一、log4j简介 1.1 在应用程序中添加日志记录总的来说基于三个目的: 1)监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作; 2)跟踪代码运行时轨迹,作为日后审计的依据; 3)担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。 1.2 1)最普通的做法 ...
分类:
其他好文 时间:
2020-05-10 22:56:42
阅读次数:
68
1.搭建环境 2.邮件服务器配置 3.任务配置 自动发送邮件 4.自定义邮件模板 搭建Jenkins: 1)方式1:安装包下载安装:https://www.jenkins.io/zh/download/(网速慢的小伙伴,可能会比较慢,耐心~ 2)方式2:war包部署: 下载 .war cmd>>ja ...
分类:
其他好文 时间:
2020-05-09 21:32:36
阅读次数:
76
NMAP介绍 Nmap(“Network Mapper”)是一个用于网络发现和安全审计的免费开源实用程序。许多系统和网络管理员还发现它对于诸如网络资源清册、管理服务升级计划、监视主机或服务正常运行时间等任务非常有用。Nmap以新颖的方式使用原始IP包来确定网络上可用的主机、这些主机提供的服务(应用程 ...
分类:
其他好文 时间:
2020-05-09 17:21:40
阅读次数:
158
Blog链接:https://blog.51cto.com/13637423如18年的Blog所介绍,Microsoft将于2018年10月31日,陆续将Office365的onlineservice迁移到TLS1.2,以提供一流的加密,确保企业用户的数据在默认的情况下是安全的。于2020年4月22日,Microsoft发布更新:将于2020年6月1日,Microsoft365退役TLS1.0和1
分类:
其他好文 时间:
2020-05-09 00:33:59
阅读次数:
110
[0CTF 2016]piapiapia 1.审题 进入登录页面,简单的sql注入无效,可能是过滤了大部分的注入字符 dirsearch扫描一下,发现源码泄漏,www.zip 下载,源码审计 2.源码审计 config.php 猜测flag在这个文件中,我们要有一个意识:这是我们下载下来的源码,并非 ...
0x01 修改金币到8位,才能买东西 robots.txt中发现.git泄露 下载附件,得到源码 审计api.php 我们传入的值与随机生成的值进行比较, 按照相同的个数,得到不同的钱 if($numbers[$i] == $win_numbers[$i]) 存在若类型比较 抓包修改json值 tr ...
分类:
其他好文 时间:
2020-05-07 00:46:32
阅读次数:
132
最近在审计某银行的Java代码时,发现许多上传Excel文件的接口,允许后缀是xslx文件,xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。下面的测试使用Java语言进行blind xxe测试。 1、测试环境 解析Excel文件 ...
分类:
其他好文 时间:
2020-05-04 13:07:15
阅读次数:
150
给了两个 文件 index.html 和 一个js文件 ,考察js代码审计能力首先借助浏览器来运行js 程序。用浏览器打开index.html,分析 js 代码: 首先无论在 token 输入框中输入什么字符串,getFlag() 都会算出一个 hash 值,实际上是showFlag()函数中 ic ...
分类:
其他好文 时间:
2020-05-03 12:24:39
阅读次数:
158
邮件服务器概述使用Email很容易,但是Internet的邮件系统是通过很复杂的几个系统组成的,对于最终用户而言,我们熟悉的Outlook,Foxmail等都是用来收信和发信的,称之为MUA:Mail User Agent,邮件用户代理。MUA并非直接将邮件发送至收件人手中,而是通过MTA:Mail ...
分类:
系统相关 时间:
2020-05-02 12:09:46
阅读次数:
126
