2020-10-10

说在前面的话：突然接到这么一个任务，将多个域名的访问必须使用https的转发访问，其实对Niginx的使用很简单，文档也很齐全（不管是腾讯云还是阿里云），入坑的原因是对Niginx服务器的陌生和走的弯路。1.弯路：Tomcat支持SSL腾讯云Tomcat服务器证书配置修改server.xml文件<Connector    port="443"    protocol="org.apache.coy

2020-09-02关键词： 信息发现报错试着站长站

在配置servlet不同路径时遇上以下两个错误：java.lang.NoSuchMethodError: javax.servlet.ServletContext.getVirtualServerName()Ljava/lang/String； java.lang.ClassNotFoundException: org.apache.jsp.index_jsp；对于第一个问题，我上网查阅了很多资料

2020-08-28关键词： 软件系统苹果电脑都是接口

苹果电脑的优势有：1、有着OS系统，安全性高；2、续航能力强；3、触控板效果好；4、苹果电脑体重轻薄，而且极简外观、不错的工艺，颜值高。推荐：《编程视频》苹果电脑的优势：1、 OS 系统Macbook 和 Windows 电脑的最大区别就是系统。OS 系统因为没有开源，所以是封闭的。安全性相对 Windows 来说安全性高了不。而且能装的软件都是 App Store 过滤过的，所以兼容性能得到很好

2020-08-27关键词： 网络手机卡信号也有拨打电话

未在网络上注册的意思是：手机卡没有网络运营商，无法使用。原因有多种：1、手机卡槽和SIM卡接触不良；2、手机卡消磁了；3、与所在位置的网络信号覆盖范围有关，建议更换其他信号较好的位置，再拨打电话尝试；4、话费不正常等。有时候我们使用手机上网或打电话时，看到手机信号也有，而刚要上网或拨打电话时却显示没有在网络上注册的提示，是什么原因呢？手机显示未在网络上注册是什么意思呢？下面给大家介绍一下。未在网络

2020-08-25关键词： 地址因特网网址计算机这一

网址通常指的是因特网上网页的地址。企事业单位或个人通过技术处理，将一些信息以逐页的方式储存在因特网上，每一页都有一个相应的地址，以便其他用户访询而获取信息资料，这样的地址叫做网址。推荐：《编程视频》网址通常指因特网上网页的地址。Internet网址是因特网重要标识，浏览网络信息、运行网络应用软件都必须输入Internet网址。Internet网址随应用内容的不同而不同，访问服务器用 IP地址或域名

2020-08-25

1.简介tr用来转换或者删除一段文字。tr是translate（转换的缩写），功能的英文示意是：translate or delete characters。tr所有的功能均可由sed来完成，可以将tr视为sed一个极简的实现。2.格式tr [OPTION]... SET1 [SET2]3.选项-c,-C,--complement：将字符集<character set1>以外的其他字符删除或者转换

2020-08-24关键词： 机器语言指令程序语言计算机

在计算机内部，不需要编译就能够直接执行的程序语言是机器语言，机器语言是机器能直接识别的程序语言或指令代码，勿需经过翻译，每一操作码在计算机内部都有相应的电路来完成它，或指不经翻译即可为机器直接理解和接受的程序语言或指令代码。推荐：《编程视频》在计算机内部，不需要编译，计算机就能够直接执行的语言是机器语言。计算及智能识别机器语言，其他语言都需要编译或者解释后才能够执行。机器语言是机器能直接识别的程序

2020-08-19关键词： 数据数据传输密钥冗余可用性

一、定义数据传输安全是对数据进行网络传输的安全的管理，这是数据安全重要的阶段，也是发生数据安全事件，如数据泄露、窃取、篡改等比较频繁的过程，所以该阶段的重要性不言而喻。该过程包含四个过程域，分别为：数据传输加密和网络可用性管理。1.1数据传输加密官方描述为根据组织机构内部和外部的数据传输要求，采用适当的加密保护措施，保证传输通道、传输节点和传输数据的安全，防止传输过程中数据被截取所引发的数据泄漏。

2020-08-19关键词： 端口漏洞系统密码数据库

常用端口：21端口渗透剖析FTP通常用作对远程服务器进行管理，典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全，甚至黑客通过提权可以直接控制服务器。这里剖析渗透FTP服务器的几种方法。（1）基础爆破：ftp爆破工具很多，这里我推owasp的Bruter,hydra以及msf中的ftp爆破模块。（2) ftp匿名访问：用户名：anonymous 密码：为空或者任意邮箱（3

2020-08-19关键词： 进程内存文件事务手段

Mitre ATT&CK矩阵中的三种进程注入手法：经典的进程注入、Process Hollowing和Process Doppelgänging。恶意软件使用进程注入的主要目的大致是为了躲避杀软的检测或者进行提权操作。这里我们将主要针对第一种情况下的3种手段进行详细的讨论。一：经典的进程注入（DLL注入）这是最为经典的手段，流程也十分简洁明了即：OpenProcess -> VirtualAllo

2020-08-19关键词： 应用程序阶段团队工作流安全性

如今，安全威胁的破坏力正以前所未有的速度随着信息化程度的加深而增长，扩大构建数字化业务通常会导致更大的受攻击面。要应对当前和未来的安全威胁，只依靠传统的安全产品投入已显得力不从心，除了购买安全产品，更重要的是安全意识的增强和安全流程的建设。在各种安全建设方案中，“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒，缺少安全开发过程的应

2020-08-19关键词： 漏洞设置为接口命令服务器

近日，深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误，当enableRemoteAdmin属性设置为true时，攻击者可以远程利用AdminService接口自行发布构造的WebService，再次访问生成的WebService接口时，就可以触发内部引用的类进行远程命令执行漏洞的利用。axis 组件介绍axis 全称Apac

2020-08-19关键词： 攻击者日志页面路径浏览器

0x01 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析，不仅可以帮助我们定位攻击者，还可以帮助我们还原攻击路径，找到网站存在的安全漏洞并进行修复。我们来看一条Apache的访问日志：127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 7

2020-08-19关键词： 数据服务器密钥对称互联网

HTTP（超文本传输协议）是目前互联网应用最广泛的协议，伴随着人们网络安全意识的加强，HTTPS 被越来越多地采纳。不论是访问一些购物网站，或是登录一些博客、论坛等，我们都被 HTTPS 保护着，甚至 Google Chrome、Firefox 等主流浏览器已经将所有基于 HTTP 的站点都标记为不安全。为什么 HTTPS 比 HTTP 安全？在回答这个问题之前，首先我们得了解 HTTP 和 HT

2020-08-19关键词： 报文序列号四次端口号数据

一、TCP（Transmission Control Protocol 传输控制协议）TCP是面向对连接，可靠的进程到进程通信的协议TCP是提供全双工服务，即数据可在同一时间双向传输二、TCP报文段（封装在IP数据报中）1、端口号1)源端口号：发送方进程对应的端口号，源IP和端口的作用就是标志报文的返回地址。2)目标端口号：对应的是接收端的进程，接收端收到数据段后，根据这个端口将数据对应给应用程序

2020-08-19关键词： 蓝牙三星设备微软信用卡

FUZE卡介绍FUZE是一种尺寸跟普通信用卡一样的物联网设备，你可以使用智能手机App并通过蓝牙来对FUZE卡进行编程。为了方便用户管理和配置信用卡，BrilliantTS公司还专门发布了一款名叫eCARD Manager的应用程序。当你需要进行支付时，你需要在手机App中选择使用的信用卡，选择成功后FUZE卡也就相当于你所选择的那张信用卡了。但是通过研究发现，卡片的添加和使用过程其安全性并不可靠

2020-08-19关键词： 插件扫描器就可以事件只需要

Chrome 插件Chrome 插件是向 Chrome 浏览器添加或修改功能的浏览器拓展程序。一般通过 JavaScript, HTML 以及 CSS 就可以编写 Chrome 插件了。市面上有很多非常优秀的 Chrome 插件拥有非常多的用户。Chrome 插件的编写也比较简单，基本上你熟悉一点前端知识，然后熟悉一下 Chrome 插件的 API，你就可以编写 Chrome 插件。Chrome

2020-08-19关键词： 脚本攻击者网站浏览器用户

最古老、最普遍、却又最可怕的攻击非DDoS攻击莫属。在传统的DDoS攻击中，攻击者会控制大量的傀儡机，然后向目标服务器发送大量请求，阻止合法用户访问网站。然而，最近几年DDoS攻击技术不断推陈出新：攻击者用一种新型且很有趣的方式欺骗用户参与到攻击活动中：使用恶意的JavaScript欺骗用户参与DDoS攻击。基于JavaScript的DDOS攻击有一个非比寻常的特点：任何有浏览器的设备都可能参与攻

2020-08-19关键词： 漏洞该公司网站管理员发现

一、AWS S3存储桶的错误配置致使数百万个人信息（PII）可被获取起初我在测试目标网站的时候，未发现任何高风险漏洞，经过近一个小时的探测分析，我发现存在一些无关紧要的IDOR和XSS漏洞，没有高危漏洞。正当我打算要放弃的时候，我发现目标网站使用了Amazon Cloudfront服务来存储公共图片，其存储 URL链接形如以下：https://d3ez8in977xyz.cloudfront.ne

2020-08-19关键词： 组合系统目标口令动态

今天分享的这篇Writeup是作者在参与漏洞众测中，针对目标系统的动态口令OTP (One Time Password)，通过利用简单的暴力枚举方法，实现了对目标系统双因素验证机制2FA (Two-Factor Authentication)的绕过或破解。目标系统是印度最大的旅行服务公司网站，其采用了动态口令OTP作为双因素验证2FA的实现手段。通常来说，OTP是从0000到9999的4位数组合，

2020-08-19关键词： 漏洞账户暴力用户邮箱

本文分享的是通过IP轮换结合暴力破解方法禁用Facebook新创建的未确认用户，此前在2014年Facebook曾针对该漏洞做过修复，但是由于修复策略不够完善，导致可以用IP轮换方法再次绕过这种防护，形成对任意新创建未确认Facebook用户的间接禁用攻击。早前的账户创建确认漏洞在2014年Facebook曾针对该漏洞做过修复。当时的漏洞情况是这样的：如果你用个人邮箱注册一个Facebook账户，

2020-08-19关键词： 形式代码顶级域名微软会报

背景在分析日志的时候发现有些日志中参数中包含其他的URL，例如：提取请求参数中的URL(xss.ha.ckers.org)，再对比威胁情报数据库，如果命中黑名单直接标黑。如果不在黑名单，也不在公司的白名单里可以先做个标记，后续着重分析。提取URL关于URL的提取网上有很多文章，大部分都是是使用正则表达式，方法简单但是不太准确。我这里提供一种方法：采用词法分析，提取域名和IP。思路借鉴了这篇文章：h

2020-08-19关键词： 攻击者受害者账户漏洞令牌

本文分享的是一个Facebook CSRF漏洞，用Gmail或G-Suite账户来验证新创建Facebook账户时存在的CSRF令牌验证机制漏洞，攻击者利用该漏洞，可在验证新创建Facebook账户时，以最小用户交互方式用受害者邮箱验证其注册的Facebook账户，实现间接CSRF攻击。OAuth登录机制对CSRF token验证不足当用户用Gmail或G-Suite账号来创建一个新的Facebo

2020-08-19关键词： 序列化字符串对象语法微软

介绍官方文档中介绍PHP序列化和反序列化如下：所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字。 为了能够unserialize()一个对象，这个对象的类必须已经定义过。如果序列化类A的一个对象，将会返回一个跟类

2020-08-19关键词： 进程权限漏洞内核函数

2019年07月20日，Linux正式修复了一个本地内核提权漏洞。通过此漏洞，攻击者可将普通权限用户提升为Root权限。漏洞描述当调用PTRACE_TRACEME时，ptrace_link函数将获得对父进程凭据的RCU引用，然后将该指针指向get_cred函数。但是，对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。PTRACE_TRACEME获取父进程的凭证，使其