漏洞 证书cnvd

文件包含原理 传递一个参数（可以是一个文件），然后PHP脚本包含这个文件，则无论这个文件是什么格式，访问PHP脚本，传递参数的文件都能以PHP格式执行。 本地文件包含测试 #本地创建一个1.php和shell.txt，代码如下 #访问PHP脚本并且传递1.txt文件为参数，发现txt里的内容以php ......

公司要求使用SSL加密连接MYSQL 记录一下过程。 首先使用的库是MySqlConnector，配合的ORM是Dapper。.NET框架为 .net framework4.8 var builder = new MySqlConnectionStringBuilder { Server = "** ......

AWVS是一款常用的漏洞扫描工具，全称为Acunetix Web Vulnerability Scanner，它能通过网络爬虫测试你的网站安全，检测流行安全漏洞，大大提高了渗透效率。 主要使用的功能有：仪表盘（监视器）功能、添加目标功能、漏洞排序功能、扫描功能、发现功能、用户功能，其它还有扫描配置功 ......

k8s各组件非常依赖证书 而默认情况下ca证书是十年，而其他证书都只有一年 Kubernetes中的如果证书过期了，会导致集群中的许多组件无法正常通信，从而影响整个集群的功能。 所以在生产环境下，这是非常大的坑 # 查看证书有效期 ## 方法一 ```bash cd /etc/kubernetes/ ......

# WEB漏洞-查询方式及报错注入 [TOC] 当进行SQL注入时，有很多注入会出现无回显的情况，其中不回显的原因可能是SQL语句查询方式的问题导致，这个时候我们需要用到相关的报错或盲注进行后续操作，同时作为手工注入时，提前了解或预知其SQL语句大概写法也能更好的选择对应的注入语句。 ## 1. 查 ......

一：序 当需要在 Java 应用程序中使用 SSL/TLS 加密通信或进行身份验证时，证书是必不可少的。证书可以用来验证服务器的身份，并确保通信的安全性。在 Java 开发中，可以使用 JDK 自带的 keytool 工具生成自签名证书。而本文将介绍如何使用 JDK 的 keytool 工具生成自签 ......

RCE:远程命令/代码执行(remote command/code execute) 在 Web 应用中有时候程序员为了考虑灵活性、简洁性，会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样调用系统命令处 ......

选择一款合适的SSL证书是企业网站进行HTTPS访问的第一步。不同类型SSL证书在功能和验证要求上有所不同,企业应根据自身需求选择合适的证书。本文将介绍DV、OV、EV三种SSL证书的区别，以及企业选择SSL证书的建议。 企业对SSL证书的要求要远高于个人网站，因为大多数企业网站可能存在着金融交易业 ......

漏洞从哪里来、缓冲区溢出、如何发现漏洞、漏洞利用（EXP 选择与修改，避免有害的 EXP）、后渗透阶段（Linux 上传文件，Windows 上传文件） ......

CSRF:跨站请求伪造（Cross-site request forgery）CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包（如转账给hack,向hack发送API等）如果此时用户恰好登录了该 ......

# Windows签发本地SSL证书 按顺序使用以下命令行，遇到输入提示请根据状况输入 ```shell winget openssl ``` ```shell openssl req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 36 ......

xsstrike下载：https://github.com/s0md3v/XSStrike XSStrike相关的命令 -h, --help //显示帮助信息 -u, --url //指定目标 URL --data //POST 方式提交内容 -v, --verbose //详细输出 -f, --f ......

在 Windows 操作系统中，证书文件通常具有 .cer、.pfx 或 .p12 等扩展名。证书的路径会根据不同的用途而有所不同。以下是几个常见的证书路径： 用户级证书路径： 当前用户：C:\Users\用户名\AppData\Roaming\Microsoft\SystemCertificate ......

背景：HbuilderX打包app时，需要证书和密钥文件，ios包所需要的证书和密钥需要在苹果电脑上申请，如果身边没有Mac也没有关系，我们也可以在windows环境下生成一系列文件。 1.生成安卓包所需要的keystore文件 可以通过https://www.yunedit.com/香蕉云编，非常 ......

1、下载java sdk 安装到windows （提取链接见下图） 链接：https://pan.baidu.com/s/1mwVXlRLx79Sgt21JQEPd0A?pwd=r0ja 提取码：r0ja 2、安装sdk 避开文件夹是中文和有空格的文件夹（我是新建C:\java\sdk; C:\ja ......

什么是httponly 如果HTTP响应头中包含HttpOnly标志，只要浏览器支持HttpOnly标志，客户端脚本就无法访问cookie。因此，即使存在跨站点脚本（XSS）缺陷，且用户意外访问利用此漏洞的链接，浏览器也不会向第三方透露cookie。如果浏览器不支持HttpOnly并且网站尝试设置H ......

## CA ### CA含义： - 指**证书颁发机构**（Certificate Authority），也称为证书签发机构。它是一个可信任的实体，负责签发、管理和验证**==数字证书==**的机构。 ### 如何设置自己的CA： - 规划CA架构 - 构建基础设施 - 安全策略和流程 - **生成 ......

今天把项目里的Microsoft.EntityFrameworkCore.SqlServer和Microsoft.EntityFrameworkCore.Tools从6.0.6升级到了最新的7.0.9。一运行程序出错了。 ![img](https://img2023.cnblogs.com/blog ......

SecureKernel 是一个操作系统内核的安全性功能，用于提供额外的保护层来抵御针对内核的攻击。它是为了增强操作系统的安全性而设计的。 SecureKernel 的主要目标是防止恶意软件或攻击者能够利用漏洞或恶意代码来入侵和篡改操作系统内核。通过实施一系列安全策略和措施，SecureKernel ......

默认情况下，docker是无法远程访问的 但是有些场景下，是需要远程访问的 # 新建存放证书的目录 ```bash mkdir /etc/docker/certs.d cd /etc/docker/certs.d ``` # 生成证书 ## 生成ca的私钥 ```bash openssl genrs ......

**作者:张富春(ahfuzhang)，转载时请注明作者和引用链接，谢谢！** * [cnblogs博客](https://www.cnblogs.com/ahfuzhang/) * [zhihu](https://www.zhihu.com/people/ahfuzhang/posts) * [G ......

## nginx请求头相关漏洞修复(http host&X-XSS-Protection) 参考链接：[Nginx常见漏洞处理 - 码农教程 (manongjc.com)](http://www.manongjc.com/detail/41-odjemistgflzehk.html) [Web应用漏 ......

问题描述 使用python的requests库去发送https请求，有时候不设置verify=False不报错，有时候又报错。 问题原因 使用Python的requests库发送HTTPS请求时，设置verify=False参数可以跳过SSL证书验证。默认情况下，requests库会验证SSL证书以 ......

2023年5月23日， Rocketmq 爆出 CVE-2023-33246 RCE高危漏洞。 在一定条件下， 攻击者可以利用该漏洞通过更新配置功能以RocketMQ运行的系统用户身份执行命令 。 漏洞利用与复现 攻击者成功RCE需要满足以下条件 Rocketmq 版本 < 5.1.1 或 < 4. ......

# hvv面试常问的几个漏洞 ### 一、Struts2 #### 1.1 简介 Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的 ......

证书过期 [root@k8s-master ~]# kubectl get pods Unable to connect to the server: x509: certificate has expired or is not yet valid 查看证书的生效日期(发现已经过期) [root@ ......

### 一、sql注入类型 sql注入方式根据应用程序处理数据库返回内容的不同，可以分为可显注入、报错注入和盲注。 **1. 可显注入** 攻击者可以直接在当前界面内容中获取想要获得的内容。 **2. 报错注入** 数据库查询返回结果并没有在页面中显示，但是应用程序将数据库报错信息打印到了页面中，所 ......

```Python import requests url = "https://sam.huat.edu.cn:8443/selfservice/" # 默认不忽略ssl证书，如果有证书问题的网站会报错 # response = requests.get(url) # 设置verify=False ......

在Go中，可以通过设置 `http.Client` 的 `Transport`属性来忽略证书验证。 默认情况下，`http.DefaultClient` 使用的是 `http.DefaultTransport` ，它对证书进行了验证。 但是你可以创建一个自定义的 `Transport` 并将其用作客 ......

## 问题描述 > Nacos 老版本发现有 raft 漏洞，直接升级最新版 2.2.3 解决问题。 ## 升级步骤 ### 一、修改pom - 路径：`jeecg-server-cloud/jeecg-cloud-nacos/pom.xml` - 目前新依赖还未上传到maven官仓，请配置 [je ......