- 博客(229)
- 资源 (17)
- 收藏
- 关注
RSS订阅转载 运营商渗透测试与挑战
http://blog.nsfocus.net/the-challenge-in-penetration-test-for-isp/运营商渗透测试与挑战最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集
2015-12-12 00:00:51
1271
转载 vim的一个较全的介绍(转)
http://www.cnblogs.com/dubing/archive/2011/12/16/2290421.htmlhttp://blog.csdn.net/sabalol/article/details/3426635http://hi.baidu.com/howard1980/blog/item/3399e42668751b0a908f9d5f.html前篇回顾
2015-12-01 10:20:52
1611
转载 vim与复制,删除,粘贴,块操作以及快速替换功能
掌握如下命令有什么好办法,我可以告诉你唯手熟尔!!多看多练对于VIM而言,复制,删除,粘贴的操作应该是非常多的。这次也做一个总结,关于处理VIM下的复制,删除,粘贴等操作。学会使用帮助文件,命令的帮助入口,就是”:help 命令名“。例如,对于”j“命令,查看它的帮助,使用”:help j“先谈一下基于块的复制,删除,粘贴操作使用块选的好处:对于vim几乎提到的
2015-12-01 10:20:23
2075
转载 SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议
http://www.ijiandao.com/safe/cto/12195.html0x01 前言愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。在新加坡举行的Black Hat亚洲安全会议上,Imperva公司的安全总监Itsik Mantin详细介绍如何使用该攻击原理, 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个长达13
2015-11-27 14:07:12
12480
转载 RSA加密与破解
加密和解密是自古就有技术了。经常看到侦探电影的桥段,勇敢又机智的主角,拿着一长串毫无意义的数字苦恼,忽然灵光一闪,翻出一本厚书,将第一个数字对应页码数,第二个数字对应行数,第三个数字对应那一行的某个词。数字变成了一串非常有意义的话:Eat the beancurd with the peanut. Taste like the ham.主角喜极而泣…… 这种加密
2015-11-25 11:20:01
1690
转载 linux /centos 中OpenSSL升级方法详解
OpenSSL升级前段时间出现天大bug了,这样导致大家都急着去升级OpenSSL来初安全了,但是很多的朋友在家linux并不知道如何去升级OpenSSL了,下面我整理了一文章大家一起参考一下。相关软件下载地址Apache:http://httpd.apache.org/Nginx:http://nginx.org/en/download.htmlOpe
2015-11-18 22:01:35
36974
转载 常用的APT命令参数
apt-cache search package 搜索包 apt-cache show package 获取包的相关信息,如说明、大小、版本等 sudo apt-get install package 安装包 sudo apt-get install package – - reinstall 重新安装包 sudo apt-get -f install 修复
2015-11-17 23:56:11
667
转载 OpenSSL 漏洞利用程序脚本 POC
http://lcx.cc/?i=4275OpenSSL Security Advisory [07 Apr 2014]========================================TLS heartbeat read overrun (CVE-2014-0160)==================================
2015-11-17 22:50:02
4687
转载 Openssl“心脏出血”漏洞分析及其利用
一、openssl漏洞形成原因4月7日,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区,它被命名为“心脏出血”,表明网络上出现了“致命内伤”。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。该漏洞最早公布时间为4月7日,原文作者为Sean Cassidy 在其blog上发表“existentia
2015-11-17 22:47:56
27472
转载 LAMP安全加固综合版v1
参考Securing_&_Hardening_Linux_v1.0L.A.M.P环境配置文档更新CentOS下Apache 2.x的安装、优化及安全设置做完配置,接下来开始入正题apache方面:1.修改banner编译源代码,修改默认的bannerServerTokens ProductOnlyServerSignature Off
2015-11-17 01:28:21
732
转载 论PHP常见的漏洞
0x00 前言里面很多都是像laterain学习到的, 如果能考上cuit的话 自动献菊花了。0x01 安装的问题首先拿到一份源码 肯定是先install上。 而在安装文件上又会经常出现问题。一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了。其他的基本都是通过生成一个lock文件 来判断程
2015-11-14 20:27:57
3531
转载 审计总结:PHP源码审计敏感函数字典
在 PHP 中可由用户输入的变量 ?12345678910111213$_SERVER$_GET$_POST$_COOKIE$_REQUEST$_FILES$_ENV
2015-11-12 01:44:33
1488
转载 php安全代码审计小结
0x01 工具篇编辑器(notepad++,editplus,UE等等,看个人习惯)TommSearch(字符串检索) || grep HttpProtocolDebugger(http协议调试器)Fiddler(分析包,改包)Seay PHP代码审计工具(php-code-audit分析辅助)几个有趣的项目dvwa(代码审计测试平台)phpmvsphp sec
2015-11-12 01:43:20
1320
转载 实例分析讲解为您敲开代码审计大门
分析目标XDcms订餐网站系统 v1.0XDcms订餐网站管理系统,主要使用Php+Mysql+Smarty技术基础进行开发,采用OOP(面向对象)方式进行基础运行框架搭建,集成在线订 餐、团购、积分商城、优惠券、新闻、在线订单、在线支付、生成订单短信/邮箱通知、点评、Google电子地图、问答、并与支付宝、Dz论坛、短信平台接 口完美整合等功能于一体的完全开源的高级订餐网站管理系统。作
2015-11-12 01:41:13
1575
转载 .bash_profile和.bashrc的区别(如何设置生效)
来源:http://blog.163.com/wang_hai_fei/blog/static/309020312008728333912//etc/profile:此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行并从/etc/profile.d目录的配置文件中搜集shell的设置./etc/bashrc:为每一个运行bash shell的用户执
2015-11-05 20:15:21
675
转载 metasploit渗透测试笔记(内网渗透篇)
http://drops.wooyun.org/tips/27460x01 reverse the shellFile通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行。本地监听即可获得meterpreter shell。reverse_tcp/http/https => exe => victim => shell
2015-11-05 19:14:37
9547
转载 Linux系统Apache SSL安装与配置
kylin:apache是很流行的,但是在linux下安装apache ssl的文章并没有很多详细的,此文写的比较详细了,分享给大家。 互联网的线路侦听无处不在,明文传输的数据一不留神就可能被窃取。而Apache的SSL加密连接可以帮助浏览者更加安全可靠的传输数据。通常来 说,普通的HTTP协议URL是以http:// 开头,而SSL加密协议则是以https:// 开头。本文将介绍C
2015-11-02 22:43:58
592
转载 关于ECSHOP模板架设的服务器php版本过高报错的解决方法集合
在安装Ecshop的时候,遇到两个问题: 1.Strict Standards: Non-static method cls_image::gd_version() should not be called statically in D:\X\www\ecshop\install\includes\lib_installer.php on line 31 解决:找到i
2015-10-30 00:58:57
1362
转载 Linux 文件和目录的属性
作者:北南南北来自:LinuxSir.Org摘要:本文讲述的是文件或目录的属性,比如节点inode、文件类型、文件权限及归属;还对setuid、setgid及粘贴位进行了一般性的讲解。对ln 、chmod、umask、chown、chgrp 、touch 的用法也进行了比较详细的说明和举例;目录1、 Linux 文件的属性概说;2、 关于inode;2.10 i
2015-10-30 00:44:29
566
转载 Apache 2.2主配置文件/etc/httpd/conf/httpd.conf配置解说
Apache为网络管理员提供了丰富多彩的功能,包括目录索引、目录别名、内容协商、可配置的HTTP错误报告、CGI程序的SetUID执行、子 进程资源管理、服务器端图象映射、重写URL、URL拼写检查以及联机手册man等。也就是说,如果您在Linux Server上成功安装配置了Apache之后,您的计算机也将随着Apache的生效而摇身一变,成为一台名副其实的Web Server,这种变化的确是激
2015-10-29 22:36:02
12778
转载 使用wireshark分析TCP/IP协议中TCP包头的格式
摘要:本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析。一、概述TCP是面向连接的可靠传输协议,两个进程互发数据之前需要建立连接,这里的连接只不过是端系统中分配的一些缓存和状态变量,中间的分组交换机不维护任何连接状态信息。连接建立整个过程如下(即三次握手协议):首先,客户机发
2015-10-27 00:47:42
2696
转载 Nginx 1.5.2 + PHP 5.5.1 + MySQL 5.6.10 在 CentOS 下的编译安装
源码编译安装,去http://www.sourceforge.net下载Libmcrypt,mhash,mcrypt安装包libmcrypt(libmcrypt-2.5.8.tar.gz ):mcrypt(mcrypt-2.6.8.tar.gz ):mhash(mhash-0.9.9.9.tar.gz ):?123
2015-10-21 23:40:47
452
转载 centos 7 min 编译安装php5.6+nginx1.7.5 笔记
centos 7 min 编译安装php5.6+nginx1.7.5 笔记,有需要的朋友可以参考下。centos 7 min 编译安装php5.6+nginx1.7.5 笔记1、安装mysql请参照centos 7 min 编译安装mysql5.6.20 笔记2、编译安装php5.6+nginx1.7.52.1、安装php5.6.0首先添加依赖应用
2015-10-21 23:39:14
2085
转载 Linux CentOS6.5下编译安装MySQL 5.6.16【给力详细教程】
一、编译安装MySQL前的准备工作安装编译源码所需的工具和库[sql] view plaincopyyum install gcc gcc-c++ ncurses-devel perl 安装cmake,从http://www.cmake.org下载源码并编译安装[sql] view pla
2015-10-21 02:11:26
498
转载 解决编译apache出现的问题:configure: error: APR not found . Please read the documentation
今日编译apache时出错:#./configure --prefix……检查编辑环境时出现:checking for APR... noconfigure: error: APR not found . Please read the documentation解决办法:1.下载所需软件包:wget http://archive.apache.org/d
2015-10-21 01:14:39
991
转载 Apache服务器编译安装与简单配置
http://jingyan.baidu.com/article/86112f13704e202736978761.htmlApache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件。Apache的安装有两种方式:二进制包安装和自己编译安装这篇主要讲解Linux上Apache
2015-10-21 01:13:40
874
转载 查找“CDN、负载均衡、反向代理”等大型网络真实IP地址的方法
首先,CDN、负载均衡、反向代理还分为很多层,有时查出来的是最外层的 CDN 服务器群,真实的机器是不对外开放的,类似这样的:用户 → CDN 网络 → 一台或多台真实机器 ↗ CDN Server 1 ↘用户 → CDN Server 2 → 真实机器 ↘ CDN Server N ↗---------------------------
2015-09-08 13:22:07
2553
转载 metasploit 连接postgresql可能遇见的问题
前言由于kali linux的版本不同,默认情况下对metasploit和postgresql的配置也不相同,导致我们启动metasploit后连接postgresql数据库会遇到无法连接的情况。下面就三种情况,简单的给大家描述一下,以及遇到问题的解决方案。理想状态理想情况下,只需要两步即可。1. 启动postgresqlservice postgre
2015-09-01 11:29:41
2333
转载 网络环境渗透测试简述 & 点评
一、渗透测试概念渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方 法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。渗透测试还具有的两个显著特点是:渗透测试是一个
2015-08-26 09:13:14
2408
转载 图解SSL/TLS协议
本周,CloudFlare宣布,开始提供Keyless服务,即你把网站放到它们的CDN上,不用提供自己的私钥,也能使用SSL加密链接。我看了CloudFlare的说明(这里和这里),突然意识到这是绝好的例子,可以用来说明SSL/TLS协议的运行机制。它配有插图,很容易看懂。下面,我就用这些图片作为例子,配合我半年前写的《SSL/TLS协议运行机制的概述》,来解释SSL协议。
2015-08-22 22:47:44
456
转载 SSL与TLS的区别以及介绍
SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数
2015-08-22 22:41:36
466
转载 Apache漏洞利用与安全加固实例分析
Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache的漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施。Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一。虽
2015-08-21 13:41:06
5681
转载 cross-site tracing XST攻击
XST攻击描述:攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击。XST攻击条件:1、需要目标web服务器允许Trace参数;2、需要一个用来插入XST代码的地方; 3、
2015-08-21 10:33:36
3477
转载 业务安全漏洞挖掘归纳总结
0x00 索引说明6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。0x01 身份认证安全1 暴力破解在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839一些工具及脚本
2015-08-13 10:27:33
4493
转载 哥们别逗 了,写个脚本那真不叫运维自动化!
哥们别逗 了,写个脚本那真不叫运维自动化!2014-12-16 http://3060674.blog.51cto.com/3050674/1590803 好久没写文章了,最近要来刷下存在感,近两 年,运维自动化被炒的火的不行,行业趋势不可挡,现在企业招运维工程师都要求会一门开发语言。我们公司也不例外,由于刚上市,一下子有钱了,开始招兵买马 瞎折腾,因此最近我也面试了不下十
2015-08-12 11:10:33
76835
104
转载 Apache/Tomcat/JBOSS/Nginx区别
先说Apache和Tomcat的区别:Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 在Apache基金会里面ApacheServer永远会被赋予最大的支持,毕竟大儿子最亲嘛,而Apache的开源服务器软件Tomcat同样值得关注,毕竟Tomcat是开源免费的产品,用户会
2015-08-07 10:48:01
943
转载 将Vim改造为强大的IDE—Vim集成Ctags/Taglist/Cscope/Winmanager/NERDTree/OmniCppComplete(有图有真相)
1、安装Vim和Vim基本插件首先安装好Vim和Vim的基本插件。这些使用apt-get安装即可:lingd@ubuntu:~/arm$sudo apt-get install vim vim-scripts vim-doc其中vim-scripts是vim的一些基本插件,包括语法高亮的支持、缩进等等。vim中文帮助文档tar包下载地址:http://sourceforge.net/pr
2015-08-05 17:30:05
3218
1
转载 彻底理解webservice SOAP WSDL
原文: http://wenku.baidu.com/view/f87b55f19e31433239689314.htmlWebServices简介先给出一个概念 SOA ,即Service Oriented Architecture ,中文一般理解为面向服务的架构,既然说是一种架构的话,所以一般认为 SOA 是包含了运行环境,编程模型,架构风格和相
2015-08-05 16:14:28
6916
2
转载 web服务器:SOAP,WSDL,UDDI
一、 web 服务简介 Web Services 是一个可以将应用程序变为 Web 应用程序,将自己本地的应用程序信息通过网络,发布到网络中,让别人通过浏览器访问本地信息。 Web Services 的技术主要建立在 XML 的规范之上,保证了这一体系结构的平台无关性、语言无关性和人机交互性能。 Web Services 框架的核心技术包括 SO
2015-08-05 15:43:38
594
转载 Nmap命令的29个实用范例
Nmap即网络映射器对Linux系统/网络管理员来说是一个开源且非常通用的工具。Nmap用于在远程机器上探测网络,执行安全扫描,网络审计和搜寻开放端口。它会扫描远程在线主机,该主机的操作系统,包过滤器和开放的端口。我将用两个不同的部分来涵盖大部分NMAP的使用方法,这是nmap关键的第一部分。在下面的设置中,我使用两台已关闭防火墙的服务器来测试Nmap命令的工作情况。192.168
2015-07-29 10:15:34
691
java web整合开发王者归来(刘京华) 源代码
2016-02-29
Vim实用技巧_Drew Neil
2015-07-12
Web入侵安全测试与对策
2015-04-24
SQL注入攻击与防御
2015-04-24
Linux0.01内核分析与操作系统设计配书光盘
2015-04-24
Linux内核源代码情景分析(上)
2015-04-24
Linux_内核源代码分析
2015-04-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人