1.web安全常见攻击手段
xss sql注入 防盗链 csrf 上传漏洞
2. 信息加密与漏洞扫描
对称加密 非对称加密
3. 互联网API接口安全设计
4. 网站安全漏洞扫描与抓包分析
5. Https协议底层原理分析
6.电子商务风控与黑名单和白名单系统
7. 基于多种手打尽防御DDS攻击
通过抓包分析工具 拿到token 获取令牌。
上传漏洞 如果有个 不良脚
转载
2018-11-21 18:38:00
280阅读
2评论
Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的attack的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。
本文代码 Demo 都是基于
原创
2023-09-03 21:21:44
197阅读
点赞
1. SQL 注入SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。原因当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。比如:name ="外部输入名称";sql = "select * fr
原创
2022-08-01 23:22:37
427阅读
http://bbs.ichunqiu.com/thread-9236-1-1.html?from=51ctobaibai社区:i春秋 时间:2016年8月4日10:30:00 作者:LoneliNess 前言 &n
转载
精选
2016-08-04 13:34:30
963阅读
## Java安全漏洞的实现流程
Java安全漏洞是指在Java程序中存在的潜在漏洞,可能导致程序遭受攻击或数据泄露。为了能够理解和防范这些安全漏洞,我们首先需要了解整个漏洞实现的流程。下面是一个表格展示了Java安全漏洞的实现流程:
| 步骤 | 描述 |
| --- | --- |
| 1 | 寻找目标系统 |
| 2 | 分析目标系统 |
| 3 | 构造攻击载荷 |
| 4 | 发起攻
原创
2023-08-05 08:55:44
78阅读
什么是目录遍历第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中 pathname 就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是 http://xxx.com/../../../x
原创
2021-05-19 09:25:21
1396阅读
命令执行漏洞
一般查看home目录,挖掘用户信息:ls -alh /home查看具体用户的目录:ls -alh /home/用户名/查看系统信息:uname -a
利用ssh命令执行root权限命令使用ssh 用户名@localhost通过ssh登录服务器是不需要身份验证的;比如查看bill用户sudo命令的权限:ssh bill@localhost sudo -lubuntu自带防火墙,所以关
原创
2021-09-14 14:44:54
647阅读
文件上传漏洞及危害 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能,例如头像、图片、视频等,这块的逻辑如果处理不当,很容易触发服务器漏洞。这种漏洞在以文件名为 UR
转载
2020-12-09 20:06:00
119阅读
SQL注入 未对用户输入进行检查,使得用户输入可以执行SQL语句 SQL注入可以分为报错注入,Union注入,时间盲注,布尔盲注,堆叠注入等。 注入步骤: graph LR 寻找注入点--> 判断注入类型--> 猜解数据库名--> 猜解数据表名--> 猜解数据字段名 威胁 猜解后台数据库,盗取网站的 ...
转载
2021-09-12 23:50:00
458阅读
2评论
一. 实验目的 (1)掌握网络漏洞扫描的原理和方法 (2)复习Nmap的使用命令和kali的使用 (3)学习开源扫描工具
底层漏洞:
1. 查看该系统所用框架:
Struts2的相关安全:
(1) 低版本的struts2,低版本的Struts2存在很多已知的版本漏洞。一经使用,很容易造成比较大的危害。
转载
2023-05-29 18:37:14
313阅读
一、什么是Web漏洞扫描工具即是指“扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具”,其中许多可能是由不安全或不正确的编码和设计。另一方面,通用(网络或系统)扫描器可以识别开放端口,主动IP地址和登录,主机操作系统和软件类型,修订版本和修补程序级别以及运行的服务。二、漏洞扫描主要策略1.主机漏洞扫描:通常在目标系统上安装了一个代理或是服务以
转载
2024-01-09 19:38:49
21阅读
本篇将结合一个apache commons-collections组件来学习java反序列化漏洞原理,以及如何构造利用链。我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对
转载
2024-09-19 19:52:01
71阅读
文件包含漏洞以及php伪协议的应用 文章目录文件包含漏洞以及php伪协议的应用前言一、文件包含漏洞本地包含案例演示dvwa(低级)dvwa(中级)dvwa(高级)二、php伪协议1. data://text/plain2. php://input3. 本地文件包含漏洞利用技巧三、文件包含漏洞防御方法总结 前言文件包含漏洞也属于注入漏洞的一种,但跟以往的注入漏洞方式又不一样,接下来给大家介绍该漏洞实
Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。不过无论是什么漏洞,都体现着安全是一个整体的真理,考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。
◆物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求
转载
2009-08-24 14:04:09
646阅读
https://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-9.htmlhttps://tomcat.apache.org/security-8.htmlhttps://tomcat.apache.org/security-7.html
原创
2021-08-25 10:32:22
453阅读
https://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-9.htmlhttps://tomcat.apache.org/security-8.htmlhttps://tomcat.apache.org/security-7.html
原创
2022-02-15 17:32:21
186阅读
