运维安全之Apache(CGI&SSI&.htaccess)安全隐患

Apache默认配置支持解析CGI (Common Gateway Interface) (仅cgi-bin目录),不解析SSI(Server Side Includes)和.htaccess。当配置不当时,可能导致系统命令执行。本文由腾讯安全应急响应中心的Mark4z5同学通过实验来探讨开启解析...

2019-05-07 16:51:20

阅读数 18

评论数 0

Apache Windows下Apache安装步骤

1.apache官网下载Apache HTTP Server服务器 我相信有些朋友刚用apache服务器时,都希望从官网上下载,而面对着官网上众多的项目和镜像以及目录,也许有点茫然。下面是具体步骤: ①、打开apache官网http://httpd.apache.org/ (或百度&quo...

2019-05-07 12:25:56

阅读数 9

评论数 0

Linux操作系统各版本ISO镜像下载【转载】

https://blog.51cto.com/sf1314/2096580

2019-04-30 16:28:01

阅读数 67

评论数 0

json.stringify()和json.parse()

json.stringfy()将对象、数组转换成字符串;json.parse()将字符串转成json对象。json.stringfy():语法:   JSON.stringify(value [, replacer] [, space]) value:是必选字段。就是你输入的对象,比如数组,类等。...

2018-07-09 16:38:54

阅读数 627

评论数 0

[转]浅谈@RequestMapping @ResponseBody 和 @RequestBody 注解的用法与区别

1.@RequestMapping国际惯例先介绍什么是@RequestMapping,@RequestMapping 是一个用来处理请求地址映射的注解,可用于类或方法上。用于类上,表示类中的所有响应请求的方法都是以该地址作为父路径;用于方法上,表示在类的父路径下追加方法上注解中的地址将会访问到该方...

2018-07-09 16:37:38

阅读数 74

评论数 0

Insecure Randomness引发对随机数生成器抵挡加密攻击的方法

一、由nextInt()实施的随机数生成器不能抵挡加密攻击1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG...

2018-04-16 11:51:09

阅读数 1010

评论数 0

解决fortify扫描出的Path Manipulation问题(java语言)

编写java打码如下:。。。File proFile = new File(path);。。。 使用fortify扫描,会报一个Path Manipulation的漏洞,怎么解决呢?看下面代码:...

2018-04-12 16:32:11

阅读数 4255

评论数 4

Fortofy扫描漏洞解决方案

Fortofy扫描漏洞解决方案:Log Forging漏洞:数据从一个不可信赖的数据源进入应用程序。 在这种情况下,数据经由CreditCompanyController.java 的第 53行进入 getParameter()。 2. 数据写入到应用程序或系统日志文件中。 这种情况下,数据通过C...

2018-04-12 16:30:39

阅读数 1814

评论数 0

等级保护三级一篇写的比较好的应用系统安全测评方法

参考: https://wenku.baidu.com/view/e3b97357c1c708a1294a445a.html

2017-06-23 17:32:21

阅读数 2525

评论数 0

信息安全从业参考

信息安全从业的几个分类: [漏洞挖掘/安全技术研究员] 研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新...

2017-04-17 17:49:13

阅读数 450

评论数 0

应用系统安全管理

应用系统的安全管理 1 身份鉴别 1.1 应用系统采用专用的登录控制模块

2017-04-05 17:12:22

阅读数 6284

评论数 0

Centos安装jre-8u121-linux-x64.tar.gz

1:在java官网下载,本文我下载的是jre-8u121-linux-x64.tar.gz(在Home文件下); 2:通过xftp将其传输至usr/java文件下。(注意最好使用root权限进行以下所有操作) mv  /home/jre-8u121-linux-x64.tar.gz  /usr...

2017-02-13 14:57:39

阅读数 3792

评论数 0

移动APP安全测试要点

移动APP安全测试要点 上次《 运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发...

2017-02-09 17:08:23

阅读数 2199

评论数 0

运营商渗透测试与挑战

最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就...

2017-02-09 16:44:42

阅读数 271

评论数 0

高防IP原理

高防IP原理介绍:

2017-01-10 14:49:12

阅读数 3013

评论数 1

详解云安全“红宝书”——“云安全等保合规”

《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云安全等保合规”)是由公安部发布的国家级安全标准文件,此标准是在国内参照执行度最高的安全标准。“云计算安全技术要求”分册针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求(其范围暂不包括云存储、云桌面...

2017-01-05 19:29:44

阅读数 3008

评论数 0

CSRF的详细介绍与token的分析

CSRF的攻击与防御 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 1、CS...

2016-11-23 10:18:33

阅读数 821

评论数 0

Burp Suite抓HTTPS数据包

Burp Suite抓HTTPS数据包(通用) 测试环境 [+] JDK1.8.0_40 [+] Burp Suite 1.6.17 下载地址: [+] JDK [+] Burp Suite 1.6.17 一、burp介绍 请自行参阅https://portswigger.ne...

2016-11-14 11:14:24

阅读数 1460

评论数 0

DIV+CSS中标签dl dt dd常用的用法

http://smallpig301.blog.163.com/blog/static/9986093201010262499229/

2016-11-10 16:26:01

阅读数 276

评论数 0

使用 Spring Security 保护 Web 应用的安全

安全一直是 Web 应用开发中非常重要的一个方面。从安全的角度来说,需要考虑用户认证和授权两个方面。为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制。Spring Security 为使用 Spring 框架的 Web 应用提供了良好的支持。本文将详细介绍如何使用...

2016-11-08 15:30:39

阅读数 954

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭