漏洞 证书cnvd
使用fluent api调用https接口时忽略证书异常
不知道为啥,中文互联网对脱胎于httpclient的fluent api介绍太少了,遇到问题也不知道怎么查,只能自己研究,于是遇到问题赶紧记下来 一般情况下我们使用fluent的get方法调用http接口的方式是这样的 Request.get(url) .connectTimeout(Timeout ......
VCSA重装后或者更新证书后,vsan 无法提取请求的数据。有关详细信息,请查看 vSphere Client 日志
VCSA重装后或者更新证书后,VSAN磁盘组信息无法显示 重装VCSA接管VSAN环境后,查看VSAN磁盘组报错无法提取请求的数据。 首先VCSA开启SSH后台连接到VC环境。 vi /tmp/check-trust-anchors #内容如下 #!/bin/bash function setOpt ......
pyopenssl 生成ssl证书
from OpenSSL import crypto, SSL def generate_certificate( organization="PrivacyFilter", common_name="192.168.1.200:8000", country="NL", duration=(365 ......
自签名证书--x509: certificate signed by unknown authority
问题描述: 后端日志报错:x509: certificate signed by unknown authority 登陆pod测试: 原因: 因为自签名证书,不能识别到根证书 解决: 1.临时办法 把根证书复制到pod kubectl cp **.crt /usr/local/share/ca-c ......
苹果端安装fiddler证书打开代理后无法上网的解决办法
1.删除电脑与手机上的fiddler证书 2.下载 fiddler官方插件‘FiddlerCertMaker.exe’ 工具重新生成证书,下载之后双击运行,运行成功后,重新启动fiddler 3.生成新的证书安装到苹果端 4.打开苹果端代理进行抓包 安卓端出现同样问题也可使用此方法解决 ......
frp ssl证书配置 密钥生成
对于frp安全传输非常重要 这里是对传输的端口进行证书加密 frp的配置使用可以参考我的这篇博客: 链接: frp安装配置 一、生成密钥 以下命令在linux下演示,windows下命令也是一致,但是需要自己去配置,可能有很多坑,建议直接用linux生成。 放到哪里都行,我这放到了frp的目录下,如 ......
log4j漏洞CVE-2021-44228复现-排雷篇
一、环境搭建(用相同的环境才能保证一定成功) 下载vulhub,其他环境可能存在GET请求无效问题: git clone https://github.com/vulhub/vulhub.git 切换到指定漏洞环境目录: vulhub/log4j/CVE-2021-44228 开启docker:do ......
web基础漏洞-dom型xss测试
1、介绍 dom型xss的测试是非常繁琐的,很难如同其它漏洞那样基于自动化分析是否存在该漏洞。 搜索js的关键词 分析上下文中攻击者可控的参数与流程 2、分析工具 (1)搜索js关键词 针对单个请求的响应体部,搜索js关键词,列举搜索结果 针对日志的请求队列,逐一搜索js关键词,列出请求序号、id和 ......
jdk导入安全证书
jdk导入安全证书 SSLHandshakeException Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path b ......
web基础漏洞-反射型和存储xss测试
1、异同 反射型基于单次请求-响应过程,payload在请求中提交,然后直接在响应中包含。测试过程中,分析payload在唯一响应体部中的表现。 存储型基于两次请求-响应过程,payload在初次请求中提交,然后在第二次请求的响应中包含。测试过程中,分析的是payload在第二次响应体部中的表现。 ......
【AGC】.p12证书文件如何获取MD5
近期在使用DevEco Studio3.1打包应用时遇到了一个问题,我使用Build—Generate Key and CSR创建了密钥库文件。 我这里需要获取到创建的.p12证书文件的MD5值,于是在控制台使用了keytool -list -v -keystore D:\myapp.p12命令获 ......
宝塔:续签SSL证书报错string indices must be integers
网站SSL证书过期,续签的时候,报错string indices must be integers。 处理方法: 1.点击左侧首页,选择“修复”; 2.修复之后,重新点击网站,设置>>>SSL >>>续签证书,等待流程通过,点击保存即可。 ......
iOS发布证书.p12文件无密码解决办法及导出带密码的新.p12文件方法
摘要: 本文将以iOS技术博主身份,分享解决使用无密码的.p12文件发布应用时遇到的问题,并介绍如何以带密码的方式重新导出.p12文件的方法。通过本文提供的步骤,开发者可以顺利完成证书的发布流程。 引言 在iOS应用发布过程中,有时候会遇到使用无密码的.p12文件的情况。然而,在一些第三方平台上 ......
k8s 1.24.1 containerd 证书过期处理
在 master 节点上进行操作 [root@k8s-master-1 ~]# kubectl get nodes Unable to connect to the server: x509: certificate has expired or is not yet valid: current ......
Java XXE漏洞原理研究
一、Java XML解析库简介 Java 解析 XML 的四种方式 1、DOM(Document Object Model)解析 1)优缺点 优点 允许应用程序对数据和结构做出更改 访问是双向的,可以在任何时候再树中上、下导航获取、操作任意部分的数据 缺点 解析XML文档的需要加载整个文档来构造层次 ......
漏洞记录
记录分享一下工作上遇到的一个洞 进入根域名,404 目录扫描,发现/conf/catalina.properties路径, catalina.properties是配置tomcat的安全设置、类加载设置、不需要扫描的类设置、字符缓存设置四大块。 既然是访问到tomcat的配置文件了,那么就尝试访问/ ......
生成CSR和自签名证书
CSR,全称Certificate Signing Request(证书签发请求),是一种包含了公钥和与主题(通常是实体的信息,如个人或组织)相关的其他信息的数据结构。CSR通常用于向证书颁发机构(Certificate Authority,CA)申请数字证书。下面是CSR的详细介绍: CSR 的结 ......
web基础漏洞-越权漏洞
1、介绍 越权,是指攻击者访问或者操作了超过当前身份权限的资源。 2、场景 (1)水平越权 攻击者登录账号,对其它账号的专属数据进行了请求或操作。 (2)垂直越权1 攻击者未登录,而直接对账号专属数据进行了请求或操作。 (3)垂直越权2 攻击者登录,但是对需要更高权限的数据进行了请求或操作。 3、防 ......
web基础漏洞-逻辑漏洞
1、介绍 逻辑漏洞是由于业务代码的逻辑缺失或者错误,导致的漏洞。 2、场景 2.1 可爆破可猜解 弱账号密码 验证码 登录凭证cookie或token,以及访问口令 优惠券id,图片id,博客id等 找回密码的问答 2.2 步骤可跳过 (1)某功能分为多个页面/接口,可以直接请求后面的页面/接口 ( ......
web基础漏洞-验证码爆破
1、介绍 验证码爆破,攻击者可以持续请求验证,从而获取正确验证码。 2、防护 (1)限制验证码有效时间 如果设置相对较长的验证码有效时间,那么攻击者就可以用较低的频率爆破。反之,验证码有效时间相对较短,则对爆破的频率提出高要求,这既考验攻击者的硬件和软件,也考验网络传输和服务端压力。提高爆破难度 ( ......
web基础漏洞-ssrf
手把手用实战教你SSRF漏洞从入门到精通 - FreeBuf网络安全行业门户 (1 封私信 / 38 条消息) ssrf业务 - 搜索结果 - 知乎 (zhihu.com) 1、介绍 ssrf,server-server request forgery服务端到服务端的请求伪造,或者server-si ......
web基础漏洞-url重定向漏洞
1、介绍 url重定向漏洞,是指攻击者可以控制用户的浏览器中的url形式参数,并被解析执行,造成危害。 2、场景 2.1 跳转 使用户信任新跳转的站点,进行钓鱼 3xx location字段 js跳转 form跳转 超链接a 2.2 引入资源 利用:钓鱼,引入脚本,向外部请求提供referer sc ......
NGINX 安装 SSL 证书 - 开启 HTTPS 访问
一、在你开始之前 请确保您已下载证书文件。 没有证书?请从 https://www.sslforfree.com 上申请 90 天免费证书。 下载证书后,您应该有一个包含以下证书文件的 ZIP: certificate.crt ca_bundle.crt private.key 二、上传证书文件 首 ......
泛微E-Office init.php SQL注入漏洞
漏洞简介 泛微 E-Office 协同办公平台/E-mobile/App/Init.php接口存在SQL注入漏洞,攻击者可利用该漏洞执行任意SQL语句,进行增、删、改、查等数据库操作,造成数据库敏感数据信息泄露或被篡改; 漏洞复现 fofa语法:app="泛微-EOffice" 登录页面如下: PO ......
java基础漏洞学习----基础命令执行漏洞
java基础漏洞学习 基础命令执行漏洞 基础命令执行常见方法 1.ProcessBuilder package com.example.servletdemo; import java.io.BufferedReader; import java.io.IOException; import jav ......
shiro反序列化漏洞
Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 目前为止,shiro反序列漏洞,目前公开的就两种: 1、shiro- ......
java基础漏洞学习----文件操作漏洞
java基础漏洞学习 文件操作漏洞 前置基础知识 https://www.cnblogs.com/thebeastofwar/p/17760812.html 文件上传漏洞 文件上传的方式 1.通过文件流 index.jsp <%@ page language="java" contentType=" ......
web基础漏洞-sql注入测试
sql注入的自动测试,为了便于处理,将其分为两个阶段分别处理,即漏洞测试发现和漏洞利用。前者更加普遍和重要。 1、自动测试流程 1.1 选择业务和sql语句 insert delete update select where id=? select where title like '?' sele ......
web基础漏洞-sql注入绕过
前提:确实存在sql注入,换句话说未使用预编译,绕过才有可能。 这里阐述针对的是mysql语法。 1、大小写混杂 2、双写绕过 如果服务端检查到敏感词,对其删除后继续执行。那么可以提交数据时进行双写绕过,比如selselectect,提交后变为select 拓展来说,如果服务端最多检查n次,并且每次 ......
web基础漏洞-sql注入
1、介绍 sql注入,是目标网站提供了接口,使得攻击者可以从前端提交数据,然后未经过严格检查,被拼接到sql语句中,交给sql应用执行。从而导致恶意构造的payload破坏原有的sql语句结构,执行超预期的功能,造成危害。 几乎所有的sql应用都存在sql注入漏洞,但一般讨论和测试时以mysql为主 ......