####文件上传 文件上传就是在一些web应用中允许用户上传图片,文本等相应文件到服务器指定的位置。而文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,之后通过url去访问以执行代码达到攻击的目的。 ####可以成功攻击的条件 1.存放上传文件的目录要有执行脚本的权限,也就是文件能够被 ...
分类:
Web程序 时间:
2020-06-03 09:13:44
阅读次数:
95
####漏洞简介 ? phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和 删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 ? phpMyAdmin 4.8.2之前的4.8.x版本中存在安全漏洞。攻击者可利用该漏洞包含( ...
分类:
Web程序 时间:
2020-06-03 00:58:27
阅读次数:
130
####简述 程序员将一些可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般称为文件包含。 而文件包含漏洞就是文件包含函数加载的参数没有经过过滤,可以被攻击者控制,包含了其他恶意文件,执行了恶意代码。 ####php中的文件包含函数 include ...
分类:
其他好文 时间:
2020-06-03 00:47:06
阅读次数:
57
####定义 XSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和JS脚本)注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击 ...
分类:
其他好文 时间:
2020-06-03 00:24:06
阅读次数:
237
1、制作exe免杀木马 前言 免杀技术全称为反杀毒技术 Anti-Virus 简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术,内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。 MSF编码 在 ...
分类:
其他好文 时间:
2020-06-02 11:20:44
阅读次数:
284
1. 条件1)攻击者可以控制服务器上的文件名/文件内容2)tomcat context配置了persistencemanager的fileSotre3) persistenceManager 配置了sessionAttributeValueClassNameFilter的值为NULL或者宽松过滤4) ...
分类:
其他好文 时间:
2020-06-02 11:11:38
阅读次数:
77
Weblogic反序列化漏洞 0x00 漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。 0x01 影响范围 webl ...
分类:
Web程序 时间:
2020-06-01 20:45:19
阅读次数:
177
概述 为什么要学Linux 开源, 稳定, 漏洞少, 靠谱公司都用它. Linux是什么: Linux是一套免费使用和自由传播的类Unix操作系统. Linux安装中的问题 网络类型 - 网络连接 桥接网络 Linux虚拟操作系统会和主机共用一个网段. 问题: IP不够用, 不安全(在同一网段的其他 ...
分类:
系统相关 时间:
2020-06-01 20:41:46
阅读次数:
109
##什么是 XSS 攻击,如何避免? 答: 概念:XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 目的:想办法获取目标攻击网站的cookie,因为有了cookie相当于有了s ...
分类:
其他好文 时间:
2020-06-01 16:53:35
阅读次数:
73
漏洞简介 Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Red ...
分类:
其他好文 时间:
2020-06-01 14:10:47
阅读次数:
733
