因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。
原创
2023-07-29 19:22:06
61阅读
因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。
原创
2023-07-25 16:37:13
210阅读
第一种方法:先处理掉那些占着连接但是不工作的线程。第二种方法:尽量减少短链接消耗,一种可能的做法,是让数据库跳过权限验证阶段:解决办法:跳过权限验证的方法是:重启数据库,并使用–skip-grant-tables 参数启动。这样,整个 MySQL 会跳过所有的权限验证阶段,包括连接过程和语句执行过程在内。风险极高,是我特别不建议使用的方案。尤其你的库外网可访问的话,就更不能这么做了。在 MySQL
转载
2023-08-09 13:20:33
69阅读
简介Apache Shiro 是 Java 的一个安全(权限)框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。Shiro 可以非常容易的开发出足
Mysql 身份认证绕过漏洞(CVE-2012-2122)当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。受影响版本:MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.2
转载
2023-08-03 20:02:32
0阅读
转自:https://www.sunchangming.com/blog/?p=4260
我今天早上来上班,打开电脑,在seclists中看到一个很惊人的邮件: http://seclists.org/oss-sec/2012/q2/493 MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的 情况下
转载
精选
2012-06-12 14:24:35
2012阅读
常见的几种身份验证方法在做项目时,我们常常会对登陆用户的合法性进行判断,接下来我就给大家介绍几中常见的身份验证的方法。1.session校验最先是session校验,这块一般是初学者最先做的一种校验方式,同时也是比较消耗服务器内存的一种方式。✒️流程:客户端发送登陆者的用户名以及密码,服务器接受到用户名和密码。服务器接受到转过来的用户名和密码后,先逻辑判断,假如通过则生成一个session和一个c
0x00 漏洞简述Apache Shiro 1.5.3之前的版本中,当将Apache Shiro与Spring动态控制器一起使用时,精心编制的请求可能会导致绕过身份验证,如果直接访问 /shiro/admin/page ,会返回302跳转要求登录,访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证,访问到/admin路由中的信息0x01 漏洞影响Apache Shir
前言 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。 我们可以使用Meterpreter中的模块或者使用特殊的SQL ...
转载
2021-07-25 00:45:00
359阅读
2评论
0x01 漏洞描述VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,
转载
2021-07-09 15:13:16
127阅读
话题 第一时间了解威胁0x01 描述VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,提供下一代反病毒(NGAV)、端点检测和响应(EDR)、高级威胁搜索和管理,使用单个传感器在单个控制台中实现。360云监测到 VMware Carbon Black App Control 存在身份认证绕过(CVE-2021-21998)。
转载
2022-02-11 11:03:16
80阅读
前言 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。 我们可以使用Meterpreter中的模块或者使用特殊的SQL ...
转载
2021-07-25 00:45:00
768阅读
2评论
0x01 漏洞描述
VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,提供下一代反病毒(NGAV)、端点检测和响应(EDR)、高级威胁搜索和漏洞管理,使用单个传感器在单个控制台中实现。
360漏洞云监测到 VMware Carbon Black App Control 存在身份认证绕过漏洞(CVE-2021-21998)。该漏洞源于处理
转载
2021-07-09 15:12:40
111阅读
• MySQL-权限系统介绍
• 权限系统的作用是授予来自某个主机的某个用户可以查询、插入、修改、删除等数据库操作的权限• 不能明确的指定拒绝某个用户的连接
• 权限控制(授权与回收)的执行语句包括create user, grant, revoke
• 授权后的权限都会存放在MySQL的内部数据库中(数据库名叫mysql) ,并在数据库启动之后把权限信息复制到
转载
2023-09-13 17:03:29
61阅读
前言Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。2022年29日,Apache官方披露Apache Shiro权限绕过(CVE-2022-32532),当Apache Shiro中使用Regex
原创
2023-02-27 15:26:27
1106阅读
MYSQL8安全之SSL认证SSL概念MYSQL实现SSL的流程MYSQL配置SSl0、SSL策略1、创建证书2、配置SSL证书检查状态3、配置SSL用户创建用户普通认证方式创建用户强制证书认证设置用户强制证书登录4、SSL登录SSL加密登录方法1;SSL加密登录方法2: SSL概念SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于
转载
2023-08-04 17:27:30
0阅读
MySQL权限系统介绍权限系统的作用是授权来自某个主机的某个用户可以查询、插入、修改、删除等数据库操作的权限。不能明确的指定拒绝某个用户的连接权限控制(授权与回收)的执行语句包括create user,grant,revoke授权后的权限都会存放在MySQL的内部数据库中(数据库名叫mysql),并在数据库启动之后把权限信息复制到内存中MySQL用户的认证信息不光包括用户名,还要包含连接发起的主机
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
原创
2022-10-17 16:01:59
2507阅读
一 单一服务器模式1 一般过程如下a 用户向服务器发送用户名和密码。b 服务器验证后,相关数据(如用户名,用户角色等)将保存在当前会话(session)中。c 服务器向用户返回session_id,session信息都会写入到用户的Cookie。d 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。e 服务器收到session_id并对比之前保存的数据,确认用
一、概念身份认证是指验证一个主体身份的真实性或证实某事件、某消息是否属实的过程,通过验证被验证者的一个或多个参数的真实性和有效性,来验证被验证者是否名符其实。 用户身份验证的方法有很多,如基于被验证者所知道的(知识证明),基于被验证者所拥有的(持有证明),基于被验证者的生物特征(属性证明)等等。二、身份认证的基本途径1、基于你所知道的知识、口令、密码。 2、基于你所拥有的身份证、信用卡、钥匙、智能
