- 博客(2)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 Struts2远程代码执行漏洞检测的原理和代码级实现
想必最近很火的Struts2漏洞大家应该有所耳闻吧,如果你没听说也没关系,关于这个漏洞的描述可以用一句话总结:漏洞很普遍,后果很严重。由于JavaEE的应用普遍偏向于使用SSH框架(Spring+Struts+Hibernate)开发,而且存在漏洞的Struts 所有主流的Java中间件服务器都可能受到该漏洞的影响,特别是大家喜欢的Tomcat,问题尤为严重,倒不是因为Tomcat上Strut
2012-08-20 23:18:29
4088
2
原创 MSSQL注入时对中文字符的处理方法
在一次渗透测试过程中发现对方的网站根目录用的是中文,使用Pangolin测试时,发现类似“dir c:\中文路径”这种cmd命令执行总是出错,后来用BurpSuite对发送的数据包进行分析,发现Pangolin使用了一种类似URLEncode的编码方式对中文进行编码。如“中文路径”被其编码成为:0xd600d000ce00c400c200b700be00b600很明显,这里每个中文字符
2012-08-20 21:50:26
2034
等级保护技术方案(三级).doc
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
……
2019-10-14
一套非常好用的Auxure库,满足各种设计需求
一套非常好用的Auxure库,满足各种设计需求。包括bootstrap4风格的WebUI元素、Fontawsome图标库、laxure等等数百个设计元素
2018-07-31
OVALDi5.9(OVAL Interpreter)
OVALDi可以利用OVAL定义文件扫描系统漏洞、配置缺陷、补丁等
使用方法:
ovaldi -m -o definintion.xml
2012-08-17
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人