零日漏洞

手把手教你安装Kali Linux

它包含了大量的安全测试工具和漏洞扫描器,用于评估网络的安全性和防御能力。KaliLinux有一个友好的界面和易于使用的工具,可以帮助安全专家和渗透测试人员进行各种网络攻击和漏洞利用的测试。
鸢时望巧·2023-12-31 18:05

复现永恒之蓝提权漏洞

永恒之蓝漏洞介绍永恒之蓝漏洞是指一种影响Windows操作系统的网络攻击漏洞,它是由美国国家安全局(NSA)开发的一种工具被黑客组织“影子经纪人”泄露而暴露出来的。
鸢时望巧·2023-12-31 18:05

贵州酒店集团过405拦截

为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务云盾的应用防火墙对URL访问判定存在攻击行为,从而进行了安全拦截。
乐编小易·2023-12-31 16:53

CTF常见漏洞函数

php中得strcmp()函数的漏洞:strcmp(a1,a2)函数用来比较两个字符串是否相等的,比较的是对应字符的ascii码,如果相等返回0,当a1的ascii大于a2的返回小于0,a1的ascii
suntwo·2023-12-31 15:00

什么是安全漏洞?主要分为哪几类?

漏洞,是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
老男孩IT教育·2023-12-31 14:50

爬虫学习(1)--requests模块的使用

一些爬虫可能会被用于恶意用途,如扫描漏洞、盗取信息等,因此使用爬虫时应遵守相关法律法规和伦理规范。爬虫工作的流程图正文1.认识reques
码银·2023-12-31 13:21

25、WEB攻防——通用漏洞&SQL读写注入&MYSQL&MSSQL&PostgreSQL

文章目录Mysql-root高权限读写注入PostgreSQL——dba高权限读写注入Mssql-sa高权限读写注入Access无高权限注入点——只能猜解,而且是暴力猜解;MYSQL,PostgreSQL,MSSQL(SQLserver)高权限注入点——可升级读写(文件)、(命令)执行等。所谓高权限注入点,指的就是在连接数据库时,所使用的用户(数据库连接用户)具有较高的权限。因为权限划分的缘故。如
PT_silver·2023-12-31 13:43

24、Web攻防——通用漏洞&SQL注入&MYSQL跨库&ACCESS偏移

文章目录一、SQL注入原理  脚本代码在与数据库进行数据通讯时(从数据库取出相关数据进行页面显示),使用预定义的SQL查询语句进行数据查询。能通过参数传递自定义值来实现SQL语句的控制,执行恶意的查询操作,例如查询数据库中的管理员账户密码。二、测试SQL注入的地方URL栏中有参数的地方;2.像登录注册窗口,虽然URL中没有参数,但是这种登录注册,脚本代码肯定会与数据库进行交互,不然它怎么知道你是真
PT_silver·2023-12-31 13:11

菜鸟季:职场新人最容易踩的3个陷阱!

不知道大家还记不记得之前阿里将利用漏洞抢月饼的员工辞退的事情。虽然涉及的金额不大,但这便宜真不能贪,一旦出了问题就百口莫辩了。凡是涉及到金钱的事情,对于企业来说都是原则性问
菜鸟季·2023-12-31 12:44

域传送漏洞

DNS解析当用户访问域名时浏览器解析首先会查看浏览器缓存是否有对应的ip,如果没有则会到本地host文件中查看是否有对应的ip,如果没用则会将域名发送给本地区的DNS服务器.DNS服务器分为递归服务器,根服务器,权威服务器首先是递归服务器拿到域名后查看缓存,如果缓存没用则向根服务器查询顶级域名服务器的ip地址。递归服务器对应的顶级域名找到并询问顶级域名服务器二级域名,顶级服务器返回二级域名对应的i
Sharpery·2023-12-31 11:37

【Web】vulhub-httpd apache解析漏洞复现(1)

目录①CVE-2017-15715②apache_parsing_vulnerability①CVE-2017-15715贴出源码:Uploadfile:filename:意思就是上传文件的后缀不能是php,php3,php4,php5,phtml,pht我们看一下.htaccess配置文件SetHandlerapplication/x­httpd­php这段代码的作用是告诉Apache如何处理以
Z3r4y·2023-12-31 10:46

欢迎来到Web3.0的世界:Solidity智能合约安全漏洞分析

智能合约概述智能合约是运行在区块链网络中的一段程序,经由多方机构自动执行预先设定的逻辑,程序执行后,网络上的最终状态将不可改变。智能合约本质上是传统合约的数字版本,由去中心化的计算机网络执行,而不是由政府或银行等中央集权机构执行。智能合约程序可以用Solidity或Vyper等编程语言实现,并存储在区块链上,在公链网络上,任何人都可以访问和执行部署好的智能合约。智能合约拥有防篡改、透明和自动化等特
装逼未遂的程序猿·2023-12-31 10:40

apache httpd多后缀解析漏洞复现

一、漏洞描述ApacheHttpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apachehttpd这个特性,
黄公子学安全·2023-12-31 06:27

Apache SSI 远程命令执行漏洞

一、环境搭建二、访问upload.php三、写shell四、访问如图所示,即getshell成功!
黄公子学安全·2023-12-31 06:27

Apache-ActiveMQ 反序列化漏洞(CVE-2015-5254)复现

CVE-2016-3088一、环境搭建Java:jdk8影响版本ApacheActiveMQ<5.13.0二、用docker搭建漏洞环境访问一下web界面然后进入admin目录登录账号:admin密码:
黄公子学安全·2023-12-31 06:54

做源代码审计如何保障代码安全?

网络攻击中的SQL注入攻击,就是利用了代码中存在的漏洞,在查询语句的参数传递时跟上额外的删除或者修改的SQL语句。
天磊卫士·2023-12-31 06:25

速盾网络:被cc攻击了怎么办?

其中,CC攻击(也称为ChallengeCollapsar攻击)是一种常见的网络攻击方式,它利用了网站服务器的漏洞,通过大量的请求流量来耗尽服务器的资源,从而造成服务器瘫痪或网站无法正常访问。
速盾cdn·2023-12-31 06:54

WAF是什么?又有什么作用?

1、可拦截常见的web漏洞攻击,
德迅云安全-小潘·2023-12-31 05:00

Linux 运维工具之1Panel

快速建站:深度集成Wordpress和Halo,域名绑定、SSL证书配置等一键搞定;高效管理:通过Web端轻松管理Linux服务器,包括应用管理、主机监控、文件管理、数据库管理、容器管理等;安全可靠:最小漏洞暴露面
在奋斗的大道·2023-12-31 05:06

《网络安全面试总结》--windows加固-Linux加固及互联网大厂面试

加固方法修改3389端口设置安全策略,不允许SAM账户的匿名枚举,不允许SAM账户和共享的匿名枚举在组策略中设置阻止访问注册表编辑工具开启审核对象访问,开启审核目录服务访问,开启审核系统事件禁止445端口漏洞设置屏幕保护在恢复时使用密码保护设置
MaKe教室·2023-12-31 03:11

《网络安全面试总结》--大厂面试题目及经验

有过成功发现漏洞的经历吗?做web渗透时接触过哪些工具xxe漏洞是什么?ssrf是什么?
MaKe教室·2023-12-31 03:40

基于vulnhub靶场的DC8的通关流程 (个人记录)

扫描到的发现主机在我这里是192.168.52.142用常用的工具nmap扫描192.168.52.142,观察其开放的端口号观察出该主机开放了22号端口和80的接口我们可以哦看到DC8有网页尝试用漏扫工具寻找该靶机的漏洞
曼达洛战士·2023-12-31 03:38

DC7靶场的攻击流程

按流程扫描8022端接口看到了登录的端口发现有一个搜索框发现可以搜索有可以注入的地方,首先我们可以考虑一下手机是不是有数据库注入的漏洞所以我们用sqlmap进行sql漏洞的扫喵所以我们所使用的sqlmap-u"http
曼达洛战士·2023-12-31 03:07

MSF(Metasploit Framework)详细教程

一.简介Metasploit是一个开源的渗透测试开源软件,也是一个逐步发展成熟的漏洞研究与渗透测试代码开发平台,此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境,2009年10月,Metasploit
别动我的cat·2023-12-31 03:45

SQL注入【sqli靶场第23-28关】(七)

存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。为方便验证提交拦截到BP,
大象只为你·2023-12-31 02:46

SQL注入【ByPass有点难的靶场实战】(九)

存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。为方便验证提交拦截到BP,
大象只为你·2023-12-31 01:42

年底绩效打分,如何让所有人都满意?

导致这样的局面主要有以下两个关键漏洞。第一,在考核前未对考核标准做详细沟通,导致员
管理课堂·2023-12-31 01:01

.Net Core 防御XXS攻击

XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
csdn_aspnet·2023-12-31 01:27

升级ntpd到4.2.8p17,ntp编译报recompile with -fPIC错误解决

背景低版本的ntp会有漏洞,需要升级到最新版本4.2.8p17检查ntpd版本/usr/sbin/ntpd--version下载部署包https://archive.ntp.org/ntp4/ntp-4.2
为了馒头争口气·2023-12-31 01:53

web渗透测试实战-DVWA-文件上传漏洞(High-高级),菜刀工具-蚁剑

web渗透测试实战-DVWA-文件上传漏洞(High-高级),菜刀工具-蚁剑本文将描述小白本白在进行DVWA-文件上传漏洞(高级)实战时的完成步骤,以及所遇到的问题测试步骤第一步、查看源码:Yourimagewasnotuploaded
小白菜_01·2023-12-31 01:48

DVWA文件上传-菜刀工具

DVWA文件上传-菜刀工具一.菜刀的使用二.漏洞复现一.菜刀的使用链接:https://pan.baidu.com/s/1jGuXh1XtLwssoEN1j3sGSA提取码:shyh下载后解压二.漏洞复现上传文件搜集信息组成完整的后门路径菜刀中右键添加
Aurora-q223·2023-12-31 01:18

我的创作纪念日

机缘实战项目中的经验分享日常学习过程中的记录通过文章进行技术交流收获获得了粉丝的关注获得了正向的反馈,如赞、评论、阅读量等认识了志同道合的领域同行日常创作相当于是我记录学习的过程有限的精力下,平衡创作和工作学习成就在freebuf中发布文章工作中的有意思的点记录下来在漏洞盒子提交漏洞
网络安全之路·2023-12-31 01:13

一些与漏洞相关的面试题

打点一般会用什么漏洞优先以java反序列化这些漏洞像shiro,fastjson,weblogic,用友oa等等进行打点,随后再找其他脆弱性易打进去的点。
廾匸0705·2023-12-30 22:52

C语言常见漏洞-缓冲区溢出

缓冲区溢出1.原理1.1函数调用栈情况1.2缓冲区溢出2.攻击方式2.1利用shellcode2.2跳到其它函数2.3其它情况3.防护3.1canary(栈保护)3.2NX3.3RELRO3.4PIE缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上。理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分
I still …·2023-12-30 21:19

5.16 - 草稿

不是打倒对方去证明4、要知道什么是最重要的事5、煤球再怎么洗永远变不成钻石6、不想证明(承认)自己是错的,就会去努力证明对方是错的7、情绪大时不要做任何决定,情绪就是业力,谈的时候只提问8、坑都是自己脑子里的漏洞
陌上花开八月·2023-12-30 20:19

为什么网络安全行业那么缺人才,但招聘岗位却没那么多?

一、学校的偏向于学术第一个原因是学校教的太学术性了,企业要的是招进来就能够解决实际的网络黑客入侵和查出漏洞的人,但在校的大学生
程序员刘皇叔·2023-12-30 20:18

XXS漏洞(跨站脚本攻击)总结

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
网安?阿哲·2023-12-30 20:37

XXE注入漏洞总结

XXE漏洞全称XMLExternalEntityInjection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行
网安?阿哲·2023-12-30 20:37

文件下载漏洞总结

文件就会直接将文件下载到本地http://127.0.0.1/demo.php这种文件在直连下载的环境中,脚本文件只会被解析,不会被进行下载,什么文件会被下载是网站提前设定好的为此这种文件下载一般情况下不会存在文件下载漏洞的情况一般来说直连下载和网站的配置设置有关
网安?阿哲·2023-12-30 20:07

文件包含漏洞总结

文件包含:引用文件,进行代码共享场景:1.我们在写一个项目的时候,我们需要实现一个过滤的功能,是对于每一个代码需要进行过滤的代码进行过滤,还是使用一个写好过滤条件的代码进行包含(代码共享)2.例如数据库等配置文件,每一个网页文件都需要加载数据库的数据来进行页面显示,因此每个网页都需要写输入数据库的配置信息来进行数据获取,为了便利和代码的简洁性,我们可以使用文件包含去包含数据库配置信息来达到简化代码
网安?阿哲·2023-12-30 20:06

gpt4中用到的红队评估(red teaming)

红队评估的目的是发现和强化组织的安全漏洞,提高组织对真实世界攻击的抵抗能力。活动内容情报收集:红队成员会像真实攻击者一样收集有关目标组织的信息。
samoyan·2023-12-30 19:51

Linux 服务器安全策略技巧:实施网络入侵防御系统

及时安装操作系统和软件的安全补丁和更新,可以修复已知的漏洞和弱点,提高服务器的安全性。2.配
奔向理想的星辰大海·2023-12-30 16:01

nginx环境CORS 跨域漏洞修复

1、漏洞报告2、漏洞复现curl-H‘Origin:https://www.baidu.com’http://127.0.0.1:803、漏洞修复(nginx)location/myProject/api
core512·2023-12-30 16:15

安全扫描出数据库弱口令漏洞

这个漏洞一般是由于账号密码过于简单导致的,通过修改数据库密码,来解决这个漏洞
威迪斯特·2023-12-30 15:05

SQL注入安全漏洞详解

改变原有SQL结构,以下两种情况可以造成SQL注入:1.使用字符串拼接的方式构造SQL语句2.未对用户可控参数进行严格的过滤,便把参数内容拼接到SQL语句中2.SQL注入的危害攻击者通过利用SQL注入漏洞
一瓢西湖水·2023-12-30 14:50

开发知识点-JAVA图形化-JavaFX

JavaFXJavaFX通用漏洞利用工具开发从无到无环境配置vscode配置JavaFXJavaFX基本程序结构创建项目新建一个包新建入口类(主类)新建(FX)label标签创建按钮JavaFX应用的Stage
amingMM·2023-12-30 14:27

CVE-2023-39785堆栈溢出漏洞分析

0x00漏洞信息TendaAC8V4V16.03.34.06版本中存在一个堆栈溢出漏洞,该漏洞位于set_qosMib_list函数的list参数中。
INSBUG·2023-12-30 13:27

QQ&TIM提权漏洞分析

0x00漏洞背景QQ是一款广泛使用的即时通讯软件,由腾讯公司开发和运营。它提供在线聊天、语音通话、视频通话、在线游戏等功能,成为了许多人日常沟通和社交的重要工具之一。
INSBUG·2023-12-30 13:56

Apache Tomcat请求走私漏洞 CVE-2022-42252

0x01概述ApacheTomcat是一个开源的JavaServlet容器和JavaServerPages(JSP)容器。它是由Apache软件基金会开发和维护的,是一个轻量级、快速、可扩展的Web服务器,用于执行JavaServlet和JavaServerPages技术。Tomcat是一个独立的服务器,它可以用作Java应用程序的Web服务器,也可以作为Servlet容器集成到其他Web服务器(
INSBUG·2023-12-30 13:56

CodeQL分析XXL-JOB默认accessToken命令执行漏洞

的时候开源的一个源代码分析引擎,分析引擎是白盒代码工具的核心,有了这个引擎之后,随着网上不断迭代的支持CodeQL的queries规则库,CodeQL也慢慢在源代码审计安全圈活跃起来,比如log4shell这个漏洞就是通过
INSBUG·2023-12-30 13:56
上一页 61 62 63 64 65 66 67 68 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他