Wesley13 Wesley13
3年前
SSL相关漏洞解决方法
最近用绿盟扫描系统进行内网网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的加固方法。本次涉及漏洞1.漏洞名称:SSL3.0POODLE攻击信息泄露漏洞(CVE20143566)【原理扫描】2.SSL/TLS受诫礼(BARMITZVAH)攻击漏洞(CVE20152808)【原理扫描】
Stella981 Stella981
3年前
Linux提权的几种常用方式
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(DirtyCow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,同时可以通过该漏洞实现D
Wesley13 Wesley13
3年前
thinkphp 3.x下的任意文件包含(有条件)分析
漏洞原理实现自己的模版引擎不当,在模版渲染的情况下存在任意变量覆盖漏洞。。漏洞详情漏洞位置1ThinkPHP/Library/Think/View.class.php需要修改配置文件指定TMPL\_ENGINE\_TYPE为phpif('php'strtolower(C('TMPL_ENGINE
Stella981 Stella981
3年前
Rsync漏洞 && Redis漏洞
文章目录一、Rsync配置不当(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fblog.csdn.net%2FCN_SHzhaoyujie%2Farticle%2Fdetails%2F103381077%23Rsync_1)错误的
Wesley13 Wesley13
3年前
Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴
本文由云社区发表0x00前言干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtigerCRM)进行白盒审计,从审计的技术难度上来说,都比公司内的那些业务复杂得多,而真正要提高自己技术水平,更应该看的也是这些代码。vtigerCRM是一个客
Stella981 Stella981
3年前
CVE
本文借助CVE20209484Tomcat漏洞详细的介绍了本地和远程调试Tomcat源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01漏洞简介ApacheTomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞(CVE20209484)。漏洞条件比较苛刻:tomcat必须启
Stella981 Stella981
3年前
Noark入门之注入方式
普通类注入只要是被IOC容器接管的类可以当作属性注入.@AutowiredprivateVipServicevipService;接口注入如果有被IOC容器接管的类实现了此接口,也可以作属性一样注入实现类.@AutowiredprivateVipExportService
Wesley13 Wesley13
3年前
C#中依赖注入
由于客户类只依赖于服务类的一个接口,而不依赖于具体服务类,所以客户只定义一个注入点。在程序运行过程中,客户类部直接实例化具体服务类实例,而是客户类的运行上下文环境或者专门组建负责实例化服务类,然后将其注入到客户类中,保证客户类的正常运行。依赖注入的方法大致分为3中:接口注入、构造方法注入、setter注入;1、setter注入setter注入是指
新支点小玉 新支点小玉
10个月前
系统安全漏洞检测
企业在委托诸如软件测评中心这样的第三方检测机构进行系统安全漏洞检测工作之时起,我们的工作人员就会接着了解漏洞都有可能在哪里,有什么特性,以及如何修补它们,这都是漏洞检测的基本工作内容。系统安全漏洞检测:漏洞的三个特性1、漏洞的隐蔽性系统安全漏洞是指可以用来
专注IP定位 专注IP定位
9个月前
网络空间测绘在安全领域的应用(下)
3.漏洞感知漏洞感知能力在当今的网络安全领域是至关重要的,而其核心技术之一是漏洞验证技术。通过对漏洞信息与产品版本的关联,系统能够更准确地感知漏洞,但仅仅依靠这种数据关联会引发一系列问题。首先,漏洞是程序中存在的隐患,而在数字化时代,几乎所有由人编写的程序