漏洞 常见 工具 技术

# Web通用漏洞--文件上传 ## 概述 文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题，对于如何确保这类安全问题，一般会从原生态功能中的文件内容，文件后缀，文件类型等方面判断，但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题，也会在语言版本，语言函数，中间件， ......

# Web通用漏洞--CSRF ## 漏洞简介 CSRF（Cross Site Request Forgery, 跨站请求伪造/客户端请求伪造），即通过伪造访问数据包并制作成网页的形式，使受害者访问伪造网页，同时触发伪造的请求而达到攻击效果的一种手段。 ![在这里插入图片描述](https://im ......

# Web通用漏洞--SSRF ## 漏洞简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞; 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而 ......

# Web通用漏洞--RCE ## 漏洞简介 RCE远程代码/命令执行漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 RCE漏洞也分为代码执行漏洞和命令执行漏洞，所谓代码执行即通过漏洞点注入参数而使用源代码进行相应的操作，所谓的命令执行就是通过漏洞点注入参数使用源 ......

测试思路 信息收集之信息利用第一步：首先识别网站是否有cdn，waf等产品，有则绕过。第二步：扫描收集到网站的端口信息，真实ip地址，ip绑定的其他域名。第三步：网站敏感路径扫描第四步：域名+端口敏感信息扫描第五步：ip+端口敏感目录扫描 备注：字典不应该只是敏感路径，还应该有备份文件 zip ra ......

# Web通用漏洞--文件包含 ## 文件包含原理 在项目开发过程中，开发人员通常会将重复使用的函数写入单个文件中，在使用该类函数时，直接调用文件即可，无需重新编写，这种调用文件的过程成为文件包含。在文件包含过程中，如果用户可以控制所包含的文件，则为文件包含漏洞。 ## 文件包含函数 PHP：inc ......

# Nginx 文件名逻辑漏洞（CVE-2013-4547）(Vulhub) ## 漏洞简介 在Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本中存在错误解析用户请求的url信息，从而导致文件代码执行，权限绕过等问题。 ## 适用环境 Nginx 0.8.41 ~ 1.4 ......

# Python 依赖管理工具 poetry ## 安装 Linux, macOS, Windows (WSL) ``` curl -sSL https://install.python-poetry.org | python3 - ``` Windows (Powershell) ``` (Inv ......

博客推行版本更新，成果积累制度，已经写过的博客还会再次更新，不断地琢磨，高质量高数量都是要追求的，工匠精神是学习必不可少的精神。因此，大家有何建议欢迎在评论区踊跃发言，你们的支持是我最大的动力，你们敢投，我就敢肝 ......

数字证书内容：（为解决公钥的真实性） 证书的版本信息 证书的序列号，每一个证书都有一个唯一的证书序列号 证书所使用的签名算法 证书的发行机构名称 证书的有效期 证书所有人的名称 证书所有人的公开密钥 证书发行者对证书的签名 PKI 公钥体系 CA认证中心 RA 注册审批机构 证书受理点 密钥管理中心 ......

访问控制目标： 防止非法用户进入系统 阻止合法用户对系统资源的非法是哦那个，即进制合法用户的越权访问 访问控制的三要素 主体：主动实体：S 客户：被动实体：Ｏ 控制策略：主体对客体的操作行为集约束条件集 记为ＫＳ 访问控制的实现技术 访问控制矩阵ACM，矩阵中的每一格表示所在行的主体对所在列的客体的 ......

SpaceSniffer 用来清理磁盘 ，可以直观地看所占内存大小 官方下载地址：SpaceSniffer download (uderzo.it) Snipaste 截图 ( f1 )+ 贴图 ( f3 ) 双击关闭贴图 官方下载地址：Snipaste Everything Everything是 ......

对称加密： 加密 密钥 解密 特点：加密强度不高，效率高，易破解 密钥分发困难 非对称加密： 加密 解密 解密者的公钥 解密者的私钥 特点：加密强度高，效率低，极难破解 密钥分发容易 对称加密算法（共享密钥） 非对称加密算法（公开密钥） 用途：对消息明文进行加密传送 用途：对密钥加密，做数字签名 D ......

随着科技的飞速发展，高性能计算、并行计算、分布式计算、大数据、人工智能等技术在各个领域得到了广泛应用。在这个过程中，LAXCUS分布式操作系统以其卓越的技术创新和强大的性能表现，成为了业界的佼佼者。本文将围绕LAXCUS分布式操作系统的技术创新，探讨其在高性能计算与人工智能领域的应用前景。 一、LA ......

以前用的是小小的portscan 老是报病毒 实在不得其法，最近公司又扫描黑灰产，查着不让用。 Angry IP Scanner - Screenshots 推荐这个吧，至少我在自己电脑，windows11不报毒了。 Angry IP Scanner - Download for Windows, ......

[推荐超值课程：点击获取](https://www.sanzhishu.top/) ### 前提介绍 本系列文章主要讲解如何基于Quarkus技术搭建和开发"专为Kubernetes而优化的Java微服务框架"的入门和实践，你将会学习到如何搭建Quarkus微服务脚环境及脚手架，开发Quarkus的 ......

[推荐超值课程：点击获取](https://www.sanzhishu.top/) ### 云原生时代下的Java"拯救者" 在云原生时代，其实Java程序是有很大的劣势的，以最流行的spring boot/spring cloud微服务框架为例，启动一个已经优化好，很多bean需要lazy loa ......

# 常见问题 ## 1、查询执行命令的位置 方式1： ```python import os os.getcwd() ``` 方式2： ```python import os os.path.abspath('.') ``` 方式3： ```python import sys sys.path[0] ......

NearLink星闪无线连接技术是一种无线通信技术，它的特点是高速、低功耗和低延迟。该技术主要用于物联网（Internet of Things，IoT）设备之间的短距离通信，以实现设备之间的数据传输和互联互通。 NearLink技术的核心是利用了光通信的原理，通过使用可见光或红外线通信，将数字信息转 ......

博客推行版本更新，成果积累制度，已经写过的博客还会再次更新，不断地琢磨，高质量高数量都是要追求的，工匠精神是学习必不可少的精神。因此，大家有何建议欢迎在评论区踊跃发言，你们的支持是我最大的动力，你们敢投，我就敢肝 ......

漏洞编号 无 影响产品 致远 OA V8.0 致远OA V7.1、V7.1SP1 致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3 利用状态 在野利用（已公开poc） 漏洞详情 路径（需要普通用户权限） POST /seeyon/aiax.do?method=aiaxAction& ......

前言 虽然这篇文章的标题写的是正确看待Java以及何时应该升级到JDK 17，但是实际上可以认为是我对技术选型和系统性软件工程的一些总结，其中包含了一些可以用于其它技术的参考性讨论。做了很多年的Java之后，这几年笔者在做lightdb数据库内核开发中以c/c++为主，所以可维护性和是否有显而易见的 ......

- 这两周从听 #纵横四海 播客 #刻意练习 和笔记的力量开始逐渐关注到双链笔记, 其实最早在听ByteTalk的时候就有听到一期嘉宾介绍到一款双链笔记 #logseq . 其实给我印象最深的是刻意练习中关于对学习的讲解, 其中提到刻意练习最重要的几部分: chunk 和 link. 而双链笔记 最 ......

简要描述： 获取收藏夹内容 请求URL： http://域名地址/weChatFavorites/favSync 请求方式： POST 请求头Headers： Content-Type：application/json Authorization：login接口返回 参数： 参数名必选类型说明 wI ......

第一次在博客园写东西，记录下读书的一些想法。 新一代的信息技术在不断的更新进步，往系统化、智能化、微型化、云端化的方向发展，包括物联网、云计算、大数据、区块链、人工智能、虚拟现实等。是信息化发展的主要趋势，而虚拟现实是我认为的集大成者的现代的最终目标（未来怎么样，只能猜测）。 虚拟现实，简单的说，就 ......

> 博客地址：https://www.cnblogs.com/zylyehuo/ *  ......

- 首先`@Scheduled`加载方法上，然后还需要在启动类上加`@EnableScheduling`开启该功能 - 常见表达式 ``` “30 * * * * ?” 每半分钟触发任务 “30 10 * * * ?” 每小时的10分30秒触发任务 “30 10 1 * * ?” 每天1点10分30 ......

导读 Wiz 的研究人员发现，最近被引入 Ubuntu 内核的两个 Linux 漏洞，可能会在大量设备上为非特权本地用户提升权限。这两个漏洞被追踪为 CVE-2023-32629 和 CVE-2023-2640，预计影响了大约 40% 的 Ubuntu 用户。 根据介绍，其中 CVE-2023-26 ......

> 基于javascript开发的在线ps工具，打包方式webpack ### 在线预览 [在线ps网页版](https://ps.gitapp.cn/) ### 源码地址 https://github.com/geeeeeeeek ### 功能介绍 - 在线图像编辑器允许您使用HTML5技术创建、 ......

[TOC] ## 优秀的 Modbus 从站（从机、服务端）仿真器、串口调试工具 **官网下载地址：http://www.redisant.cn/mse** #### 主要功能 - 支持多种Modbus协议，包括： - Modbus RTU - Modbus ASCII - Modbus TCP/I ......