目录遍历漏洞

软件安全测试的重要性简析,专业安全测试报告如何申请?

软件安全测试是指通过一系列的方法和技术,对软件系统中的潜在漏洞和安全威胁进行发现、评估和修复的过程。
卓码测评·2024-01-24 11:55

burp靶场--业务逻辑漏洞

burp靶场–业务逻辑漏洞https://portswigger.net/web-security/logic-flaws#what-are-business-logic-vulnerabilities
0rch1d·2024-01-24 11:22

情商是什么?

和挑剔的人不妨先肯定他的思路然后顺着他的模式找到他的漏洞。讲一个故事林肯当上美国总统后不久就有位女士跑来给儿子要官做,结果对儿子现有
三城一郭·2024-01-24 10:49

SSL 64位块大小密码套件支持( SWEET32 )

3389存在SSL漏洞:SSL64位块大小密码套件支持(SWEET32)解决方法:使用Windows自带的FIPS代替SSL加密1)启用FIPS操作步骤:管理工具->本地安全策略->安全设置->本地策略
luminous_you·2024-01-24 10:56

如何防护网站存在的sql注入攻击漏洞

SQL注入攻击是最危险的Web漏洞之一,危害性极大,造成的后果不堪设想,因此受到了大家的高度重视。那么你知道SQL注入攻击防范方法有哪些吗?SQL注入是一种网站的攻击方法。
德迅云安全-文琪·2024-01-24 10:50

拼多多账号如何判断是不是黑号了?拼多多黑号后多长时间才会恢复?

然而,一些不法分子利用漏洞和欺诈手段进行非法操作,导致存在一些拼多多黑号。本文将介绍如何判断拼多多黑号以及黑号变白的时间。➤推荐网购薅羊毛app“氧惠”,一个领隐藏优惠券+现金返利的平台。
氧惠导师·2024-01-24 10:40

【黑客技术】因报告密码漏洞,程序员被判“黑客罪行”罚款 3000 欧元

**据安全平台wortfilter新闻稿,一名名为HendrikH.的研究人员发现IT服务公司ModernSolutionGmbH的服务器存在密码漏洞,**该研究人员向该公司上报漏洞后未获回应便在wortfilter
网安老伯·2024-01-24 10:10

【黑客攻击】微软遭受由APT组织 Midnight Blizzard发起的网络攻击

此次攻击并非由Microsoft产品或服务中的漏洞引起。目前没有证据表明攻击者已获得对客户环境、生产系统、源代码或人
网安老伯·2024-01-24 10:38

【一周安全资讯0120】OpenAI 公布2024选举虚假信息打击计划;关于防范GitLab高危安全漏洞的风险提示

要闻速览1、OpenAI公布2024选举虚假信息打击计划2、工信部印发《区块链和分布式记账技术标准体系建设指南》3、关于防范GitLab高危安全漏洞的风险提示4、苹果承认GPU安全漏洞存在,iPhone12
聚铭网络·2024-01-24 09:56

2018-07-12

唇膏的魔力张爱玲曾写她第一次投稿到大美晚报得到五元钱稿费,换了一支丹祺唇膏宋美龄到了八十几岁的时候,明显手脚不太灵活,化妆时难免漏洞百出,但仍是坚持不懈地亲手涂擦口红你是否会想,一支小小的唇膏,怎么对女人有这么大的魔力
健儿孙·2024-01-24 09:08

CSRF:跨站请求伪造攻击

请求时客户端发起的,服务端未严格验证所导致的漏洞,攻击者可以通过多种方式欺骗用户点击请求:1,通过社工方式将请求发送给受害者。2.将伪造的请求嵌入到网页中。典型目的:CSRF
TEST_a130·2024-01-24 08:14

安全 专题

SQL注入的四种方案[实践总结]如何防护orderby导致的SQL注入[实践总结]限制正则表达式匹配次数/时间防止DoS攻击[实践总结]javaXML解析防止外部实体注入[Ref]yaml.load的漏洞利用
张紫娃·2024-01-24 08:08

vs实用调试技巧

1.bugbug本意是“昆虫”或“虫子”,现在一般是指在电脑系统或程序中,隐藏着的一些未被发现的缺陷或问题,简称程序漏洞
c23856·2024-01-24 08:01

2021-03-05今日随笔:

哈哈,这句话有漏洞,要以真的不哭为标准。今天的主要节奏就是三八活动,上午布置场地,下午就是正式活动。不主要负责活动了,轻松很多,帮帮忙就好。今天还是犯了有低级错误,也还是不断地在反思姐姐说的提高站位。
牵着蜗牛散步_9c1c·2024-01-24 08:29

德国程序员因报告漏洞被判罚 2.4 万元

德国利希地方法院最近发布了一项新的判决结果,裁定一名程序员因未经授权访问第三方计算机系统和窥探数据,违反了《德国刑法典》(StGB)中的黑客条款202a,并被处以3000欧元的罚款(约2.35万元),同时需承担所有的诉讼费用。在2021年6月,名为HendrikH.的研究人员在为IT服务公司ModernSolutionGmbH的客户解决软件故障时,发现该公司的代码通过MySQL连接到一台Maria
Lorin 洛林·2024-01-24 08:59

2024年密码泄露王炸:7千万邮箱账号、1 亿密码泄露

热门漏洞通知服务HIBP所有者特洛伊・亨特(TroyHunt)近日发布博文,表示在暗网上发现了超大规模的泄漏数据集,被称为Naz.API列表。
FreeBuf_·2024-01-24 08:57

黑客“盯上了” Atlassian Confluence RCE 漏洞

BleepingComputer网站消息,安全研究人员近日观察到一些威胁攻击者正在试图针对CVE-2023-22527远程代码执行漏洞“做文章”,以发起大规模网络攻击活动。
FreeBuf_·2024-01-24 08:54

通过蜜罐技术获取攻击者手机号、微信号【网络安全】

首先,我们先讲一下蜜罐的概念,你可以简单理解较为蜜罐就是一个陷阱,故意暴露一些我们人为设计好的漏洞,让攻击者自投罗网。
H_00c8·2024-01-24 07:18

Redis应用(1)缓存(1.2)------Redis三种缓存问题

2、原因:比如用一个不存在的用户id获取用户信息,不论缓存还是数据库都没有,若黑客利用此漏洞进行攻击可能压垮数据库。3、解决方法:(1)缓存空对象:对空
w_t_y_y·2024-01-24 07:23

Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南

SQL注入—sqli-labs靶场零、前言一、环境搭建①、VirtualBox②、KaliLinux③、Docker二、闯关开始1、Less-1—'—union2、Less-2—数字型—union3、Less-3—')—union4、Less-4—")—union5、Less-5—'—布尔盲注6、Less-6—"—布尔盲注7、Less-7—'))7.1—布尔盲注7.2—文件写入8、Less-8—'
Dr.Neos·2024-01-24 05:01

《别人怎么对你,都是你教的》第二章

看见你的情绪模式,修补你的能量漏洞。情绪是一种能量,没有好坏之分。
周永梅·2024-01-24 04:33

安全基础~通用漏洞2

文章目录知识补充盲注Boolean盲注延时盲注报错注入二次注入知识补充盲注常用if(条件,5,0)#条件成立返回5反之返回0left(database(),1),database()#left(a,b)从左侧截取a的前b位盲注盲注就是在注入过程中,获取的数据不能回显至前端页面。基于布尔的SQL盲注-逻辑判断regexp,like,ascii,left,ord,mid-基于时间的SQL盲注-延时判断
`流年づ·2024-01-24 04:14

Aspx漏洞总结

第一部分,.NET项目当中的dll都可以进行反编译:在java中有很多jar包,而在.NET框架中的bin中对应有很多DLL文件,bin下面都是可执行文件,这些文件都是很多代码封装的,想要查看源码,都需要通过反编译的方式。区分:.NETASPXASPASP作为技术/框架:ASP是一种服务器端技术或框架,用于创建动态的、交互式的Web页面。它允许在服务器上执行脚本代码以生成动态内容。使用脚本语言(如
carrot11223·2024-01-24 04:43

安全基础~通用漏洞1

文章目录知识补充Acess数据库注入MySQL数据库PostgreSQL-高权限读写注入MSSQL-sa高权限读写执行注入Oracle注入Mongodb注入sqlmap基础命令知识补充orderby的意义:union操作符用于合并两个或多个select语句的结果集。union内部的每个select语句必须拥有相同数量的列,也就是说select链接所返回的列必须是相同的,且必须拥有相似的数据类型。同
`流年づ·2024-01-24 04:12

实习记录-第二天

今天导师给我发了一些资料,有些是公司内部的编写规范流程,有些是一些常见的漏洞的测试方法和修复方法,总之从早上学到下班时间,大概学了:2024.1.23总结:学习xxxx安全漏洞评估实施指南:重点:1.漏洞扫描过程
carrot11223·2024-01-24 04:12

一文让你彻底搞懂cookie和session产生漏洞的原理

首先让我们来看看登录的一般流程:输入账号密码提交给后端;后端进行判断账号密码是否一致,这里的逻辑根据每个程序员的想法去写;如果通过2登录成功,跳转登录成功的页面;如果通过2登录失败,跳转重新登录的页面;后台管理系统有很多文件,判断登录之后,进入这些文件都需要加以验证是否登录,否则登录就只起了一次作用,所以才会产生cookie和session的概念。会有这么一个专门的文件进行验证,这里面应该会用到c
carrot11223·2024-01-24 04:41

使用WAF防御网络上的隐蔽威胁之目录穿越

通过利用安全漏洞,攻击者可以通过修改URL的路径来访问系统文件或其他关键目录,这可能导致数据泄露、系统被恶意控制等严重后果。
kkong1317·2024-01-24 04:28

XML 注入漏洞原理以及修复方法

漏洞名称:XML注入漏洞描述:可扩展标记语言(ExtensibleMarkupLanguage,XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言
it技术分享just_free·2024-01-24 04:28

SQL 注入漏洞原理以及修复方法

漏洞名称:SQL注入、SQL盲注漏洞描述:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
it技术分享just_free·2024-01-24 04:27

DVWA-SQL Injection(Blind)(SQL盲注)

目前网络上现存的SQL注入漏洞大多是SQL盲注。盲注中常用的几个函数:substr(a,b,c):从b位置开始,截取字符串a的c长度count():计算总数ascii(
简言之_·2024-01-24 03:34

when_did_you_born

image.png0x00基本file和checksec(打码打码,看不到看不到)image.png0x01ida查看image.png24行存在gets漏洞程序逻辑是第一次输入不能是1926,第二次输入利用缓冲区溢出将
常向阳_·2024-01-24 03:26

「技术原理」Spring Security的核心功能和加载运行流程的原理分析

SpringSecurity的架构总览SpringSecurity的简介说明SpringSecurity对认证、授权和常见漏洞保护提供了全方位支持。
Java老程·2024-01-24 01:21

漏洞复现】用友NC Cloud portal/file接口任意文件读取漏洞

文章目录前言声明一、用友NCCloudportal/file接口简介二、漏洞描述三、影响版本四、漏洞复现五、修复建议前言用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。
李火火安全阁·2024-01-24 00:32

用友 GRP U8 UploadFile 命令执行漏洞

文章目录前言声明一、漏洞描述二、影响版本三、漏洞复现前言用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。
李火火安全阁·2024-01-24 00:57

memcached UDP安全漏洞解决2018-03-02

近日API突然出现大量未知数据包占用了带宽导致系统异常的情况,根据多方调查发现是最近爆出的memcached的UDP漏洞导致,表现为会一直像某些ip发送大量UDP包。根据运维给出的解决办法如下文示。
Nomandia·2024-01-23 23:35

探究SpringWeb对于请求的处理过程

探究目的在路径归一化被提出后,越来越多的未授权漏洞被爆出,而这些未授权多半跟spring自身对路由分发的处理机制有关。今天就来探究一下到底spring处理了什么导致了才导致鉴权被绕过这样严重的问题。
网安Dokii·2024-01-23 23:45

网络安全产品之认识防毒墙

在互联网发展的初期,网络结构相对简单,病毒通常利用操作系统和软件程序的漏洞发起攻击,厂商们针对这些漏洞发布补丁程序。
xiejava1018·2024-01-23 22:48

疫情过后我们该反思下一步该如何生存

面对突如其来的新型冠状病毒疫情的袭来,全国进行了陆续的戒严,上到一线大城市下到农村每家每户,全国性的戒严开始了,以前在家想去哪就去哪,现在出自己家的门口都要进行体温检测人员登记,各个路口都有设立关卡,生怕有任何一丝一毫的漏洞给病毒留下可乘之机
买小火柴的小男孩·2024-01-23 22:30

Android与Js交互之JSBridge的使用

为什么要使用JsBridgeAndroid4.2以下的addJavascriptInterface存在安全漏洞,虽然在Android4.2之后用@JavascriptInterface代替了addJavascriptInterface
itfitness·2024-01-23 21:42

OWASP发布开源AI网络安全知识库框架AI Exchange

面对人工智能安全相关工具、平台、法规、应用和服务的快速增长,在推出大语言模型十大漏洞TOP10列表后,OWASP近日又推出了AI开源网络安全知识库框架——AIExchange(链接在文末),旨在推进全球
lsyou_2000·2024-01-23 21:59

漏洞线报是什么?羊毛党是怎么找漏洞单的?

随着互联网的快速发展,出现了一批利用漏洞来获取利益的“羊毛党”行业。本文将深入探讨羊毛党是如何寻找漏洞的,以及对这种行为应如何防范。高省,佣金超高。高省,高佣领导者。
高省APP珊珊·2024-01-23 21:54

十八而志 长投你好

时间成本、量化思维、富人思维、机会成本、沉没成本、价值投资、复利、指数温度、指数基金、资产配置……这些原本看起来很高大上甚至触不可及的词语一个个开始渗透到我的生活中,在填补我知识空缺的同时也补上了我的思维漏洞
Marathon_ad6d·2024-01-23 21:09

33、WEB攻防——通用漏洞&文件上传&中间件解析漏洞&编辑器安全

文章目录一、中间件文件解析——IIS&Apache&Nginx1、IIS2、Apache3、Nginx二、web编辑器一、中间件文件解析——IIS&Apache&Nginx1、IISIIS爆过漏洞的版本
PT_silver·2024-01-23 20:15

32、WEB攻防——通用漏洞&文件上传&二次渲染&.htaccess&变异免杀

点过滤不能写带文件后缀的文件名;IP转数字二、文件删除文件依据规则进行删除,删除有两种删除的类型:什么文件都删除,条件竞争进行绕过后门代码删除,后门代码写到远程地址,再包含直接包含到.user.ini三、二次渲染需要配合文件包含漏洞
PT_silver·2024-01-23 20:14

30、WEB攻防——通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

文章目录堆叠注入二次注入DNS注入堆叠注入堆叠注入:根据数据库类型决定是否支持多条语句执行,用分号隔开。堆叠注入在代码中被执行是一方面,是否被执行成功又是另一方面。支持数据库类型:Mysql、Mssql等。在mysql中,支持16进制编码。二次注入二次注入就是先插入攻击语句,插入的过程中就会被执行,然后某些页面会展示执行后的内容。  举个例子:假如在注册用户的时候,需要填用户名、邮箱和密码,登录使
PT_silver·2024-01-23 20:14

【Redis漏洞利用总结】

一、redis未授权访问漏洞0x01漏洞描述描述:Redis是一套开源的使用ANSIC编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。
进击的程序汪·2024-01-23 20:08

渗透测试的意义

起初在一开始学习时,一堆需要自己完善的技术栈比如OWASPTOP10、各类框架漏洞、系统漏洞……等等虽然一开始的时候东西很多,压力很大,不经意间会迷茫。但自身的水平与实力,总体还是呈上升趋势的。
黑战士安全·2024-01-23 19:59

与喜欢的人分享自己的秘密基地

洞里藏着许多骨头和奇怪的“文具”,环境有些阴冷,不过总算有一些阳光从头顶的漏洞跑进来,照在猫触目惊心的伤口上。直到现在猫都害怕不敢睁眼,而狗却认真地给猫舔舐伤口。
熊追蝴蝶·2024-01-23 18:11

漏洞分析】【spring】【CVE-2018-1273】【远程命令执行】spel注入漏洞

https://xz.aliyun.com/t/2269http://xxlegend.com/2018/04/12/CVE-2018-1273-%20RCE%20with%20Spring%20Data%20Commons%20%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A/https://github.com/vulhub/vulhub/tree/master/spr
growing27·2024-01-23 18:41

《WebKit 技术内幕》学习之十二(2):安全机制

2沙箱模型2.1原理一般而言,对于网络上的网页中的JavaScript代码和插件是不受信的(除非是经过认证的网站),特别是一些故意设计侵入浏览器运行的主机代码更是非常危险,通过一些手段或者浏览器中的漏洞
jyl_sh·2024-01-23 17:51
上一页 33 34 35 36 37 38 39 40 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他