E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
身份验证绕过漏洞
log4j2
漏洞
简单复现
文章目录0x1log4j2
漏洞
简介0x2log4j2
漏洞
验证判断0x3log4j2
漏洞
复现利用0x04log4j2
漏洞
修复方式0x1log4j2
漏洞
简介log4j2原理:log4j2框架下的lookup
h1dm
·
2024-02-07 01:56
漏洞复现
web安全
java
log4j2
jndi注入
漏洞复现
Log4j2
漏洞
复现
Log4j2
漏洞
复现原理介绍因为Log4j2默认支持解析ldap/rmi协议,所以黑客只需构造恶意的JNDI接口,然后服务器通过log4j2解析jndi接口并调用lookup函数,使得服务器去引用黑客构造好的恶意类
Lend me
·
2024-02-07 01:26
log4j
Apache Log4j2
漏洞
原理
ApacheLog4j远程代码执行
漏洞
1.
漏洞
危害ApacheLog4j被发现存在一处任意代码执行
漏洞
,由于ApacheLog4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行
漏洞
仲瑿
·
2024-02-07 01:55
漏洞原理
apache
log4j
java
Log4J2
漏洞
(CVE-2021-44228)原理
目录Apachelog4j2-RCE
漏洞
一、
漏洞
简介二、
漏洞
原理三、靶场
漏洞
复现四、总结Apachelog4j2-RCE
漏洞
一、
漏洞
简介ApacheLog4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发
疯癫兄
·
2024-02-07 01:55
log4j
apache
java
安全
一文读懂面试官都在问的Log4J2
漏洞
CVE-2021-44228
漏洞
简介ApacheLog4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。
YikJiang_
·
2024-02-07 01:54
log4j
Log4j2
漏洞
(一)原理和dnslog验证
1、
漏洞
介绍1.1、背景2021年11月24日,阿里云安全团队向Apache官方报告了ApacheLog4j2远程代码执行
漏洞
。
大象只为你
·
2024-02-07 01:23
跟我学网安知识
命令执行
漏洞复现
网络安全
小迪笔记基础入门1-3
baidu.com二级域名:news.baidu.com三/多级域名:shehui.news.baidu.com4域名与安全测试:如果一级域名不能突破,可以从其他域名下手(多级域名的收集意义就是一个网站找不到
漏洞
是
来者是我
·
2024-02-07 00:37
服务器
网络
运维
[VulnHub靶机渗透] MHZ_CXF: C1F
目录前言一、信息收集1、主机探测2、端口扫描3、
漏洞
扫描二、渗透测试1、web渗透2、ssh远程登录
hacker-routing
·
2024-02-06 22:30
web
【精选】VulnHub
渗透测试靶场练习平台
网络
windows
安全
测试工具
vulnhub
ssh
反弹shell原理和实现
当一些框架和代码,不小心让可执行shell命令的函数存在注入
漏洞
时,会被利用注入
漏洞
执行一些shell命令。入侵者为了防止
漏洞
被修复,无法通过正向链接侵入服务器时,会被利用shell反弹原理种马。
whynogome
·
2024-02-06 22:20
后端
服务器
安全
php
20岁走进迷茫寻找自己
欲望有财富,有情感,有个人存在感,有个人形象,有个人期待,有性欲,无穷无尽,像一个大沼泽一不小心深陷其中,只有少一部分人能
绕过
,他们付出的代价就是
绕过
却走了更多的路。
不止眼前的枸杞
·
2024-02-06 22:34
绕过
过滤 and 和 or 的 SQL注入
一、基础知识介绍在深入了解SQL注入等数据库安全话题之前,掌握一些MySQL数据库的基础知识是很重要的。以下是关于MySQL中一些核心概念和特性的简介:1.1MySQL中的大小写不敏感MySQL对于SQL语句中的关键字(如SELECT,INSERT,DELETE等)是大小写不敏感的,这意味着你可以使用大写、小写或者两者的混合来编写你的SQL语句。例如,SELECT*FROMusers;和selec
狗蛋的博客之旅
·
2024-02-06 22:36
Web安全渗透
sql
数据库
绕过
过滤空格的 SQL 注入
环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客一、基础知识介绍在深入了解SQL注入等数据库安全话题之前,掌握一些MySQL数据库的基础知识是很重要的。以下是关于MySQL中一些核心概念和特性的简介:1.1MySQL中的大小写不敏感MySQL对于SQL语句中的关键字(如SELECT,INSERT,DELETE等)是大小写不敏感的,这意味着你可以使用大写
狗蛋的博客之旅
·
2024-02-06 22:34
Web安全渗透
sql
数据库
【
漏洞
复现】EPON上行A8-C政企网关信息泄露
漏洞
Nx02
漏洞
描述EPON上行A8-C政企网关敏感信息泄露
漏洞
,攻击者通过敏感信息泄露获取管理员密码。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
web安全
网络
【
漏洞
复现】飞鱼星路由器COOKIE.CGI权限
绕过
漏洞
Nx02
漏洞
描述飞鱼星家用智能路由存在逻辑缺陷
漏洞
。攻击者利用该
漏洞
可直接登录系统后台,操作访问后台任意页面。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
网络
web安全
【
漏洞
复现】电信网关配置管理系统SQL注入
漏洞
Nx02
漏洞
描述电信网关配置管理系统存在SQL注入
漏洞
,攻击者可利用该
漏洞
获取数据库敏感信息。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
网络
安全
服务器
web安全
【
漏洞
复现】EPON上行A8-C政企网关未授权下载
漏洞
Nx02
漏洞
描述EPON上行A8-C政企网关配置文件未授权下载
漏洞
,攻击者在未授权状态下下载配置文件,获取配置文件内敏感信息。
晚风不及你ღ
·
2024-02-06 21:50
【漏洞复现】
网络
web安全
安全
关闭Ubuntu 默认开启的自动安全更新
如果软件包有安全
漏洞
,Ubuntu发布更新包后会自动安装更新并重启。这种重启是不可预知的。(尤其是服务器使用上)例如:Mysql会被自动重启,如果是集群可能会导致无法启动。
Songxwn
·
2024-02-06 21:31
ubuntu
linux
运维
ESXi 勒索病毒ESXiArgs 其 CVE-2021-21974
漏洞
分析
个人博客https://songxwn.com介绍该
漏洞
编号为CVE-2021-21974,由OpenSLP服务中的堆溢出问题引起,未经
身份验证
的攻击者可以此进行低复杂度攻击。
Songxwn
·
2024-02-06 21:30
VMware
网络
安全
服务器
孩子之间的“欺负”与“被欺”,往往隐藏着父母养育上的大
漏洞
!
本文导读:孩子打人或被打,背后的成因是什么?父母又该如何防止孩子打人,或被打?图片发自App生活中,有些孩子总是很暴躁、粗野,具有攻击性,一言不合,就要打人。与此相对的,有些孩子从小到大,似乎总是被欺负的命,即使换了环境,过不了多久,又被人欺负了。那么,这样经常打人,或者被打的孩子,他们的背后,往往是怎样的养育体系呢?~打人的孩子,背后的养育方式很可能是被溺爱、放纵,或者暴力对待。~被打的孩子,父
处处有心
·
2024-02-06 21:16
漏洞
-跨站脚本攻击
漏洞
-跨站脚本攻击1.1简介XSS:CrossSiteScripting,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
吴少侠
·
2024-02-06 20:06
使用代理IP有风险吗?如何安全使用代理IP?
这对于保护个人信息、
绕过
地理受限的内容或访问特定网站都至关重要。然而,正如任何技术工具一样,代理IP地址也伴随着潜在的风险和威胁。
做跨境的红姐
·
2024-02-06 20:03
代理IP
ip
7-zip
安全
java项目请求url存在特殊字符 400错误
java项目请求url特殊字符400错误1现象请求路径带特殊字符,就会400错误,这就泄露了服务器版本和报错信息,无疑是敏感信息泄露,实属安全
漏洞
。
背儿头
·
2024-02-06 20:59
经验分享
问题大杂烩
tomcat
服务器
spring
java
mvc
我的世界java版联机不稳定_MC联机教程
虚拟局域网联机教程』,如果想要java/基岩版开服请查看『开服教程』,如果要基岩版联机教程请移步至『虚拟局域网联机教程』首先确定联机方式一、虚拟局域网二、内网穿透(推荐虚拟局域网与内网穿透的区别虚拟局域网可以直接
绕过
正版验证在一番测
weixin_39673037
·
2024-02-06 19:13
我的世界java版联机不稳定
一、初识SQL数据库-3使用SQL Server方式登录数据库
SQLServer验证登录(1)修改服务器
身份验证
方式:右键选择“服务器”——》属性(2)修改sa(数据库超级管理员)登录密码:安全性-》sa-》右键选择“属性”(3)开启sa账户:安全性-》sa-》右键选择
漠漠彡
·
2024-02-06 19:41
42、WEB攻防——通用
漏洞
&文件包含&LFI&RFI&伪协议编码算法&代码审计
文件包含
漏洞
常出现于php脚本中,当include($file)中的$file变量用户可控,就造成了文件包含
漏洞
。
PT_silver
·
2024-02-06 19:33
小迪安全
前端
算法
后端登录校验
文章目录登录校验CookieSessionJWT生成JWT校验JWT基于JWT进行
身份验证
CSRFCookie、Session、Token的区别?
爱敲代码的三毛
·
2024-02-06 18:18
web后端
后端
java
网络协议
验证码倒计时:用户界面的小细节,大智慧
用户心理:设计考量可见性:友好性:适应性:实现技术前端实现:JavaScript定时器:动画效果:后端支持:请求频率限制:时间同步:java+redis实现后端支持:请求频率限制:时间同步:安全性考虑:防止
绕过
一只牛博
·
2024-02-06 18:04
java
验证码
1月威胁态势 | 0day占比83%!两大勒索家族“均分天下”
近日,亚信安全正式发布《亚信安全2024年1月威胁态势报告》(以下简称“报告”)报告显示,1月份新增安全
漏洞
1511个,涉及0day
漏洞
占83%;监测发现当前较活跃的勒索病毒家族是Wacatac和Nemucod
亚信安全官方账号
·
2024-02-06 18:01
每月更新:亚信安全威胁态势报告
网络
安全
大数据
web安全
网络安全
利用VPN设备
漏洞
入侵!新型勒索软件CACTUS攻击手法分析
近期,亚信安全应急响应中心截获了利用VPN设备已知
漏洞
传播的新型勒索软件CACTUS,该勒索于2023年3月首次被发现,一直保持着活跃状态。
亚信安全官方账号
·
2024-02-06 18:01
大数据
安全
web安全
apache
开发语言
SSRF-服务端请求伪造
由攻击者构造的攻击链接传给服务端执行造成的
漏洞
,一般用来在外网探测或攻击内网服务。2.SSRF可以做什么?扫内网。向内部任意主机的任意端口发送精心构造的Payload。
weixin_50339082
·
2024-02-06 17:48
漏洞基础小知识
安全
后端
网络安全
linux
系统安全
SSRF(服务端请求伪造)原理/防御
原理攻击者伪造服务器获取资源的请求,通过服务器来攻击内部系统比如端口扫描,读取默认文件判断服务架构,或者配合SQL注入等其他
漏洞
攻击内网的主机触发点/检测SSRF常出现在URL中,比如分享,翻译,图片加载
小蚁网络安全(胡歌)
·
2024-02-06 17:48
安全
网络
服务器
ddos
web安全
服务端请求伪造 (SSRF):利用
漏洞
实现攻击的风险和防范方法
1、SSRF
漏洞
简介01什么是SSRF02SSRF形成的原因03与CSRF的区别04SSRF攻击的危害2、
漏洞
场景01从WEB功能点寻找02从URL关键字寻找03总结2、SSRF
漏洞
利用01dict:/
狗蛋的博客之旅
·
2024-02-06 17:17
网络安全
安全
SSRF(服务端请求伪造)
漏洞
SSRF定义:SSRF(Server-SideRequestForgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全
漏洞
,本质是信息泄露
漏洞
。
carefree798
·
2024-02-06 17:17
Web漏洞
安全
服务器
安全漏洞
浅谈“服务端请求伪造攻击SSRF”
一:
漏洞
名称:服务端请求伪造攻击(SSRF)描述:(部分参考:https://www.cnblogs.com/csnd/p/11807726.html)SSRF(Server-SideRequestForgery
红烧兔纸
·
2024-02-06 17:46
Web安全之信息泄露类
SQL注入:sqli-labs靶场通关(1-37关)
SQL注入系列文章:初识SQL注入-CSDN博客SQL注入:联合查询的三个
绕过
技巧-CSDN博客SQL注入:报错注入-CSDN博客SQL注入:盲注-CSDN博客SQL注入:二次注入-CSDN博客SQL注入
未知百分百
·
2024-02-06 17:45
安全
数据库
sql
数据库
通关
网络安全
安全
web安全
安全威胁分析
CSRF:跨站请求伪造攻击
CSRF全称为跨站请求伪造(Cross-siterequestforgery),它是一种常见的Web攻击,下面我就来给大家通过学习+复习的方式介绍一下CSRF
漏洞
,并且会演示一下攻
未知百分百
·
2024-02-06 17:45
安全
csrf
前端
网络安全
web安全
dvwa
安全
php
6.SSRF(服务端请求伪造)
6.1什么是ssrfSSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全
漏洞
6.2原理SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能
qq_45926195
·
2024-02-06 17:44
十大漏洞
安全
隧道穿透:常规反弹、加密反弹
Windows正向连接shell(2)Windows反向连接shell(3)Linux正向连接shell(2)利用Linux自带bash反弹Shell2、加密反弹1、常规反弹假设在内网环境中发现主机,通过
漏洞
获取到该主机控制权限
未知百分百
·
2024-02-06 17:44
安全
ATT&CK
网络
安全
网络安全
web安全
windows
linux
shell
SSRF服务器端请求伪造
一、SSRF服务器端请求伪造SSRF(Server-SideRequestForgery)服务器端请求伪造,一种由攻击者构造请求,由服务器端发起请求的安全
漏洞
,本质上是属于信息泄露
漏洞
。
偷偷学习被我发现
·
2024-02-06 17:43
web安全
服务器
网络
安全
浅谈 SSRF 服务器端请求伪造攻击与防御
服务器端请求伪造攻击与防御文章目录浅谈SSRF服务器端请求伪造攻击与防御0x01SSRF服务器端请求伪造简介1.SSRF常见用途2.SSRF常见位置3.常见的URL关键字0x02pikachu环境搭建0x03SSRF
漏洞
实践
丰梓林
·
2024-02-06 17:42
漏洞原理
csrf
Web安全基础:第4节:服务端请求伪造:SSRF
漏洞
-基础篇
1.SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的
漏洞
。
花纵酒
·
2024-02-06 17:12
网络对抗技术
网络安全
SSRF:服务端请求伪造攻击
服务端请求伪造(ServerSideRequestForgery):是最近几年出现的一种web
漏洞
,2021年,SSRF被OWASP列为Top10web安全风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
未知百分百
·
2024-02-06 17:10
安全
网络安全
web安全
安全
ssrf
php
前端
Canary机制 -格式化字符串
漏洞
一.canary相当于一个标志当修改程序时,会发现程序是否被修改。注:找到canary偏移地址,填充打印出canary的值1.程序源码:图片.png2.编译:gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCannary.c生成pwnme程序3.查看偏移地址是否一直在变动:lddpwnme注:关闭地址随机化echo0>/proc/sys/
Zero_0_0
·
2024-02-06 17:07
文件包含
漏洞
总结及工具分享
PHP文件包含
漏洞
检测利用总结及神器字典工具分享
漏洞
原理像PHP、JSP、ASP、.NET等脚本语言,都提供了一种包含文件的功能,通过这种方式可以达到复用代码的目的。
black guest丶
·
2024-02-06 17:22
php
安全漏洞
渗透测试练习题解析 1(CTF web)
题目均来自BUUCTF1、[RoarCTF2019]EasyCalc1进入靶场看一下页面大致分析完毕,没什么关键点,查看一下页面代码提示有waf在num参数前加一个空格来
绕过
:为什么要num参数前加一个空格
安全不再安全
·
2024-02-06 17:20
CTF
web
前端
android
android
studio
网络安全
安全
web安全
渗透测试练习题解析 2(CTF web)
题目均来自BUUCTF1、[极客大挑战2019]Upload1考点:文件上传
漏洞
进入靶场一看就知道是考察文件上传
漏洞
,看源码有没有敏感信息没有什么敏感信息,那我们试着按要求传一张图片看看结果,但是传了png
安全不再安全
·
2024-02-06 17:49
CTF
web
安全
前端
网络安全
web安全
安全架构
网络攻击模型
最新的 Ivanti SSRF 零日
漏洞
正在被大规模利用
BleepingComputer网站消息,安全研究员发现IvantiConnectSecure和IvantiPolicySecure服务器端请求伪造(SSRF)
漏洞
(CVE-2024-21893)正在被多个威胁攻击者大规模利用
FreeBuf_
·
2024-02-06 17:13
安全
网络
web安全
XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化
漏洞
绕过
__wakeup()函数)
打开题目地址:发现是一段残缺的php代码题目名称unserialize3就是反序列化,要求我们通过反序列化
漏洞
绕过
__wakeup()函数。
大灬白
·
2024-02-06 17:13
#
Bugku
XCTF-WEB类写题过程
前端
php
web
web安全
安全
Java代码审计之RCE(远程命令执行)
Java代码审计系列课程(点我哦)
漏洞
原理:RCE
漏洞
,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。
mingzhi61
·
2024-02-06 17:13
java代码审计
开发语言
java代码审计
安全开发
Aladdin:一款功能强大的.NET Payload反序列化和内存执行工具
关于AladdinAladdin是一款功能强大的Payload生成工具,该工具使用了特定的
绕过
技术和.NETRemoting协议必要的Header字节。
FreeBuf_
·
2024-02-06 17:40
.net
上一页
19
20
21
22
23
24
25
26
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他