![](https://img-blog.csdnimg.cn/20190918140012416.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
网络安全
文章平均质量分 91
无
Am0o0s
这个作者很懒,什么都没留下…
展开
-
HTTP状态码
100 Continue 只有一部分请求被服务器接收,但只要没被服务器拒绝,客户端就会延续这个请求101 Switching Protocols 服务器交换机协议200 OK 请求被确认201 Created 请求时完整的,新的资源被创建202 Accepted 请求被接受,但未处理完203 Non-authoritative Information 204 ...原创 2019-12-21 22:48:08 · 237 阅读 · 0 评论 -
SSH协议基础学习
需要借助Xshell来管理阿里云服务器,SSH协议又是Xshell实现的基础,因此了解一下SSH协议。SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现(Xshell工具免费版)。中间人攻击SSH之所以能够...原创 2020-01-20 21:01:04 · 270 阅读 · 0 评论 -
阿里云Docker中毒-‘Kirito***‘解决过程记录
果然,第一个容器并不是我添加的,本来想直接删掉的。不过又想了一下,万一有定时任务和镜像呢。我又看了一下镜像有一个异常镜像在网上搜到了关于介绍这个攻击的博客https://blog.aquasec.com/container-attacks-on-redis-servers这个镜像是4周前新发布的,作者文中也有提到。.原创 2020-10-24 15:02:48 · 1235 阅读 · 0 评论 -
Web安全之文件上传
文件上传漏洞原理:现在很多web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,然后通过url去访问以执行代码。防范措施对于上传文件的后缀名(扩展名)没有做较为严格的限制(可绕过)对于上传文件的MIMETYPE 没有做检查权限上没有对于上传的文件的文件权限,(尤其是对于shebang类型的文件)web server对于上传文件或者指定目录的行为没有做限制绕过方式1修改前端JS代码或抓包检测拓展名,如果不合法,则拒原创 2020-09-26 15:13:19 · 1659 阅读 · 0 评论 -
利用SSRF漏洞内网探测来攻击Redis(通过curl命令 & gopher协议)
有时候有些漏洞不存在与Get请求中,此时Header CRLF方法就不行了,下面给出第二种方式Gopher协议支持发出GET、POST请求:可以先拦截get请求包和post请求包,再构造成符合Gopher协议的请求(利用BP)。gopher协议是ssrf利用中一个最强大的协议。可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求,还可以攻击内网未授权MySQL。gopher 协议的精髓就在于可以在特定的端口上进行相关命令的执行。Gopher协议的优势原创 2020-09-25 23:51:25 · 4323 阅读 · 0 评论 -
利用SSRF漏洞内网探测来攻击Redis(请求头CRLF方式)
最近大致了解一下Redis,记录一下关于Redis安全方面的内容存在ssrf漏洞的站点主要利用四个协议,分别是http、file、gopher、dict协议。SSRF 漏洞出现的场景1.能够对外发起网络请求的地方,就可能存在 SSRF 漏洞2.从远程服务器请求资源(Upload from URL,Import & Export RSS Feed)3.数据库内置功能(Oracle、MongoDB、MSSQL、Postgres、CouchDB)邮件协议(POP3、IMAP、原创 2020-09-25 23:27:36 · 1174 阅读 · 0 评论 -
SVG XSS一般过程
SVG 是使用 XML 来描述二维图形和绘图程序的语言。SVG可缩放矢量图形(Scalable Vector Graphics),顾名思义就是任意改变其大小也不会变形,是基于可扩展标记语言(XML),他严格遵从XML语法,并用文本格式的描述性语言来描述图像内容,因此是一种和图像分辨率无关的矢量图形格式。通过在线图片转SVG,我们可以看到基本的SVG图片格式。SVG标准中定义了script标签的存在,<svg>遵循XML和SVG的定义,因此我们可以利用其来执行XSS。构造一个SVG文件原创 2020-09-24 23:45:49 · 3165 阅读 · 0 评论