安防| 汇总

最新推荐文章于 2022-01-12 21:18:08 发布
原创 最新推荐文章于 2022-01-12 21:18:08 发布 · 474 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

什么是CVE漏洞?

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

CVE漏洞

https://rasp.baidu.com/doc/usage/cve.html

参考:
https://www.redhat.com/zh/topics/security/what-is-cve
https://baike.baidu.com/item/CVE/9483464?fr=aladdin

常见漏洞集合

001 - 使用 File.listFiles 遍历目录(有路径拼接) 001-dir-1.jsp
002 - 任意文件下载/读取漏洞(路径拼接) 002-file-read.jsp
004 - 命令执行后门 - 无回显 004-command-1.jsp
004 - 命令执行后门 - 带回显 004-command-2.jsp
005 - 任意文件写入 005-file-write.jsp
006 - 检查响应里是否有身份证、银行卡等敏感信息泄露 006-leak-1.jsp
007 - 通过XXE读取系统文件 007-xxe.jsp
007 - 通过XXE读取系统文件-dom4j 007-xxe-dom4j.jsp
007 - 通过XXE读取系统文件-jdom 007-xxe-jdom.jsp
007 - 通过XXE读取系统文件-sax 007-xxe-sax.jsp
007 - 通过XXE读取系统文件-stax 007-xxe-stax.jsp
008 - 任意文件上传漏洞 - commons.io 方式 008-file-upload.jsp
009 - Transformer 反序列化 009-deserialize.jsp
010 - JSTL import 任意文件包含/SSRF 010-jstl-import.jsp
011 - SSRF - commons.httpclient 方式 011-ssrf-commons-httpclient.jsp
011 - SSRF - HttpClient 方式 011-ssrf-httpclient.jsp
011 - SSRF - URL.openConnection 方式 011-ssrf-urlconnection.jsp
011 - SSRF - OKHTTP 方式 011-ssrf-okhttp.jsp
011 - SSRF - OKHTTP3 方式 011-ssrf-okhttp3.jsp
012 - SQLi - MySQL JDBC executeQuery 方式 012-jdbc-mysql.jsp
012 - SQLi - HSQLDB JDBC executeQuery 方式 012-jdbc-hsqldb.jsp
012 - SQLi - Mybatis Mysql JDBC 012-mybatis.jsp
012 - SQLi - Hibernate Mysql JDBC 012-hibernate.jsp
013 - SQLi - JDBC multipart 请求格式 013-multipart-mysql.jsp
017 - XSS - 017 - 反射型XSS 017-xss.jsp
018 - loadlibrary 018-loadlibrary.jsp
019 - 任意文件删除 019-file-delete.jsp
020 - RandomAccessFile 文件读写 020-random-file.jsp
021 - NIO 文件操作 021-nio-file.jsp

相关资料

漏洞平台

安防博主: https://paper.seebug.org/513/#0x07

OPENRASP技术分析
Openrasp源码分析

参考资料

一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈

相关资料

常见Web安全攻防总结
前端面试之道
图解Http
Web安全知多少
Web安全之点击劫持
URL重定向跳转/跳转漏洞
网易Web白帽子

交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1961
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
java --XXE 攻击原理及防御
tryheart的博客
09-05 2184
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XXE xml实体注入
4ct10n
11-03 6515
1.科普ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOCTYPE 文件名 [ <!ENTITY 实体名 "实体内容">
SSRF漏洞的攻击与防御
公众号shadow sock7
10-15 2205
SSRF的成因看具体的后端实现TCP请求的库: 比如curl、php里的file_get_contents、fsockopen、Java里的openStream,HttpClient类,URLConnection等 https://drops.org.cn/PENETRATION/SSRF-Gopher-Attack-NoteBook.html 发起请求的库不同,决定了可以发起什么样类型的请求。 ...
OkHttp3工具使用实例细节及注意点
Armyyyyy丶的博客
07-06 1797
目录 一、简介 二、使用实例 三、使用细节 1.错误使用示例 2.正确使用示例 2.1 比较粗暴的方式 2.2 正确的方式 一、简介 开发中我们肯定会遇到一个系统需要调用另外一个系统接口的情况,此时如果让我们自己来手写整个调用工具,想必是非常麻烦的。 OkHttp3就是为了解决这样场景的一个默认高效的HTTP工具包。它有以下特点: HTTP/2支持允许对同一主机的所有请求共享一个套接字; 连接池减少了请求延迟(如果HTTP/2不可用); 透明的GZIP压缩了下载文件的大小; 响应
对接海康综合安防管理平台经验总结
热门推荐
一颗橘子的博客
12-14 5万+
前言:因业务需要对接海康威视的综合安防管理平台获得下属所管理的摄像头,根据摄像头code获得监控视频流信息 1、详情可以浏览海康开放平台,在官网上有对应的接入指南以及开放的API接口【前提是本地已部署了海康视频流媒体服务器】 2、通过海康开放平台我们看到相关的对接指南,进行开发前准备。如下图所示: 3、AK/SK可以要求甲方提供,如果是驻场开发可以在当前的局域网下通过运管中心的登录名/密码登陆该平台,通过下面的索引步骤来获得 AK/SK。 4、获得到 AK/SK后,通过参考开放的API文档,找到项目
【推荐】智慧安防综合解决方案PPT资料汇总(共20份).zip
08-09
推荐,智慧安防综合解决方案PPT资料汇总,共20份PPT、WORD资料。 供大家学习参考,包括以下内容: 智能楼宇园区的AI安防方案; 智能建筑安防综合解决方案; 智慧医疗安防综合解决方案; 智慧型平安城市核心技术; ...
基于python开发的小区智能安防系统项目源码.zip
08-23
基于python开发的小区智能安防系统项目源码.zip基于python开发的小区智能安防系统项目源码.zip基于python开发的小区智能安防系统项目源码.zip基于python开发的小区智能安防系统项目源码.zip基于python开发的小区智能...
海康安防系统SDK及实例源码_win64_java_海康门禁_C#_海康_海康安防系统SDK及实例源码_
10-01
海康安防系统SDK是开发基于海康产品进行安防系统集成的重要工具,提供了丰富的功能接口,以便开发者能够构建自己的监控、报警、门禁等系统。在这个压缩包中,包含的资源适用于Win64平台,且支持Java和C#两种编程语言...
智能安防报警系统设计方案汇总
01-19
智能防盗报警系统设计方案(一) 本文阐述了区域家庭智能防盗报警系统的设计。智能防盗报警系统主要由4部分组成:无线防盗报警探头、家庭主 机、小区主机、地区主机。接下来一一了解: 一、无线防盗报警探头设计...
安防监控(知识汇总)从入门到精通.pdf
08-09
1. 详细安防监控知识总结 2. 电视系统、镜头等等详解非常详细
[20][03][79] Server-Side Request Forgery
安全新司机
01-12 3647
文章目录1. 问题描述2. 问题场景2.1 函数详解2.1.1 URL2.1.2 URLConnection2.1.3 HttpURLConnection2.2 可能存在漏洞的点2.2.1 HttpURLConnection2.2.2 URLConnection2.2.2.1 使用 file 协议2.2.2.2 使用 netdoc 协议2.2.2.3 使用 jar 协议2.2.2.4 jar+http2.2.3 ImageIO2.2.4 HttpClients2.2.5 OkHttpClient 1. 问题
代码审计思路详解
Ciyaso的博客
04-30 7604
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
OkHttp3使用详解
fly
12-20 1万+
OkHttp3是一款非常高效的http框架,下面进行简单的介绍: 1、使用单例模式声明OkHttp3的管理类添加的依赖: compile 'com.squareup.okhttp3:okhttp:3.2.0' compile 'com.squareup.okio:okio:1.7.0' 权限: <uses-permission android:name="android.permission.WR
XXE漏洞原理分析
YvesHe的专栏
10-16 2613
.什么是XXE漏洞? 在web攻防中有很多的漏洞,这里就来介绍一种基于XML数据格式的漏洞. 那么大家经常说的XXE漏洞到底是个什么漏洞呢? XML 外部实体漏洞 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]> <foo>&a
OOB攻击
YvesHe的专栏
10-16 1750
这是利用NETBIOS中一个OOB (Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。 引自: https://baike.baidu.com/item/OOB%E6%94%BB%E5%87%BB/11056220?fr=aladdin 简单说就是传递一个特别大的数据包导致系统死机.常见的场景是XXE通过
webshell攻击
YvesHe的专栏
10-14 703
webshell 使用服务器构造一个可执行的shell环境 https://baike.baidu.com/item/webshell/966625?fr=aladdin
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值