文件上传 文件上传的原因 文件上传时检查不严格,可以直接上传php,asp等代码 文件上传后修改文件名处理不当 引用第三方插件 服务器配置不当 开源编辑器的上传漏洞 本地文件上传限制被绕过 文件解析漏洞导致文件执行 文件路径截断 引起的问题 上传可执行脚本 上传flash策略文件,可控制flash行 ...
分类:
Web程序 时间:
2020-06-16 20:10:42
阅读次数:
142
一、背景 Golang开发者非常关心开发应用的安全性。随着Go Module应用越来越广泛,Golang开发者需要更多的方式来确保这些公共共享文件的安全。Golang1.13版本在创建Go Module时,通过增加go.sum文件来验证之后从GOPROXY再次访问到的该Module是否曾被篡改。这个 ...
分类:
其他好文 时间:
2020-06-16 18:06:44
阅读次数:
34
概述 Metasploitable3是Metasploitable2的升级版本,它是一个虚拟靶机系统,里面含有大量未被修复的安全漏洞,它主要是用于metasploit-framework测试的漏洞目标。众所周知Metasploitable2由于年久失修,被更好的Metasploitable3给取代了 ...
分类:
Web程序 时间:
2020-06-16 13:01:08
阅读次数:
84
Harbor 是一个开源镜像仓库,可通过基于角色的访问控制来保护镜像,新版本的Harbor还增加了扫描镜像中的漏洞并将镜像签名为受信任。 作为CNCF孵化项目,Harbor提供合规性,性能和互操作性,以帮助你跨Kubernetes和Docker等云原生计算平台持续,安全地管理镜像。 Harbor组件 ...
分类:
其他好文 时间:
2020-06-16 12:44:07
阅读次数:
213
Web安全之文件上传漏洞专题. 文件上传漏洞基础 怎么说呢,个人理解就是通过进行上传文件操作时,通过一些方法绕过前端将脚本木马 上传到web服务器上,并进行解析运行上传的脚本木马,进而达到自己的目的。 再简单点就是通过这种文件上传途径,找到安全漏洞并利用其漏洞实现脚本木马。 这里再结合一下PDF中的 ...
分类:
Web程序 时间:
2020-06-16 01:02:29
阅读次数:
129
究竟为什么会有文件上传的漏洞呢?? Web应用程序在处理用户上传的文件上传操作的时候。如果上传文件的路径、文件名、扩展名都是用户可控的数据,然后木马脚本就会在web服务器上面搞事情。 其实文件上传本身没有问题。有问题是在文件上传之后,服务器的处理方式、解释文件如果出现了问题,就会导致错误,就是漏洞的 ...
分类:
Web程序 时间:
2020-06-15 23:03:59
阅读次数:
110
安全学习了大概快半年了,对于诸多漏洞的原理和基础应用大概也基本了解了。 之前都是以‘点(每个漏洞怎样?)’的方式在学习、记忆。现在感觉需要做一些总结: 今天又看到了DNSlog这个词,记起了第一次接触是在SQL盲注那一块知识,后来在SSRF中测试无回显情况中也遇到过,遂想做一下dnslog在诸多漏洞 ...
分类:
其他好文 时间:
2020-06-15 21:02:00
阅读次数:
114
Tomcat服务器版本号泄露-低危漏洞修复 一、问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。二、解决办法 1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\ ...
分类:
其他好文 时间:
2020-06-15 17:30:28
阅读次数:
86
#JSON相关 ##利?JSONP跨域读取资源造成信息泄露 寻找jsonp接口 site:target.cominurl:?callbac 在请求中去寻找 ##Callback输出点未控制造成XSS http://127.0.0.1/dorabox/csrf/jsonp.php?callback=你 ...
分类:
其他好文 时间:
2020-06-15 16:02:24
阅读次数:
53
最近在甲方驻场,工作中用扫描器经常能扫到内网的主机存在openssh的高危漏洞,发邮件给业务接口人,人家不会,抱着电脑来问我,之前也没有具体修复的经验,正好这次学习尝试一下 由于系统都是使用ssh登陆的,要升级ssh,怕升级失败导致服务挂掉,机器登不上。因此在升级之前先把telnet开起来。 ### ...
分类:
Web程序 时间:
2020-06-15 15:54:57
阅读次数:
146
