组件安全概述

最新推荐文章于 2024-08-12 23:48:51 发布
最新推荐文章于 2024-08-12 23:48:51 发布
阅读量352 收藏 1
点赞数 1
文章标签: 安全 网络安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45953122/article/details/132767725
版权

文章目录

一、 组件安全概述

​ 组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据 丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响

1.1 常见组件

1.1.1 操作系统

操作系统
Windows
Linux
Mac OS X

1.1.2 Web容器

我们简单的认为,只要能够提供Web 服务的应用,就是Web 容器。

Web 容器
Apache HTTPD
Nginx
IIS
Tomcat
uwsgi

1.1.3 中间件

我们简单的认为,编程语言就是中间件。

中间件
PHP
Java
ASP.NET(ASPX)
Python
Perl
JavaScript
Go

1.1.4 数据库

关系型数据库非关系型数据库
MySQL
Orcale
SQL Server
Access
Redis
MongoDB

1.1.5 开发框架

JAVAPHPPython
struts2
spring
springboot
JBoss
Weblogic
wordpress|wp
drupal
joomla
thinkphp|tp
dedecms|织梦
discuz|dz
metinfo
Flash
Django

1.1.6 OA系统

OA系统
通达OA
泛微e-office
致远OA

1.1.7 其他组件

  • phpStudy
  • 宝塔
  • xampp

1.2 漏洞复现

1.2.1 漏洞复现模板

编写渗透测试报告的主要内容:

*组件__版本__漏洞名称
	*漏洞描述
	*漏洞评级
	*漏洞复现
		*漏洞扫描
		*漏洞验证
		*深度利用
		*命令执行
		*GetShell
		*EXP 编写
	*漏洞挖掘
    	*指纹信息
    *修复建议

1.2.2 漏洞名称参考

1.2.3 漏洞库

二、 Apache

2.1 Apache HTTPD

漏洞名称原理案例
未知后缀名解析漏洞yjh.php.ajestupload-labs/Pass-o7
多后缀名解析漏洞yjh.php.pngVulhub - Docker-Compose file for vulnerability environment
换行解析漏洞
CVE-2017-15715		yjh.php%oavulhub/httpd/CVE-2017-15715/

2.2 Apache Shiro

漏洞名称原理案例
CVE-2016-4437反序列化Vulhub - Docker-Compose file for vulnerability environment
挖矿木马
ShiroExploit

2.3 Apache Tomcat

漏洞名称原理案例
弱口令配置错误vulhub/tomcat/tomcat8/
本地文件包含vulhub/tomcat/CVE-2020-1938/
CNVD-2020-10487-Tomcat-Ajp-lfi

三、 Nginx

3.1 Nginx 解析漏洞

特定情况下,可以将图片解析成PHP,为图片木马提供出路。

漏洞名称原理案例
空字节漏洞yjh.png%00.phpnginx_0.7.65 解析漏洞复现
文件路径解析漏洞
CVE-2013-4547		yjh.png[0x20][0x00].php vulhub/nginx/CVE-2013-4547/
(背锅)
解析漏洞		cgi.fix_path=1
yjh.png/.php		nginx_parsing_vulnerability/

3.2 Nginx 配置缺陷

漏洞名称原理案例
Nginx 目录遍历漏洞location/files{
alias/home/
}		vulhub/nginx/insecure-configuration/

四、 IIS

4.1 IIS 6.0

漏洞名称原理案例
文件路径截断解析漏洞time.asp;.jpgFCKeditor 2.6.6 ASP GetShell
目录名解析错误/1.asp/time.rar

4.2 IIS 7.0/7.5

IIS 能够解析PHP 脚本。

漏洞名称原理案例
IIS 7.0/7.5 解析漏洞cgi.fix_path=1
ajest.png/.php
g_h_i
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
物联网安全概述
悦分享
07-02 9254
什么是物联网?在你学习有关IPv6的时候,你的老师或许说过,有一天在你的房子每个设备都会有一个IP。物联网基本上就是处理每天的事务,并把它们连接到互联网上。一些常见的物联网设备:如灯光,窗帘,空调。也有像冰箱这样的不太常见的设备,甚至一个卫生间。物联网的定义是:“提出了互联网的发展,日常物品有网络连接,允许,发送和接收数据。”物联网体系结构,通常有这五个部分:物联网环境本身的控制传感器和执行器通常使用这些无线协议(还有更多的):每个协议都有其优缺点,也有很多的限制。当谈到选择哪种协议时,最大的问题是兼容性。
APP安全测试点概述
陈娟的博客
07-19 3252
一. APP安全测试测试点概述 1.安装包测试 1.1关于反编译 目的保护公司知识产权和安全方面的考虑,程序员会在源码中编译一些敏感信息,如密码。一旦泄露安全隐患巨大。 为了避免这些问题,测试中,我们可以直接使用反编译工具(dex2.jar和jd-gui工具)查看源代码,判断研发是否对代码做了混淆,包含显而易见的敏感信息。 1.2关于签名 这点IOS不用考虑,因为APP Store会做校验。但Android没有此类权威检查,我们需要在发布前校验一下签名使用的key是否正确,以防被恶意第三方应
The Security Component 安全组件
u013585599的博客
05-22 391
Security 组件为您的 web 应用程序提供了一个完整的安全系统。 它提供了使用 HTTP 基本身份验证、交互式表单登录或 x. 509证书登录进行身份验证的设施,还允许您实现自己的身份验证策略。 此外,该组件还提供了根据身份验证用户的角色对其进行授权的方法,本文来自https://www.symfonyedu.com/symfony34/detail/doc/3.4/components/...
系统安全组件
weixin_30823833的博客
06-28 494
实现系统安全由如下核心组件和数据库组成: 1.安全引用监视器SRM:Windows执行体中的组件,负责定义代表安全上下文的访问令牌结构体,执行对象的访问检查,操作用户特权,生成任何导致安全审计的消息 2.本地安全授权子系统Lsass:Lsass.exe映像文件的用户模式进程,负责本地系统安全策略(如哪些用户可以允许登陆机器,密码策略,对用户和组的赋予特权,系统安全审计的设置),用户认...
一文了解如何使用移动应用安全组件Soot和Flowdroid
华为云官方博客
11-09 4296
摘要:移动应用安全检测,soot、flowdroid分别作为静态分析、污点分析主要工具,能我们能够快速高效的进行检测分析、本文主要介绍两个工具的基本操作及相应的使用场景
Oracle安全组件简介
liaojiabo的专栏
08-30 1028
以下是个人整理的Oracle安全组件的一些简介,有不当之处,还请来邮告之。 Oracle自身已有的安全技术有: 1 虚拟专用数据库(VPD)       通过dbms_rls(Row Level Security,行级安全)(实现Fine Grained Access Control),金旺口中常说的FGAC了,精确到行级和列级。可以举个例子,怎么样限制查询返符合条件的例子,即策略函数如
springboot安全组件总结
剑雪封喉
03-24 7227
目录 防SQL注入组件 什么是sql注入 PreparedStatement防止SQL注入 mybatis防止SQL注入 防XSS攻击组件 XSS过滤处理 防止XSS攻击的过滤器 过滤器配置 防重复提交组件 自定义注解防止表单重复提交 自定义防止重复提交拦截器 对防重复提交业务,拦截器具体逻辑实现 ​​​​​​使用方法一:采用默认参数 ​​​​​​使用方法二:指定防重复时间和错误消息 ​​​​​​前端通过js控制 防SQL注入组件 什么是sql注入 sql注入解释:是
移动终端安全概述
qq_40229814的博客
01-02 5308
文章目录一、概念1、移动终端的概念:2、当前流行的移动终端操作系统:3、安全开发技术二、移动终端的操作系统1、威胁来源攻击角色攻击途径威胁来源的核心点漏洞恶意代码2、安全威胁类型与产生的原因类型恶意代码的威胁隐私泄露威胁漏洞后门威胁脆弱点生态圈的复杂性攻击面分析3、防御措施典型安全防御机制漏洞威胁防御隐私泄露威胁恶意代码威胁移动终端应用程序 一、概念 1、移动终端的概念: 可移动的,以软件为基础使得设备具备特定功能的设备。 如手机、智能手表、电脑、POS机等 2、当前流行的移动终端操作系统: Android
信息安全概述
weixin_45629738的博客
05-30 9917
一 、信息安全基本概念 1. 信息安全的含义 影响信息的正常存储、传输和使用,以及不良信息的散布问题属于信息安全问题。 ISO提出信息安全的定义是:为数据处理系统建立和采取的技术及管理保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。 2. 信息安全问题分为三个层次 (1)信息自身安全性; (2)信息系统安全性; (3)某些信息的传播对社会造成的不良影响 3. 信息安全的作用和地位 (1)关乎经济发展 (2)关乎社会稳定 (3)关乎国家稳定 (4)关乎公众权益 4. 商业组
KubeEdge 组件概述
01-26
KubeEdge是一个旨在扩展Kubernetes编排能力到...通过开放、可扩展的架构,实现了云与边缘之间的高效协作,使得开发者能够轻松地部署和管理边缘计算应用,同时充分利用边缘计算的优势,如低延迟、数据安全和资源优化。
Apache Solr组件安全概览1
08-03
1. **组件概述** - **企业级全文检索服务器**:Solr能够处理大量结构化、半结构化和非结构化数据,提供快速、高效的搜索服务,适用于各种规模的企业应用。 - **基于Lucene**:Lucene是Java实现的全文搜索引擎库,...
MBR膜组件安全操作规程.docx
09-30
### MBR膜组件安全操作规程知识点详述 #### 一、MBR膜组件概述 - **MBR(Membrane Bioreactor)膜生物反应器**是一种高效、节能、环保的污水处理技术,它结合了生物降解与膜分离两种处理方法。 - **膜组件**是MBR...
IIS去除不安全组件
09-22
#### 二、不安全组件概述 根据提供的信息,“IIS去除不安全组件”主要涉及到以下几个方面: 1. **Wscript.Shell** 2. **FSO (File System Object)** 3. **Shell.Application** 4. **Wscript.Network** 这些组件在...
光伏组件技术规范概述.docx
09-21
本文档主要针对115MWp屋顶、屋面分布式光伏发电项目的光伏组件技术要求进行概述。 1. **总则**: - 技术规范适用于光伏组件及其辅助材料,强调了多晶硅组件和固定支架安装方式。 - 投标方需提供符合工业标准和本...
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1486
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
DLMS/COSEM中的信息安全安全密钥(中)
huaqianzkh的专栏
08-09 656
PKI是安全基础设施它创造和管理公钥证书以便于使用公钥(即非对称密钥)加密。为了实现这一目标,PKI需要执行两个基本任务:a)验证绑定的准确性后,生成和分发公钥证书将公钥绑定到其他信息;b)维护和分发未到期证书的证书状态信息。对于DLMS/COSEM,可以预料分层PKI包括如图23所示的以下组件。——根证书机构(Root-CA);——证书机构/下属机构(Sub-CA);——终端实体:不颁发证书的实体:DLMS/COSEM客户机,DLMS/COSEM服务器和第三方。
如何确保场外个股期权交易的安全
Lunasi的博客
08-07 215
只选择那些拥有合法金融牌照、受到监管机构严格监督的平台进行交易,确保在中国交易时,平台已获得证监会或相关金融监管机构的批准。:深入学习期权的基础知识,包括不同类型的期权、它们的权利和义务、定价方式以及风险特性,从而提升自我保护的能力。:在交易前,深入分析市场趋势和相关股票的基本面,评估潜在风险,并制定相应的风险管理策略。通过这些措施,投资者可以在场外个股期权交易中提高交易的安全性,有效降低不必要的风险。:选择流动性好的期权进行交易,以便在需要时能快速买卖,减少因流动性不足带来的风险。
Linux安全与高级应用(十一)Linux防火墙策略中的SNAT与DNAT应用解析
最新发布
洛秋的博客
08-12 597
SNAT和DNAT策略在Linux防火墙配置中占据着重要地位,它们不仅解决了网络地址转换的问题,还为网络安全提供了多层次的防护手段。在企业网络环境中,合理运用SNAT与DNAT策略,可以有效提升网络资源的利用率,同时大大增强网络的安全性。随着网络技术的不断发展,防火墙策略也将更加复杂和多样化,SNAT和DNAT将继续在网络安全领域发挥重要作用。掌握和灵活运用这些策略,将有助于应对未来网络安全中的各种挑战。
Linux系统安全应用(二):PAM安全认证
shyuu的博客
08-12 669
Linux系统安全应用(二),详解PAM安全认证
自学黑客(网络安全
热门推荐
2301_77160226的博客
08-05 2万+
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值