漏洞笔记整理

漏洞挖掘】——53、 WebSocket安全概览

文章前言在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTPHistory选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTPProxy右侧的"WebSocketsHistory"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究
FLy_鹏程万里·2024-09-11 03:20

【网络安全】漏洞挖掘之会话管理缺陷

未经许可,不得转载。文章目录正文正文目标:example.com该站点允许存在主要邮箱和次要邮箱。在尝试使用次要邮箱和密码登录时,由于账户最初是通过主邮箱创建的,无法登录。于是,我通过次要邮箱使用GoogleOAuth进行登录。令人意外的是,我成功通过GoogleOAuth登录了该账户。接着,我在两个浏览器上登录了同一个账户:Chrome浏览器使用主邮箱([email protected])和
秋说·2024-09-11 03:48

x-ray社区版简单使用教程

/xray_windows_amd64genca使用方法1,使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描(xray的基础爬虫不能处理js渲染的页面).
一只迷茫的汪·2024-09-11 01:36

Java Web安全与Spring Config对象实战

课程还包括实战演练,通过设置安全环境和安全漏洞模拟,帮助开发者提升应用的安全性和故障排查能力。1.Web安全
福建低调·2024-09-10 22:49

linux提权:从入门,Linux提权:从入门到放弃

Linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置。一下是我总结的一些提权方法。
Kalu丁·2024-09-10 22:48

我和我的孩子们--之大闺女儿

丫头跟了我两年多了,初一来的,成绩一直不是那种飞快的提高,每次考试只能往前进步一名,一开始刚来的时候,她很急躁,雄心壮志的,总想快速提高,可是总有这样那样漏洞,做了很多技术,催眠、bar
王翎菲Tea·2024-09-10 19:48

8月3日打卡:人生地图

地图准确无误,我们就能确定自己的位置,知道要到什么地方,怎样到达那里;地图漏洞百出,我们就会迷失方向。”为什么人到中年后会有那么多的不如意和焦虑?其中一个重要的因素是过了青春期,就放弃了绘制地图。
绿地公园·2024-09-10 19:34

Web安全之CSRF攻击详解与防护

跨站请求伪造(Cross-SiteRequestForgery,CSRF),是一种常见的Web安全漏洞
J老熊·2024-09-10 19:57

云WAF防御简介之0day攻击

0day攻击简介0day攻击,也称为零日攻击,是指利用软件或系统中未被公开或未被修复的安全漏洞进行的攻击。
亿林科技网络安全·2024-09-10 15:23

反序列化漏洞

JavaPHP反序列化总结文章目录一.PHP反序列化1.序列化serialize()2.反序列化unserialize()二.反序列化漏洞1.漏洞利用Magicfunction2.漏洞利用思路三.
Slash_HK·2024-09-10 11:00

修改打包后element-ui的字体文件名;JS文件名;CSS文件名

修改这些静态文件名的原因是客户那边扫描出漏洞:字体文件名称不符合安全规则,就想办法给全部重新命名修改字体文件该方法不起作用——在vue.config.js里面配置打包时的fonts名称;其他场景下可能会适用记录一下
静纸~·2024-09-10 06:29

如何限制用户仅通过HTTPS方式访问OSS?

但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。
阿里云技术·2024-09-10 04:47

笔记整理—uboot番外(3)环境变量的作用

环境变量的最大一个作用就是,能够在不修改代码的情况下去影响应用的运行情况。环境变量的优先级问题:有环境变量的情况下优先使用环境变量,没有环境变量则使用代码中的值(全局变量一类的变量)。例如,machid在bdinfo中,而不再print_env中(环境变量)。但若是setmachid0x30001332就可以在环境变量中生成一个值,当校验时会对这个值进行采用。删除一个环境变量的方法:如刚刚设置了s
TeYiToKu·2024-09-10 02:29

笔记整理—内核!启动!—kernel部分(2)从汇编阶段到start_kernel与内核进程

kernel起始与ENTRY(stext),和uboot一样,都是从汇编阶段开始的,因为对于kernel而言,还没进行栈的维护,所以无法使用c语言。_HEAD定义了后面代码属于段名为.head.text的段。内核起始部分代码被解压代码调用,前面关于uboot的文章中有提到过(eg:zImage)。uboot启动是无条件的,只要代码的位置对,上电就工作,kernel启动由bootloader进行构建
TeYiToKu·2024-09-10 02:29

笔记整理—uboot启动过程(4)BL2干了什么及内存排布

uboot的第一阶段结束于start_armboot,第二阶段的uboot代码主要负责soc外部硬件(inand、网卡、......)、uboot本身构建(uboot指令、环境变量、......)最后进入命令行,等待命令然后倒数,等待bootcmd,进入内核(uboot结束)。倒数期间通过回车打断进入如下代码,通过循环不去进入bootcmd。for(;;){main_loop();}typedef
TeYiToKu·2024-09-10 02:29

Docker安全最佳实践

目录1、探测容器开放端口和服务漏洞2、宿主机、网络、镜像、DockerApi安全3、更新Docker、日志、事件4、Docker安全测试5、Docker安全最佳实践1、探测容器开放端口和服务漏洞使用Nmap
行路见知·2024-09-10 00:34

weblogic-SSRF漏洞复现(SSRF原理、利用与防御)

一、SSRF概念服务端请求伪造(Server-SideRequestForgery),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
不想当脚本小子的脚本小子·2024-09-09 15:33

网络安全最新网络安全-SSRF漏洞原理、攻击与防御(1),2024年最新网络安全程序员架构之路该如何继续学习

(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、GoogleHacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF
2401_84265972·2024-09-09 13:54

JavaWeb笔记整理14——公共字段自动填充技术实现

目录为什么需要公共字段自动填充?步骤1自定义注解AutoFill步骤2自定义切面AutoFillAspect步骤3在Mapper接口的方法上加入AutoFill注解@Before("autoFillPointCut()")JoinPoint你能通过JoinPoint获取哪些信息?例子中的JoinPoint获取方法签名和注解获取被拦截方法的参数反射什么是反射获取Class对象获取Method对象动态
mikey棒棒棒·2024-09-09 12:42

Windows Hello 可绕过漏洞进行身份认证

Windows安全漏洞将允许攻击者欺骗用于系统生物特征面部识别方面的USB摄像头。
H_00c8·2024-09-09 12:47

linux7.6安装telnet服务,CentOS 7.6 Telnet服务搭建过程(Openssh升级之战 第一任务备用运输线搭建)...

最近被SSH暴力枚举漏洞弄得头疼,奈何CentOS7最后版本是7
Ronald Wang·2024-09-09 09:28

2022-01-11 躺平日记:95.计划落空

感觉自己就像个破筛子,到处是漏洞。下午小区通知明早六点封小区。做二轮筛查。赶紧蹿出去补充蔬菜,到超市一看,心倒放下了,各种蔬菜水果有的是。本来嘛,又不是闹饥荒,只要能出门,什么都能买到。
春迟馆·2024-09-09 02:43

生命线上(4)

单从第三集看,本文似乎有个漏洞:翟任也是吃了铁,一踩油门,哧溜到了边关,还跑他的长途。后院没有了,火也烧不起来了,从某种意义上说,这也不全是坏事。其实,咱们的主人公是结结实实的半个哲学家呢。
黄龙河·2024-09-09 01:00

关于理财,要知道的事

梳理财务管理上的漏洞,弄清楚自己的财务状况,迈向更好的生活
待生活如初恋·2024-09-08 17:39

【web | CTF】攻防世界 Web_php_unserialize

天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了天命:而且这次反序列化的字符串数量跟其他题目不一样file=$file;}//销毁时候触发,相当于是打印flag文件出来function
星盾网安·2024-09-08 13:40

敏感信息泄露总结_rabbitmq漏洞

/env获取全部环境属性,数据库账户密码泄露,可获取mysql,managodb数据库的用户名和密码/configprops描述配置属性(包含默认值)如何注入Bean/dump获取线程活动的快照/health报告应用程序的健康指标,这些值由HealthIndicator的实现类提供,git项目地址泄露,可获取git项目的地址/info获取应用程序的定制信息,这些信息由info打头的属性提供/map
2301_82056337·2024-09-08 04:37

2024年最全API成批分配漏洞介绍与解决方案_api 成批分配,聊聊网络安全开发的现状和思考

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有
2401_84132544·2024-09-07 22:22

无用的社交 不如高质量的独处

亦舒说过:“城市中人,看似光鲜,其实个个暗藏漏洞。高朋满座,客似云来,然而真正能倾心交谈的,却未必有三两个。”有些人,热衷于人际交往,自诩朋友众多却在困境时孤立无援。
遗忘的soyo·2024-09-07 18:17

Pinia+Vue3使用案例及Pinia持久化存储

这对于单页应用程序是正确的,但如果是服务器端呈现,则会暴露应用程序的安全漏洞。但即使是在小的单页应用程序中,你也可以通过使用Pinia获得很多:热模块替换修改存储而无需重
m0_67401228·2024-09-07 17:52

2020-12-01以往随笔

我讨厌自己说出漏洞百出的话。我时刻让自己容纳所有,即使是讨厌的难以忍受的。恶心总有恶心存在的理由,我不会因为自己的感官而否定讨厌鬼的存在。开始清晰的感受到自己不该存在这世上的意思。
好好学习欧尼酱·2024-09-07 08:50

2019-04-29

,说不清道不明,却能左右你的心情,喜怒哀乐瞬间切换,但是,人更是一种奇怪的生物,能够隐藏自己的感觉,兴许是宫斗剧看多了的原因,感觉有些人真有表演天赋,拿捏的戏份到位,表情管理淋漓尽致,演的很认真,台词漏洞百出
毛毛_语彤语闰麻麻·2024-09-07 04:37

天空蔚蓝,阳光灿烂。花有新开,物非人非

2、自己其实明明知道真相,却忍不住拼命找到漏洞和借口来推翻真相成全自己心里想要的答案。3、等,任凭它春去秋来,任凭它花谢花飞,任凭它潮起潮落,她的心底永远都荡漾着永不停息的一海情澜。
慕容钰灵·2024-09-07 04:15

【网络安全】Bingbot索引投毒实现储存型XSS

文章目录前言Bingbot如何运作正文漏洞步骤前言Bing是由微软开发的搜索引擎,提供网页、视频、图片和地图等多种搜索功能。其目标是通过呈现有条理且相关的搜索结果,帮助用户做出更明智的决策。
秋说·2024-09-07 03:43

SQL注入漏洞检测

预计更新SQL注入概述1.1SQL注入攻击概述1.2SQL注入漏洞分类1.3SQL注入攻击的危害SQLMap介绍2.1SQLMap简介2.2SQLMap安装与配置2.3SQLMap基本用法SQLMap进阶使用
Kali与编程~·2024-09-07 02:36

sql注入漏洞

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入
mineflame_·2024-09-07 01:00

风雨人生路,冷暖心自知

悉达多从一个婆罗门之子,因心怀对内心安宁的渴望成为一个沙门,然而依然无法满足他内心证悟空的境界,转而跟随佛陀听法,他认为佛陀的讲解有一个漏洞,语言文字无法把自己内心拥有的智慧和体验感讲给别人听。
zzyy2222·2024-09-07 01:23

FFmpeg任意文件读取漏洞分析

目前有非常多的视音频软件或是视频网站、手机APP都采用了这个库,但是这个库历史上曝出的漏洞也非常之多。
音视频开发老马·2024-09-06 22:17

fastbee物联网管理系统download接口任意文件下载漏洞

fastbee物联网管理系统download接口任意文件下载漏洞文章目录fastbee物联网管理系统download接口任意文件下载漏洞免责申明搜索语法漏洞描述漏洞复现修复建议免责申明本文章仅供学习与交流
抠脚大汉在网络·2024-09-06 14:18

某云彩SRM2.0后台绕过漏洞

文章目录免责申明搜索语法漏洞描述漏洞复现修复建议免责申明本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任搜索语法fofaicon_hash="1665918155"
抠脚大汉在网络·2024-09-06 13:36

命令执行漏洞和代码执行漏洞

命令执行漏洞(CommandExecutionVulnerability)和代码执行漏洞(CodeExecutionVulnerability)都是远程代码执行(RemoteCodeExecution,
燕雀安知鸿鹄之志哉.·2024-09-06 10:21

Web安全和渗透测试有什么关系?

做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些
程序员_大白·2024-09-06 01:24

web渗透:SSRF漏洞

SSRF漏洞的原理SSRF(Server-SideRequestForgery,服务器端请求伪造)是一种安全漏洞,它允许攻击者构造请求,由服务端发起,从而访问服务端无法直接访问的内部或外部资源。
燕雀安知鸿鹄之志哉.·2024-09-05 23:35

如何解决PCDN技术与边缘计算技术融合后的安全和隐私问题(贰)?

一、融合带来的安全和隐私挑战1.数据泄露风险增加融合后的系统涉及大量用户数据在边缘节点的处理和存储,一旦这些节点受到攻击或出现漏洞,数据泄露的风险将大幅上升。2.身份认证与访问控制复杂
yczykjyxgs·2024-09-05 20:50

企业安全事件回顾:企业怎么才能做好源代码防泄露?

对于公司产品而言,源代码就是生命的化身,掌握了其编写方式,就可以复制出一个相同的程序,或通过阅读源代码找到程序的漏洞并进行任意攻击。一旦源代码遭泄露,潜在的危害巨大。
广陵之北·2024-09-05 17:56

零基础转行学网络安全怎么样?能找到什么样的工作?

零基础转行学习网络安全是完全可行的,但需要明确的是,网络安全是一个既广泛又深入的领域,包含了网络协议、系统安全、应用安全、密码学、渗透测试、漏洞挖掘、安全编程、安全运维等多个方面。。
爱吃小石榴16·2024-09-05 08:58

远离愤怒的中国杯

这两场比赛,球员们不是不努力,可是,他们就像进了迷魂阵一样,不知道怎么踢,失误连连,漏洞百出,侥幸一球小负。反观高洪波时代的国家队,个个都像英雄,他们那种自信
静思1·2024-09-05 06:45

【网络安全面经】渗透面经、安服面经、红队面经、hw面经应有尽有 这一篇真的够了

目录面经牛客奇安信面经(五星推荐)牛客面经(推荐)渗透测试面经(推荐)渗透测试技巧计网面经SQL注入漏洞注入绕过XXE漏洞最强面经Github面经模拟面WEB安全PHP安全网络安全密码学一、青藤二、360
webfker from 0 to 1·2024-09-05 05:08

漏洞复现】蜂信物联 FastBee 开源物联网平台 download 任意文件读取漏洞

漏洞复现】蜂信物联FastBee开源物联网平台download任意文件读取漏洞、01漏洞描述蜂信物联FastBee开源物联网平台download接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件
炫彩@之星·2024-09-05 04:27

最好用的老人手机排行榜,目前性价比最高的手机是哪款?

1500元左右可以买到很多合适的手机,但同样,千元手机也是漏洞最多的价格段。我们推荐四款适合老年人的高性价比手机,不仅满足以上条件,性能也非常强劲,最低1299元。
氧惠好项目·2024-09-04 20:00

通俗易懂版经典的黑客入门教程

给大家的福利基于入门网络安全打造的:黑客&网络安全入门&进阶学习资源包第一节、黑客的种类和行为以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善
程序员橙橙·2024-09-04 16:19
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他