.conf的配置如下: 可以看到配置项还是非常多的(这是LNMP包自动默认的配置选项)。1.Include mime.types 这是nginx加载当前的一个mime.types类型打开,可以看到该文件对应的是&n
转载
2024-08-16 14:01:47
190阅读
1、几个常见的配置项$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址$remote_user用来记录客户端用户名称$time_local用来记录访问时间与时区$request用来记录请求的url与http协议$status用来记录请求状态;成功是200$body_bytes_sent记录发送给客户端文件主体内容大小$http_referer用来记录从那个
转载
2024-02-22 01:31:24
487阅读
一、常见的内存泄露类型 1.造成内存泄露的代码: (1)循环引用 (2)自动类型装箱转换 (3)某些DOM 操作 2.循环引用 著名循环引用的例子(IE6,FF2): function A(){
var a=document.createElement("div");
a.οnclick=function(){
alert("hi");
}
}
A()
转载
2024-01-22 09:41:09
121阅读
最近在整理笔记,找到了之前为某厂商的测试记录,特此分几篇文章来记录下用到的一些小技巧,以提高渗透测试效率。今天的主题是:Javascript 接口安全,JavaScript文件泄露有可能会给我们的信息收集带来极大的便利,如子域名、后台地址、泄露的口令等信息,另一方面也可能会造成很多安全隐患,如JS劫持、蠕虫等攻击。0x01 什么是JavaScriptJavaScript 是 web 开发者必学的三
转载
2024-05-18 17:06:08
116阅读
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途信息泄露敏感信息作用1.robots.txt2. .git敏感文件3.物理路径泄露4.报错页面敏感信息泄漏5.备份文件泄露6.目录浏览7.其他乱七八糟总结 敏感信息什么是敏感信息:敏感信息包括但不限于:口令、密钥、
原创
2021-11-26 11:26:13
1129阅读
关于git泄露的一些简单操作关于.git泄漏可以使用GitHack进行.git泄露的利用,工具下载地址:https://github.com/BugScanTeam/GitHack我这里是windows10环境,使用是需要将git环境安装在环境变量里。安装了git后, 在当前文件夹右键打开git bash环境(这里的python版本为2.7)python GitHack.py http://cha
转载
2024-09-18 21:09:35
246阅读
目录.bash_history.bash_logout.bash_profile.bashrc每个用户的根目录下都有四个这样的 bash文件,他们是隐藏文件,需要使用-a参数才会显示出来.bash_history...
原创
2022-07-18 16:51:35
100阅读
# 实现“Java日志敏感信息泄露”教程
## 整体流程
下面是实现“Java日志敏感信息泄露”的整体流程,可以用表格展示步骤:
| 步骤 | 描述 |
| ---- | ---- |
| 1 | 引入日志框架 |
| 2 | 配置日志框架 |
| 3 | 编写日志输出代码 |
| 4 | 在输出敏感信息的地方使用日志输出 |
## 具体步骤
### 1. 引入日志框架
首先需要在项目
原创
2024-05-04 06:57:34
130阅读
下配置信息<servlet-mapping> <servlet-name>mailmaini</servlet-name> <url-patte
原创
2021-12-25 11:20:15
444阅读
# 如何在 Spring Boot 中实现敏感信息泄露防护
作为一名刚入行的小白,敏感信息泄露的防护是一个非常重要的话题。在这篇文章中,我们将通过实现一个简单的 Spring Boot 应用来展示如何泄露和保护敏感信息。为了更好地理解这个过程,我们将按照以下步骤进行:
| 步骤 | 描述 |
|------|------|
| 1 | 创建 Spring Boot 项目 |
|
原创
2024-09-16 06:21:27
270阅读
基本用户认证和授权/adminweb.xml添加一个新的过滤器来实现的,如 代码清单 1 所示。 清单 1. 在 web.xml 中添加 Spring Security 的过滤器 <filter>
<filter-name>springSecurityFilterChain</filter-name>
<filte
背景安全部门在做渗透测试的时候发现前端项目可以直接访问config.js文件,里面的配置信息都可以直接被查看到,要求要将敏感信息屏蔽。这里面有三个方法:1、将config.js文件在打包时变成随机名字,这是开发可以做的;2、开发打包时将js文件内容模糊化,这个也是开发做的;3、在nginx上拦截。在这里我就配置了nginx拦截,配置如下:具体配置在server模块下添加if(request_uri
原创
2022-12-21 15:10:29
3432阅读
#运行用户
user nobody;
#启动进程,通常设置成和cpu的数量相等
worker_processes 1;
#全局错误日志及PID文件
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pi
转载
2024-10-21 12:55:39
32阅读
好久没有更新了,这段时间博主忙着学习和打靶场去了,以及处理学校里面的一些琐事。现在打的也差不多了,就将
1.装箱即用的spring security加入依赖,加个配置即可——应用场景:eureka server,hystrix dashboard,springboot admin等,用于增加登录验证(基于cookie:jssessionId实现用户session的,不能用postman等工具来测试)。该应用场景效果基本nginx配置账号密码验证差不多<dependency>
转载
2024-10-15 14:02:06
102阅读
文章 安卓学习 测试 app:diva 点 不安全的日志输出 主要是由于 app 代码中将敏感信息输出到 app 的 logcat 中 使用 adb 工具查看安卓日志:adb logcat 硬编码 开发人员将/密钥等敏感字符字节写在源代码中 不安全的存储 将敏感数据保存到配置文件xm
原创
2022-01-21 11:18:34
1803阅读
# 在Spring Boot中实现敏感信息泄露的自动配置
在现代的Web应用开发中,敏感信息管理是一个非常重要的议题。Spring Boot提供了许多特性来帮助开发者有效管理这些信息。本文将向您展示如何在Spring Boot中实现敏感信息泄露的自动配置。以下是整个流程的概述:
## 整体流程
| 步骤 | 描述 |
|------|-
一、大背景 最近做的自动化测试平台需要进行重构,将原有的系统拆分成几个独立的子系统,我负责用户系统的开发,同时需要兼容老系统,我的头希望我采用spring security来进行权限控制和管理。有以下几个问题需要解决: 1、如何兼容已有的老的权限体系。 2、用户系统登录之后,如何将认证信息同步到其它子系统。二、调研还是按照惯例了解一下spring security到底是什么东西,基本的原理到
目录.bash_history.bash_logout.bash_profile.bashrc每个用户的根目
转载
2021-11-12 11:11:40
811阅读
