0x00 实验环境 攻击机:Win 10 靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 标志:/index.php 版本:thinkphp2.x 简介:在ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: $res = ...
分类:
Web程序 时间:
2021-04-15 12:45:30
阅读次数:
0
一、背景分析 新基建加速推动5G与AI人工智能等技术迅猛发展,这为全国高速公路云联网提供了技术支撑。然而,由于高速公路视频监控网络涵盖的设施种类繁多,物联网终端个体抵挡黑客非法攻击的能力较弱,无法安装准入软件,因此极易存在伪造终端接入、木马注入、病毒注入等风险。另一方面,大部分高速公路都缺少视频终端 ...
分类:
其他好文 时间:
2021-04-13 12:14:45
阅读次数:
0
存有超大量的MIDI音乐文件,包括钢琴,古典,乡村,流行,各年代各平台游戏,等等。 之前的手机 TF 卡,貌似是假冒的闪迪卡,且不是性能很好的款式的仿冒货。存储一万五千多首 MIDI 音乐文件,用自带的音乐播放器打开,每次总是重新索引一遍,非常慢,而且音乐播放器APP有时会被清出内存,再打开时重新启 ...
分类:
移动开发 时间:
2021-04-12 12:25:06
阅读次数:
0
输入数据过滤和验证 验证不改变数据,过滤会改变数据 session安全处理 1. 如果存储在cookie中的phpsessid被跨站脚本攻击(XSS)获取了,要尽可能缩短原有的会话id的有效时间 session_starrt(); session_regenerate_id(); //重新生成会话i ...
分类:
Web程序 时间:
2021-04-09 13:15:26
阅读次数:
0
DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术。虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP、UDP通信大量被安全设备拦截的大背景下,DNS、ICMP、HTTP/HTTPS等难以禁用的协议已经成为攻击者使用隧道的主流选择。 选择DNS协议作为 ...
分类:
其他好文 时间:
2021-04-08 14:03:16
阅读次数:
0
同源策略: 官方解释:同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 描述:例如:https://www.baidu.com https是协议,com为顶级域名,baidu是一级域名,www是 ...
分类:
其他好文 时间:
2021-04-08 13:29:27
阅读次数:
0
CSRF:跨站请求伪造 (cross-site request forgery) cookie伪造 用户在注册网站登录过 引诱点击(链接自动携带cookie) 防御: 加token验证 referer验证 页面来源 是否来自该站点下的页面 隐藏令牌 (类似于token 放在http请求头中) XSS ...
分类:
其他好文 时间:
2021-04-07 11:37:38
阅读次数:
0
Python编码解码技巧汇总 encode encode将字符串转换为bytes类型的对象 (即b为前缀, bytes类型), 即Ascll编码, 字节数组 a = "检测到网站攻击" print(a.encode()) print(type(a.encode())) # b'\xe6\xa3\x8 ...
分类:
编程语言 时间:
2021-04-06 14:32:28
阅读次数:
0
原作者地址:https://www.sohu.com/a/325865768_100150040 什么是DDoS攻击? DDoS攻击就是分布式的拒绝服务攻击,DDoS攻击手段是在传统的DoS攻击(拒绝服务攻击)基础之上产生的一类攻击方式。 单一的DoS攻击一般是采用一对一方式的,通过制造并发送大流量 ...
分类:
其他好文 时间:
2021-03-18 14:27:46
阅读次数:
0
安全术语 撞库:撞库攻击指的是黑客通过收集互联网上已泄露的用户账户信息,生成对应的字典表,再利用部分用户相同的注册习惯(即使用相同的用户名和密码),尝试登陆其它的网站或应用,以获取新的可利用账户信息。 爬虫:爬虫又称为网页蜘蛛,是一种按照既定规则,自动抓取网络上的指定信息的程序或脚本,可分为遍历爬取 ...
分类:
其他好文 时间:
2021-03-16 13:53:33
阅读次数:
0
