2017年5月2日
摘要:
一、漏洞扫描的种类及其修复方法 在系统上线的过程中,一般要经过三重检查:主机基线扫描、主机端口扫描、web扫描。相应的漏洞我们划归为:主机基线配置漏洞、主机端口漏洞、web应用漏洞。 1.1主机基线扫描 1.1.1 主机基线扫描的必要性 虽然基线配置存在于主机内部不能为攻击者直接利用,从定义上不宜称 阅读全文
摘要:
1 登录mysql 2 切换至mysql库 3 查看当前允许登录IP及用户 4 删除不必要而表中存在的IP和用户 (host值为“%”或空表示所有IP都可登录,一般来说此类行需要删掉) 5 增加需要而表中没有的IP和用户 6 使更新的配置生效 说明: 1.语句中的host,username和pass 阅读全文
摘要:
1 到apache-tomcat安装目录下的lib子文件夹,找到catalina.jar备份该文件然后将该文件下载到本地。 2 使用winrar等工具直接打开该jar包进入到org/apache/catalina/util/目录。 3 编辑目录下的ServerInfo.properties文件,找到 阅读全文
摘要:
1 找到Apache配置文件/etc/httpd/conf/httpd.conf 2 给该文件添加写权限:chmod u+w httpd.conf 3 打开该文件找到ServerTokens字段将其值改为Prod,即如图将内容由上图改为下图形式: 4 继续在该文件中找到ServerSignature 阅读全文
摘要:
一、服务端请求伪造漏洞 服务端请求伪造(Server-Side Request Forgery),是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端 阅读全文