本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记前文链接WAMP/DVWA/sqli-labs 搭建burpsuite工具抓包及Intruder暴力破解的使用目录扫描,请求重发,漏洞扫描等工具的使用网站信息收集及nmap的下载使用SQL注入(1)——了解成因和手工注入方法SQL注入(2)——各种注入SQL注入(3)——SQLMAPSQL注入(4)——实战SQL注入拿webshellVulnh
转载
2024-08-04 18:41:55
287阅读
本周安全态势综述OSCS社区共收录安全29个,公开值得关注的是Apache Hadoop YARN 远程代码执行(CVE-2021-25642),Firefox 内存破坏(CVE-2022-38478)和Atlassian Bitbucket Server 和 Data Center 命令注入(CVE-2022-36804)。针对 NPM、PyPI 仓库,共监测到 5 次投毒事
转载
2024-03-14 22:04:13
0阅读
报告编号:B6-2021-011803报告来源:360CERT报告作者:360CERT更新日期:2021-01-190x01漏洞简述2021年01月18日,360CERT监测发现Jumpserver发布了远程命令执行漏洞的风险通告,漏洞等级:高危,漏洞评分:8.5。Jumpserver中存在一处受控服务器远程任意命令执行漏洞,该漏洞由多处漏洞导致。对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。本次漏洞出现的核心问题在于\1. log文件的默认路径固定,且易知.
转载
2021-06-18 14:20:22
1171阅读
报告编号:B6-2021-011803报告:360CERT报告作者:360CERT更新日期:2021-01-190x01简述2021年01月18日,
转载
2022-02-21 09:35:09
103阅读
测试url:http://190.196.67.252:9200/_search?prettyhttp://191.234.18.14:9200///_search?prettyPOST提交{“size”:1,”script_fields”: {“iswin”: {“script”:”java.lang.Math.class.forName(\”java.io.BufferedReader\”).
转载
2015-03-06 09:20:00
345阅读
2评论
hadoop核心组件——HDFS系列讲解之HDFS的shell命令操作基本语法常用命令HDFS的特性 基本语法老版本:hadoop fs 具体命令新版本:hdfs dfs 具体命令常用命令(1)-help:输出这个命令参数bin/hdfs dfs -help rm(2)-ls: 显示目录信息hdfs dfs -ls /(3)-mkdir:在hdfs上创建目录hdfs dfs -mkdir -
转载
2023-07-19 13:40:14
8阅读
0x00 什么是任意代码执行当应用在调用一些能将字符串转化成代码的函数(如PHP重的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中,如PHP的eval函数,可以将字符串代表的代码作为PHP代码执行,当用户能够控制这段字符串时,将产生代码注入漏洞(也称命令执行)。广义上的代码注入,可以覆盖大半安全漏洞的分类。0x01 为什么存在任
推荐
原创
2016-07-25 21:38:45
6136阅读
点赞
我们在开发Web应用时,经常会提供文件下载的功能。工程师们一般会考虑遵循“单一原则”,会开发一个将请求中的file或filePath作为参数,来下载指定的文件。这样开发一个下载的功能,就能支持所有的下载需求了。比如,输入这样的URL就能够下载123.txt这个文件了。这样的确很方便,但是,大家有没有想过,这样的功能可能会出现什么样的安全隐患或者漏洞呢?来,我们先看看例子:下面是一段提供文件下载的s
转载
2023-10-27 19:45:06
39阅读
今天在thinkphp官网闲逛,无意下载了一套eduaskcms,查看了一下libs目录中居然存在PHPMailer-5.2.13,想起了之
原创
2023-07-05 13:53:50
69阅读
一 YARN的启动流程 &n
转载
2023-08-07 15:14:44
37阅读
实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险!命令执行漏洞利用与防护【实验目的】 掌握命令执行漏洞产生的原因和利用方法,感受其带来的危害,了解相应的防范策略。【实验环境】**目标靶机:**DVWA2008
(用户名: 360college 密码: 360College)
**Web渗透主机:**WebPentester
(用户名: college 密码: 3
报告编号:B6-2021-072701报告来源:360CERT报告作者:360CERT更新日期:
转载
2022-01-07 17:31:53
103阅读
报告编号:B6-2021-072701报告来源:360CERT报告作者:360CERT更新日期:2021-07-270x01
转载
2021-08-01 15:55:01
244阅读
报告编号:B6-2021-011802报告:360CERT报告作者:360CERT更新日期:2021-01-180x
转载
2022-02-21 09:37:03
160阅读
报告编号:B6-2021-011802报告来源:360CERT报告作者:360CERT更新日期:2021-01-180x01漏洞简述2021年01月18日,360CERT监测发现Jumpserver发布了远程命令执行漏洞的风险通告,漏洞等级:高危,漏洞评分:8.5。Jumpserver中存在一处受控服务器远程任意命令执行漏洞,该漏洞由多处漏洞导致。对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。0x02风险等级360CERT对该漏洞的评定结果如下评定方.
转载
2021-06-18 14:20:23
427阅读
漏洞原理:ApacheCouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,CreditSuisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。在201
原创
2019-07-17 20:28:39
2704阅读
点赞
概述相信开始看源码的你,正在一点点的进入知识的殿堂,一起挖掘吧. ResourceManager 是Yarn 的资源调度中心,很重要,所有的资源申请都需要通过ResourceManager来调度. The ResourceManager is the main class that is a set of components. "I am the Resource
转载
2024-08-02 13:26:00
74阅读
# Hadoop代码执行及防范措施
## 引言
随着大数据技术的不断发展,Hadoop作为一个开源的分布式存储和计算框架,在大数据处理中扮演着重要的角色。然而,由于Hadoop的分布式和开放性特点,也存在一些潜在的安全风险,其中之一就是Hadoop代码执行。
## 什么是Hadoop代码执行
Hadoop代码执行指的是者可以通过构造恶意代码,让Hadoop框架执行这些代
原创
2024-06-04 07:23:52
61阅读
0x01:命令执行漏洞简介用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许***者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码 0x02:命令执行 VS 代码执行命令执行漏洞:直接调用操作系统命令代码执行漏洞:靠执行脚本代码调用操作系统命令命令执行原理:在操作系统中,“&、|、||”都可以
原创
精选
2016-12-20 16:55:21
10000+阅读
点赞
简介命令执行漏洞是指应用程序在调用执行系统命令的函数时,未对用户输入进行严格的过滤和验证,导致恶意用户可以通过构造恶意命令参数来执行任意系统命令。这种漏洞可能会导致公鸡者获取敏感信息、执行恶意操作或者控制服务器等危害。命令执行漏洞的分类主要有两种情况:代码层过滤不严:开发人员在编写代码时没有对用户输入进行充分的验证和过滤,导致恶意用户可以通过构造恶意命令参数来执行任意系统命令。命令拼接符:恶意命令
原创
精选
2024-03-06 11:08:39
488阅读
