摘要:
4 phpMyAdmin本地文件包含漏洞 4.1 摘要 4.1.1 漏洞简介 phpMyAdmin是一个web端通用MySQL管理工具,上述版本在/libraries/gis/pma_gis_factory.php文件里的存在任意文件包含漏洞,攻击者利用此漏洞可以获取数据库中敏感信息,存在GETSH 阅读全文
摘要:
3 CmsEasy 5.5 cut_image 代码执行漏洞 3.1 摘要 3.1.1 漏洞介绍 CmsEasy是一款基于PHP+MySQL架构的网站内容管理系统,可面向大中型站点提供重量级网站建设解决方案:拥有强大的内容发布模板自定义功能,可以通过模板自定义功能扩展出产品、新闻、招聘、下载等多种不 阅读全文
摘要:
2 Node.js 反序列化漏洞远程执行代码(CVE 2017 5941) 2.1 摘要 2.1.1 漏洞介绍 漏洞名称: Exploiting Node.js deserialization bug for Remote Code Execution 漏洞CVE id: CVE 2017 594 阅读全文
摘要:
1 WordPress REST API 内容注入漏洞 1.1 摘要 1.1.1 漏洞介绍 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。 近日,一个由RE 阅读全文
摘要:
20145312《网络对抗》免考项目——2017年2月前沿漏洞复现与分析 项目内容 " 1 WordPress REST API 内容注入漏洞 " 1.1 摘要 1.1.1 漏洞介绍 1.1.2 漏洞环境 1.1.3 实验工具 1.2 漏洞复现 1.3 漏洞分析 1.4 修复方案 1.5 思考总结 阅读全文
摘要:
20145312 《网络对抗》 Web安全基础实践 问题回答 1. SQL注入攻击原理,如何防御 原理:攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,把SQL语句当做用户名等输入正常网页中以获取数据库信息的攻击或对数据库增删查改的基本操作。 防御:限制SQL字符串连接的配 阅读全文
摘要:
20145312袁心《网络对抗》Web基础实践 问题回答 1.什么是表单: 表单在网页中主要负责数据采集功能。 一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选 阅读全文
摘要:
20145312《网络对抗》网络欺诈技术防范 实验要求 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 1.简单应用SET工具建立冒名网站 2.ettercap DNS spoof 3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 问题回答 1.通常在 阅读全文
摘要:
20145312《网络对抗》信息搜集与漏洞扫描 问题回答 1.哪些组织负责DNS,IP的管理。 互联网名称与数字地址分配机构,简称ICANN机构,决定了域名和IP地址的分配,在ICANN下有三个支持机构,其中地址支持组织(ASO)负责IP地址系统的管理;域名支持组织(DNSO)负责互联网上的域名系统 阅读全文
摘要:
20145312《网络对抗》MSF基础 实验要求 1.掌握metasploit的基本应用方式 2.掌握常用的三种攻击方式的思路 实验问答 用自己的话解释什么是exploit、payload、encode exploit就相当于是一个运载的工具,将负责攻击的代码传送到靶机中。 payload也就是负责 阅读全文