摘要:
一、概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include(),include_once() require(),require_once(),这些文件包含函数,这些函数在代码设计中被经常使用到。 大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。... 阅读全文
posted @ 2020-03-31 23:24
N0r4h
阅读(221)
评论(0)
推荐(0)
摘要:
一、概述 1.1 RCE漏洞 可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 1.2 远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,... 阅读全文
posted @ 2020-03-31 23:05
N0r4h
阅读(187)
评论(0)
推荐(0)
摘要:
一、概述 SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的"数据"拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞: 1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入; 2.使用参数化(Pa... 阅读全文
posted @ 2020-03-31 22:58
N0r4h
阅读(1017)
评论(0)
推荐(0)
摘要:
一、概述 Cross-site request forgery 简称为"CSRF",在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如: ... 阅读全文
posted @ 2020-03-31 22:32
N0r4h
阅读(324)
评论(0)
推荐(0)
摘要:
一、概述 "暴力破解"是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有 阅读全文
posted @ 2020-03-31 22:07
N0r4h
阅读(355)
评论(0)
推荐(0)
摘要:
一、概述 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致"精心构造"的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上,一般会采用"对输入进行过滤"和"输出进行转义"的方式进行 阅读全文
posted @ 2020-03-31 21:50
N0r4h
阅读(663)
评论(0)
推荐(0)
摘要:
博客园随笔的编辑发布比较难用,影响博客文章的美观和写的速度。这里记录一下用word编辑后发布的使用技巧。并更新一下记录pikachu平台的文章。 工具:word2016 第一步:在word中编辑好自己需要发布的内容。 第二步:在word中依次选择如下选项: 第三步:选择发布到博客之后,在弹出的界面点 阅读全文
posted @ 2020-03-31 19:17
N0r4h
阅读(247)
评论(0)
推荐(1)
摘要:
介绍一个 VNC连接工具:iis7服务器管理工具IIs7服务器管理工具可以批量连接并管理VNC服务器作为服务器集成管理器,它最优秀的功能就是批量管理windows与linux系统服务器、vps。能极大的提高站长及服务器运维人员工作效率。同时iis7服务器管理工具还是vnc客户端,服务器真正实现了一站 阅读全文
posted @ 2020-03-31 13:25
N0r4h
阅读(6837)
评论(0)
推荐(1)
浙公网安备 33010602011771号