- 博客(28)
- 收藏
- 关注
RSS订阅原创 DNSLog漏洞
DNS(Domain Name System)是一个用于将域名转换为与之对应的 IP 地址的分布式命名系统。DNS日志是记录特定设备或网络发出的所有DNS查询的记录。这些日志可用于排除DNS问题、监控网络活动和分析流量模式。DNS日志通常包括信息,如源IP地址、查询的域名、查询类型(如A记录、MX记录)以及从DNS服务器接收到的响应。没有回显的情况下怎么办?利用限制利用DNSLog服务中的漏洞进行数据窃取攻击。攻击者可以通过在受害者系统上植入恶意代码,使其发送DNS请求到恶意控制的DNSLog服务器。
2024-04-17 21:49:28
365
原创 Redis未授权访问
限制访问ip:通过防火墙或网络ACL等方式,限制只有特定IP地址或IP地址段可以访问Redis服务器。将Redis服务器的默认端口(6379)修改为其他非常用端口,以减少被扫描和攻击的风险。是一个用于在指定时间执行命令或脚本的服务,它能够让用户在后台定期执行任务,无需手动操作。如果没有监听80端口的HttP Server或者找不到网站的根路径?:定时任务执行的结果会记录在日志文件中,可以查看。命令用于创建、编辑和查看用户的定时任务列表。:系统中还有一个特殊的定时任务目录。,可以存放系统级别的定时任务。
2024-04-16 20:44:41
976
原创 各种逻辑漏洞
注册:短信轰炸验证码安全问题密码爆破邮箱轰炸用户任意注册、批量注册用户名枚举XSS(有框的地方就可以尝试插XSS)登录:短信轰炸、验证码安全问题、密码爆破、邮箱轰炸SQL注入撞库抓包把password字段修改为空值发送认证凭证替换、比如返回的数据包中包含账号,修改账号就能登录到其他账号Cookie仿冒修改返回包的相关数据,可能会登陆到其他的用户找回密码:短信邮箱轰炸、短信邮箱劫持重置任意用户账户密码、验证码手机用户未统一验证直接跳过验证步骤。
2024-04-15 22:09:19
1632
原创 JWT漏洞
JWT(JSON Web Token)是一种用于在网络应用之间传递信息的开放标准(RFC 7519),它通过数字签名来验证数据的完整性和来源。JWT通常被用作身份验证和授权机制,允许用户在传递安全可靠的信息。一个JWT由三部分组成,分别是Header(头部)、Payload(载荷)和Signature(签名),它们使用分隔开。$jwt。
2024-04-15 22:08:03
230
原创 文件包含漏洞
文件包含漏洞的原理是在Web应用程序中使用了不安全的文件包含函数(如include()、require()等),并且未对用户输入进行充分验证和过滤。攻击者可以利用这个漏洞来包含恶意文件并执行恶意代码。URL中出现page,file,filename,include等等关键词。减少重复编码,便于维护。3、过滤协议、目录字符。包含内容:页头,页脚。
2024-04-14 21:52:35
270
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人