Web安全
AnywayC9
信息安全
展开
-
端口转发的几种方法
端口转发 1)iptables(nat,forward,…) --是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。 2)ssh端口转发:本地/远程 >>本地: ssh -L :: ssh host为 user@ip >>远程:(反向):ssh -R :: 3)lcx.exe >>肉鸡:lcx -slave 1原创 2017-02-04 15:50:17 · 1009 阅读 · 0 评论 -
对称加密和分组加密中的四种模式(ECB、CBC、CFB、OFB)
对称加密和分组加密中的四种模式(ECB、CBC、CFB、OFB)一. AES对称加密: AES加密 分组 二. 分组密码的填充转载 2017-10-25 09:35:29 · 365 阅读 · 0 评论 -
Web 开发的安全核对清单简要
在云端开发安全又健壮的 Web应用非常难。如果你认为这很容易,那你技术水平要么已经很牛叉,要么还没有踩过坑。 如果你盲目接受最简可行产品(Minimum Viable Product,简称MVP),并且认为你能在一个月之内创建一个既有价值又安全的产品,那么在你推出你的“产品原型”前,你还需要多想想。在你查看了下面的清单之后,确认你不会犯这些严重的安全问题。至少,你要对你的潜在用户坦转载 2017-11-07 16:35:32 · 363 阅读 · 0 评论 -
http.sys远程代码注入漏洞
http.sys是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。主要存在于在Windows+IIS环境下,影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012原创 2017-07-05 16:41:28 · 10968 阅读 · 0 评论 -
Django开发框架多个安全漏洞
Django开发框架多个安全漏洞影响版本:Django 1.3Django 1.2.5Django 1.3 beta 1Django 1.2.4Django 1.2.2Django 1.2漏洞描述:Django是一款开放源代码的Web应用框架,由Python写成。Django存在多个安全漏洞,允许攻击者获得敏感信息,操作数据,执行远程命令,进转载 2017-03-22 15:57:24 · 3940 阅读 · 0 评论 -
php://input
php://input:file_get_content('php://input')用法1 Content-Type仅在取值为application/x-www-data-urlencoded和multipart/form-data两种情况下,PHP才会将http请求数据包中相应的数据填入全局变量$_POST 2 PHP不能识别的Content-Type类型的时候,会将http请求包转载 2017-03-28 12:09:58 · 333 阅读 · 0 评论 -
手心输入法漏洞绕过win8登陆验证
详细说明:国产的输入法都有词库同步功能,并且都引入了账号体系开机锁屏的时候居然也能调出来在锁屏的时候 选择屏幕讲述人 调出输入法的指示框换个皮肤现在调出chrome浏览器调用cmd添加用户查看用户转载 2017-02-06 10:00:39 · 541 阅读 · 0 评论 -
php://filter漏洞利用实例
根据php.net中的描述,http://php.net/manual/zh/wrappers.php.php。php://filter 是一种元封装器,其设计的目的是用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和file_get_contents(),在数据流内容读取之前没有机会应用其他过滤器。在文件包含原创 2017-02-04 16:29:51 · 5594 阅读 · 0 评论 -
ADS数据隐藏用例
ADS (供选数据流/ alternate data stream):NTFS使用Master File Table (MFT) 来管理文件。windows系统中的每个文件都对应一个MFT记录。而每一个MFT记录由若干个属性(attribute)组成,用来描述该文件的具体信息。比如 $FILE_NAME 属性描述了该文件的文件名和创建修改访问时间,而$DATA属性包含了该文件的具体内容。例如,文件原创 2017-02-04 16:12:45 · 1721 阅读 · 0 评论 -
软件安全开发生命周期-基础理论
一、SDL简介SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性策略。二、SDL步骤图 SDL中的方法,试图从安全漏洞产生的根源上解决问题,通过对软件工程的控制,保证...转载 2018-05-25 17:32:02 · 8540 阅读 · 0 评论