- 博客(20)
- 收藏
- 关注
RSS订阅原创 常见未授权访问漏洞修复
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
2023-06-02 15:02:14
4781
原创 Android端App无法抓包解决方法——Drony
Hostname 及 Port 不填 表示所有的都会被强制代理,因为APP可能会使用其他的网络协议不一定都是http,可能不希望把所有流量都引流到http代理服务器,这个时候就会使用这个配置指定ip及端口才转发。配置要为当前网络使用的代理入口(这里直接填写Burpsuite代理地址就可以),选择代理模式为手动(Manual)默认您的规则里应该是空的,这里直接点击上面的加号添加一个规则(符合规则要求的才会被转发)可以在网络上搜索drony选择自己想要的版本进行安装,或者在这里下载。安装完成后打开软件如下图。
2023-06-02 14:30:37
2122
原创 产品评审安全需求Checklist v1.0
产品评审安全需求Checklist v1.0 检查类型 检查项(Checklist) 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性 ,含白名单机制等) 格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞,建议如...
2021-05-08 16:16:50
1199
原创 BurpSuite实现图形验证码识别
Burp Suite+图形验证码识别工具:百度ocr识别的使用:打码平台:导入Burp中工具:Burp Suite + Captcha-killer burp 验证码识别插件百度ocr识别,打码平台识别 百度ocr识别的使用:注册百度账号并进入文字识别创建完成可以查看生产的key获取参数 access_token :(构造请求ocr平台接口参数使用)打码平台:请求模板:POST /base64 http/1.1Host: api.ttshitu.comUpgrade-
2021-05-08 14:38:56
1356
原创 前端安全编码规范
前端安全编码规范1.跨站脚本攻击(Cross Sites Script)1.1 反射型XSS1.2 存储型XSS1.3 DOM based XSS1.4 如何去检测是否存在XSS1.5 XSS的攻击方式1.5.1 Cookie劫持1.5.2 构造GET和POST请求1.5.3 XSS钓鱼1.5.4 获取用户真实的IP地址1.6 XSS的防御方式1.6.1 HttpOnly1.6.2 输入检查(XSS Filter)1.6.3 输出检查1.6.4 更严格的做法2.跨站点请求伪造(Cross Sites Req
2021-05-08 14:18:19
478
原创 在线考试平台搭建
出于工作需要,在万能的Github上找到的考试平台在此感谢平台的创作者github:https://github.com/YXJ2018/SpringBoot-Vue-OnlineExam在线考试系统下载该项目后,因为各种各样的原因,导致项目运行失败。接下来对完整的部署流程做详细介绍。前端部分ps.因为国内网络问题,使用npm安装容易出错,该教程将指导以yarn来安装依赖。1、安装 node.js安装完成后,打开cmd窗口运行 node-v, npm-v,查看是否安装成功。
2020-09-07 14:29:59
3116
原创 Xposed+DumpDev/FDex2安卓脱壳
安卓脱壳工具,环境dumpdex+Xposed+Android6.0.1+ES文件浏览器模拟器:mumu(因为需要root)3.安装DumpDex。(脱壳神器)打开https://github.com/WrBug/dumpDex, 从这个页面下载APK安装包,或者直接下载源码进行编译项目到手机上。注意在下载源码进行编译时,你可能会遇到签名问题和Run configuration配置问题。但都容易解决。配置问题解决方法:Run configuration中Launch Options选项选为Not
2020-08-10 09:05:14
4834
原创 Java 序列化和反序列化
Java 序列化和反序列化在很多语言中都提供了对象反序列化支持,Java在JDK1.1(1997年)时就内置了对象反序列化(java.io.ObjectInputStream)支持。Java对象序列化指的是将一个Java类实例序列化成字节数组,用于存储对象实例化信息:类成员变量和属性值。Java反序列化可以将序列化后的二进制数组转换为对应的Java类实例。Java序列化对象因其可以方便的将对象转换成字节数组,又可以方便快速的将字节数组反序列化成Java对象而被非常频繁的被用于Socket传输。在RMI(
2020-08-07 14:24:39
184
原创 DVWA操作手册(三)Weak Session IDs,XSS反射-存储-DOM
2.8 Weak Session IDs2.8.1 Low难度核心源代码:<?php$html = "";if ($_SERVER['REQUEST_METHOD'] == "POST") { if (!isset ($_SESSION['last_session_id'])) { $_SESSION['last_session_id'] = 0; } $_SESSION['last_session_id']++; $cookie_value
2020-08-07 10:37:33
271
原创 腾讯xSCR平台源码部署
腾讯xSCR平台源码部署腾讯开源src平台,看上去很不错的样子,在docker部署成功后,再次尝试源码部署。1.环境部署(Centos 7)Apache/Nginx这里我选择的是Apache(个人喜好)# yum -y install httpd# systemctl start httpd.service# systemctl enable httpd.servicePHP >= 5.4 & php-gd、php-xml、php-mbstring扩展# yum -y in
2020-08-06 19:47:19
2052
5
原创 洞察2部署
环境:Docker部署,Docker-compose部署1.更新:sudo yum update2.安装docker,以及依赖yum install -y yum-utils device-mapper-persistent-data lvm23.设置yum源yum-config-manager–add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo (阿里仓库)yum install docker-ce
2020-08-06 19:45:57
1194
原创 DVWA操作手册(二)文件包含,文件上传,SQL注入,SQL盲注
2.4 File Inclusion 文件包含2.4.1 low难度源代码:<?php// The page we wish to display$file = $_GET[ 'page' ];?> 可以看到low等级没有做任何过滤。首先尝试一下包含一个不存在的文件。通过返回结果可以看到已经把网站的绝对路径给爆出来了。利用文件上传加文件包含的组合拳来进行进一步操作。通过文件上传个图片马,然后通过文件包含执行该图片。http://192.168.88.224/dvwa/vul
2020-08-06 19:36:18
649
转载 hbase日志报java.lang.ClassNotFoundException: org.apache.htrace.SamplerBuilder的错
环境是这样的Hadoop-2.8.5Hbase-2.2.4之前查了官网,这两个版本是目前可以互相匹配的最高的版本,but启动hbase报下面这个错误具体日志在log/下hbase-root-master-server1.log中查看2020-05-23 13:54:19,652 ERROR [main] regionserver.HRegionServer: Failed construction RegionServerjava.lang.NoClassDefFoundError: org/a
2020-05-22 15:08:02
304
原创 hive(mysql)+hbase离线部署
一、hbase2.1.1安装在master节点:修改配置$ tar -zxvf hbase-2.1.1-bin.tar.gz -C /opt$ cd /opt/hbase-2.1.1/conf/$ vi hbase-env.sh 将下面这句话加到文件末尾export JAVA_HOME=/opt/jdk1.8.0_102$ vi hbase-site.xml修改如下:<configuration><property> <name>hbase.
2020-05-22 10:10:47
164
原创 Kafka集成部署
0.前提已经部署zookeeper。具体参考CentOS7中zookeeper的集成部署1.下载安装kafka的tgz包下载地址:官方地址安装环境:HostIPOSserver1172.16.12.104CentOS7.5server2172.16.12.129CentOS7.5server3172.16.12.173CentOS7.5安装步骤:下载并解压[root@server1 kafka]# tar zxvf kafka_2.11-2.
2020-05-14 15:21:12
286
原创 Netdata内网离线部署
介绍Netdata 是一款 Linux 性能实时监测工具。Netdata是Linux系统实时性能监测工具,提供web界面的界面视角。它用可视化的手段,将被监测者最细微的细节,展现了出来。这样,你便可以清晰地了解你的系统和应用程序此时的状况。1.优美的界面:bootstrap框架下的控制界面2.自定义的控制界面:你可以使用简单的HTML代码去自定义控制界面(不需要使用javascript)3.极其的快速而高效:程序使用C进行编写(默认安装下,预计只有2%的单核CPU使用率和少许的内存使用率)4.零
2020-05-13 17:15:46
1479
原创 Centos7下zookeeper离线部署
1.安装步骤官网推荐下载地址:https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/[root@server1 home]# tar -zxvf zookeeper-3.4.14.tar.gz#解压包2.编辑配置文件进入conf目录,cp生成一个zk能识别的配置文件名:zoo.cfg[root@server1 zookeeper-3.4.14]# cd conf/[root@server1 conf]# cp zoo_sample.cfg
2020-05-13 15:29:51
298
原创 Ntp 同步
NTP同步组网IP角色系统10.47.88.215masterCentos710.47.88.213Slave1Ubuntu 16.0410.47.88.214Slave2Ubuntu 16.04服务端配置# vim /etc/ntp.conf# For more information about this file, see the man pages# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_cl
2020-05-13 12:42:21
202
原创 hadoop2.8.5离线部署
**Centos7离线部署hadoop2.8.5**三台Centos7服务器IP地址Name172.16.12.104server1172.16.12.129server2172.16.12.173server31.前期准备1.1 配置host[root@server1 ~]# vi /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdo
2020-05-13 11:40:01
312
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人