一、Apache Shiro 简介1、什么是shiroApache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authenti
转载
2024-06-18 09:50:45
356阅读
# Docker从Harbor拉取镜像
在使用Docker进行容器化部署时,我们经常需要从不同的镜像仓库中拉取镜像。其中,Harbor是一个开源的企业级Docker镜像仓库,它提供了安全、可信赖的镜像管理和分发功能。本文将介绍如何使用Docker从Harbor拉取镜像,并提供相应的代码示例。
## 准备工作
在开始之前,我们需要先准备好以下工作环境:
1. 安装Docker,确保已经正确安
原创
2023-10-17 04:03:21
445阅读
简单来说可以这么理解preg_replace('正则规则','替换字符','目标字符')若目标字符存在符合正则规则的字符,那么就替
原创
2024-03-04 14:10:26
243阅读
0x00 *法律法规的必要科普话不多说,先上图:0x01 漏洞挖掘难易的介绍1.漏洞的挖掘现在大致分为三种类型,从易到难分别是:从易到难的难度的区分在于:参考 积分相关证书奖励、 cnvd等原创报送证书、 补天等漏洞平台的项目奖金想拿到一个原创的cnvd还是得下一定的时间(大佬忽略)0x02 edu漏洞挖掘思路介绍edu的漏洞挖掘方向分为两种:常规挖掘、定点挖掘(一)、常规安全挖掘:常规安全便是使
攻击者可以通过修改请求的目标地址,将请求发送到内部网络或其他受信任的服务器上,从而绕过防火墙和访问控制。2. 攻击内
原创
2024-03-03 01:15:01
165阅读
一、HTTP协议HTTP是一个基于请求与响应模式的、无状态的应用层协议。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建在HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。1、HTTP协议工作原理客户机与服务器建立连接后,浏览器可以向web服务器发送请求并显示收到的网页,当用户在浏览器地址栏中输入一个URL或点击一
转载
2023-07-31 20:43:18
60阅读
本周(1126至1202)安全方面值得关注的新闻集中在漏洞攻击、恶意软件和威胁趋势方面。
漏洞攻击:IBM警告Lotus Notes存在远程代码执行漏洞;客户端及应用漏洞在SANS 2007年威胁表占据前列;关注指数:高
新闻1:周四,IBM当天发布安全公告称,它的企业电子邮件软件
Lotus Notes中存在一个远程代码执行漏洞,攻击者将可
转载
2024-05-14 22:08:54
78阅读
墨者学院-X-Forwarded-For注入漏洞实战前言: 刷题之前看到X--Forwarded-For,之前也了解过一点,又去百度了一下,原来X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、
转载
2024-01-19 14:30:31
381阅读
RCE(remote command/code execute)概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程连接命令执行ping和远程代码执行evel命令木马。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个p
转载
2023-11-12 13:58:44
106阅读
0x00 远程代码执行 - 介绍1)什么是远程代码执行远程命令执行 英文名称:RCE (remote code execution) ,简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。2)远程代码执行的特点远程代码执行是指攻
转载
2023-11-29 13:08:31
251阅读
解析漏洞:指一些特殊文件被iis apache nginx某种情况解释成脚本文件格式的漏洞 一,is解析漏洞: 1,目录解析:在网站下建立文件夹名字为:xxx.asp,.asa的文件夹,其目录内的任何拓展名文件都会被iis当作asp文件去解析执行 被当作asp文件去执行的话,不管他改不改名都可以拿s ...
转载
2021-09-12 17:31:00
400阅读
2评论
前言 上一篇文章中,对逻辑漏洞进行了简单的描述,这篇文章简单的说一说逻辑漏洞中的越权漏洞。 参考文献《黑客攻防技术宝典Web实战篇第二版》 什么是越权漏洞? 顾名思义,越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说,就是用户A可以通过某种方式查看到用户B的个人信息,或者可以查看管理
原创
2021-04-27 18:34:22
1887阅读
这是我第一次尝试翻译一篇漏洞挖掘文章,翻译它也是为了加深理解它。这是一篇很有意思的漏洞挖掘文章。 前几天在看fd的博客,偶然看到了这篇文章,虽然有点老了。但是思路真的牛皮。我决定花费时间和精力研究它们。我决定运用我对这个漏洞的理解来讲述他们。 存在漏洞网站地址:http://www.google.com/tools/toolbar/buttons/apis/howto_guide.ht
转载
2024-08-19 11:17:38
81阅读
Metasploit MS08-067 漏洞利用演示MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码。此漏洞可用于进行蠕虫攻击,目前已经有利用该漏洞的蠕虫病毒。原理解析:攻击者利用windows操作系统默认开放的SMB服务445端口发送恶意代码到目标主机,通过MSRPC接口调用S
转载
2024-05-16 02:09:50
345阅读
2022年7月12日,Uniswap V3 平台遭受了网络钓鱼攻击。据Tokenview数据显示,攻击者已盗取7,573枚ETH,价值约810万美元。CZ预警Binance首席执行官CZ发推提醒,黑客在Uniswap V3平台上窃取了4,295枚ETH。最初CZ将这次攻击解释为Uniswap V3的协议漏洞,但很快就被澄清为这是一场网络钓鱼活动。Uniswap创始人Hayden Adams也证实了
转载
2023-08-29 11:23:59
15阅读
0x01 前言数据序列化常见的应用场景:数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口处。主要作用:能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构,方便应用所见即所得,直接进行数据交流处理。引发的安全问题:PHP的unserialize/__wakeup()漏洞、struts的ognl、xml解析的一系列漏洞、Ruby
转载
2023-12-01 22:07:37
21阅读
jQuery基础信息jQuery简介jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 jQuery是一个JavaScript UI框架,它为许多DOM操作
转载
2023-08-27 14:54:28
379阅读
如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞!去年2月,谷歌把自家的SPDY项目捆绑进HTTP2.0,意在加强网页加载速度和用户的在线浏览体验。三个月后HTTP2.0正式发布,HTTP2.0如今已成为大部分网站最主要的HTTP协议版本。来自Imperva(一家全球领先的新型数据应用安全的技术领导者和知名
转载
2024-05-06 13:26:17
39阅读
官方:https://owasp.org/Top10/zh_TW/A00_2021_Introduction/
接下来简单对各个漏洞再做个描述top1:权限控制失效(Broken Access Control)文件包含/目录遍历权限绕过(水平越权)权限提升(垂直越权)不安全直接对象的引用top2:加密失败(Cryptographic Failure)敏感数据传输(通过HTTP、FTP、SMTP等)
转载
2024-05-08 10:03:03
62阅读
1、 JS调用的安卓方法必须放在一个Handler中执行2、 webview可能造成漏洞,调用时分三种: addJavascriptInterface 进行js调用, 4.2以下有漏洞使用WebViewClient的shouldOverrideUrlLoading 进行url拦截,缺点是单向请求,有返回值的必须在通过js方法进行返回,适合于页面转换无返回值的情况重写WebVie
转载
2023-12-18 14:28:49
42阅读
