漏洞编号SSV-99356预警来源https://www.seebug.org/vuldb/ssvid-99356漏洞名称SRC-狮子鱼CMS-SQL注入漏洞类型SQL注入复现范文入库时间2022-01-29 14:53
——漏洞编号CVE-2021-3156预警来源漏洞名称sudo解析命令漏洞类型缓冲区溢出漏洞复现范文https://github.com/blasty/CVE
原创
2022-02-03 15:12:33
114阅读
对一个网站挖掘的深浅来说就得看你收集的如何,这说明信息收集在挖掘中是非常的重要的。子域名收集子域名收集是最简单的收集手法之一,有很多在线的工具可以直接套用,这里分享几个我经常用的。开心的时候用用这个扫描器为什么这么说,因为这是我写的(你生气用的话我怕我屏幕里突然冒出一个拖孩)1 import requests
2 import threading
3 from bs4 import B
今天对网站(不方便透露网站名称和网址)进行了备份,突然发现杀毒软件提示有病毒,心头一直冰凉。 查看病毒文件所在位置,对于网络程序员来讲,就可以知道病毒的大概来自于网站的什么漏洞了, &
转载
2017-04-10 14:35:19
3670阅读
背景几年前在CSDN的C币商城换购过一本《白帽子讲Web安全》,了解过Web网站在渗透测试过程中常见的安全问题。近来,自己开发的Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对安全要求不高的开发流程中,很可能被忽略。密码明文传输当年初学Java W
转载
2023-10-26 21:46:48
6阅读
漏洞说明 2021年12月9日,Apache Log4j2 Java 日志模块存在远程命令执行漏洞可直接控制目标服务器问题,攻击者攻击难度极低。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。该漏洞可通过 critical、error、warining、not
转载
2023-08-10 18:32:03
73阅读
前言Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。其实说到Java反序列化的问题,早在2015年年初的在AppSecCali大会上,两名安全研究人员Chris Frohoff 和 Gabriel Lawrence发表了一篇题为《Marshalling Pickles》的报告,就详细描述了Java反序列化漏洞可以利用Apache Commons Collecti
转载
2023-08-12 20:01:56
32阅读
文章目录一、问题排查一:SQL执行出错二、问题排查二:慢查询0.几个重要参数1.配置慢查询日志命令行配置(重启失效)修改配置文件(永久生效)2.查看慢查询日志3.问题排查1:Look_time耗时4.问题排查2:索引5.问题排查3:拆解复杂SQL参考 一、问题排查一:SQL执行出错使用工具: Navicat for MySQL当执行了一条错误的SQL语句,会显示错误信息,包含了错误码、错误详情。
转载
2023-10-16 06:32:15
68阅读
前言最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile '/etc/passwd' into table proc;,从而可以导致mysq
转载
2023-11-04 21:31:38
784阅读
linux上安装mysqlyum -y install httpd php php-mysql mysql mysql-server查看数据库
show datebases;
用哪个库就是用use datebases的内容
use dou;
然后查dou的表
show tables;
查某个表
select * from dou_admin;
查看某个表的固定几列
select user_name
转载
2023-07-01 21:22:13
44阅读
4、数据库安全基础4.1、MSSQL数据库角色权限sysadmin:执行SQL Server中的任何动作db_owner:可以执行数据库中技术所有动作的用户public:数据库的每个合法用户都属于该角色。它为数据库中的用户提供了所有默认权限。数据库身份验证SQL Server中的验证方式Windows身份验证模式SQL Server和Windows身份验证模式(混合模式)常用命令xp_cmdshe
转载
2023-08-16 11:12:20
86阅读
如果小结中有理解错误的地方,麻烦大家提出。漏洞本质: php 使用 php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的而当操作系统设置了GBK、EUC-KR、SJIS等宽字节字符集时候,将 ...如果小结中有理解错误的地方,麻烦大家提出。漏洞本质:php 使用 php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的
而当操作系统设
转载
2024-05-31 15:43:19
28阅读
JAVA反序列化漏洞研究引言调试环境的搭建漏洞分析攻击代码的分析参考 引言参考目前网上JAVA反序列化漏洞文章,本地搭建漏洞模拟环境,利用开源的JAVA反序列化漏洞攻击工具,模拟黑客攻击场景,并分析反序列化攻击的通信行为,预期根据特征或AI算法结合Suricata提出相应的检测方案。调试环境的搭建commons-collections-3.2.jarhttps://mvnrepository.c
转载
2024-03-10 17:41:42
37阅读
my.cnf
[client]
port = xxx
socket = /tmp/mysql.sock
default-character-set = utf8
[mysqld]
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES //STRICT_TRANS_TA
转载
2024-07-23 16:44:14
458阅读
一、漏洞基本信息 CVE编号:CVE-2016-6662 漏洞名称:MySQL远程代码执行 漏洞发布日期:2016.09.12 受影响的软件及系统:MySQL <= 5.7.15,5.6.33,5.5.52,Mysql分支的版本(MariaDB、PerconaDB)也受影响 漏洞概述:这个漏洞影响(5.7, 5.6, 和 5.5版本)的所有Mysql默认配置,包括最新的版本,攻击者可以远程
转载
2023-08-10 14:22:12
555阅读
今天我们来讲一讲mysql宽字节绕过注入。老规矩,我们先来了解一下什么情况下用它。 在mysql中有一个叫魔术引号的开关,phpstudy在php配置中叫magic_quotes_gpc,(它跟addslashes()的作用完全相同,也就是说addslashes()也可以使用宽字节绕过注入): 魔术引号是在接受的单引号、双引号、反斜线、NULL前加上一个反斜线进行转义。 那它对我们的注入有什么影
转载
2023-08-21 13:56:58
7阅读
大清早起来就看到F-Secure LABS团队(以前叫MWR,就是那支用13个逻辑漏洞攻破Chrome浏览器的团队,是Pwn2Own专业户)发了一篇文章“Automating Pwn2Own with Jandroid” (https://labs.f-secure.com/blog/automating-pwn2own-with-jandroid/ ),讲述如何利用Jandroid实现Andro
转载
2023-10-03 10:51:27
100阅读
企业在生产中部署的容器越来越多,但却忽略了安全问题…近日,Dimensional Research for Tripwire公布了一项IT安全专业人士调查报告,数据显示几乎一半企业遇到容器安全问题。在接受调查的269名IT专业人员中,46%不知道容器是否安全;47%承认容器在生产中存在漏洞。 总体而言,60%的受访者表示企业在过去一年经历过容器安全事故。早前,绿盟研究人员就拉取过Docker Hu
转载
2024-04-22 21:50:12
8阅读
今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞:phpmyadmin4.8.1后台getshell。该漏洞利用不要求root帐号,只需能够登录 phpMyAdmin 便能够利用。
在这篇文章中我们将使用VulnSpy的在线 phpMyAdmin 环境来演示该漏洞的利用。
VulnSpy 在线 phpMyAdmin 环
原标题:某国产数据库发现超高危漏洞 可能存在重大风险近日,某国产数据库确认存在一超高危漏洞,可能导致重大安全风险。该漏洞被“国家信息安全漏洞库”(CNNVD)发布并得到数据库厂商官方确认,漏洞编号CNNVD-201702-977。这是目前该国产数据库被确认的唯一超高危漏洞,利用此漏洞可以直接夺取操作系统最高控制权限。通常,我们按照对数据库的机密性、完整性和可用性的影响程度,对安全漏洞进行等级评定,
转载
2023-09-26 13:54:22
244阅读
一、问题痛点描述日常运维实际工作中,经常碰到密评风险漏洞生产环境扫描出很多数据库漏洞,要求整改MYSQL数据库整改方法就是升级版本,升更高版本就自动修复了上图的漏洞,能确保正常过风险评估。下文叙述了升级方法。 升级规范 5.7x升级5.7X 比如5.7.22升级5.7.36(5.7版本官方也一直在更新修复BUG) 8.0X升级至8.0X比如8.0.16升级至8.0.27 不要5.7升级8.0,因为
转载
2023-10-13 17:02:48
1785阅读
