漏洞 证书cnvd

# 数字证书及DER编码和证书库 ## 一、数字证书 ### 数字证书是什么？ #### 数字证书是一种用于安全通信的文件，其中包含与证书持有者相关联的信息，如公钥和证书持有人的身份信息。 数字证书通常用于在互联网上建立安全连接，如 HTTPS，SSL 和 TLS。 ### ASN1在数字证书的应用 ......

# 数字证书及DER编码和证书库 ## 一、数字证书 ### 数字证书是什么？ #### 数字证书是一种用于安全通信的文件，其中包含与证书持有者相关联的信息，如公钥和证书持有人的身份信息。 数字证书通常用于在互联网上建立安全连接，如 HTTPS，SSL 和 TLS。 ### ASN1在数字证书的应用 ......

先看一下百度百科对数字签名和数字证书的解释： 数字签名： 将 报文按双方约定的HASH 算法计算得到一个固定位数的 报文摘要。在 数学上保证：只要改动报文中任何一位，重新计算出的 报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发 ......

# 应用层漏洞 ## 暴力破解 ## CSRF  ## XSS ![](https://img2023.cnblog ......

1、介绍 sql注入，是用户提交的数据，服务端接收后未经过严格检查，将其直接拼接到sql语句中，交给sql应用执行，超出了开发者预期的sql语句结构，从而造成危害。 2、详解 (1)从数据来说，任何前端提交的数据，都有可能成为sql注入的参数。包括get、post、及其它请求方法，包括url、请求头 ......

审计搞了宝塔好几个版本，花了也不算短时间，屯了3个洞 1.一个命令执行 （有一定利用条件，最开始不能回显，配合DNSLOG完成回显） 2.一个不死后门（非官方，自留后门,用来持续维持权限） 适用 Linux/windows 测试版本： linux 7.9.8 Windows 6.7.0 Window ......

使用uniapp进行云打包，可以打包android和ios两种app，但是uniapp官方并不能凭空产生这两种平台所需的打包证书。 那么这两种打包证书又是如何获取呢？ android相对简单，使用jdk的工具生成就可以了，也可以使用香蕉云编来一键生成。 但是ios证书的生成就没有这么简单，因为... ......

症状 使用 Microsoft Exchange Server 2013 或 2016 Exchange Server时，请考虑以下方案： 使用证书 MMC、 Remove-ExchangecertificateIIS 管理器或其他方法从 Exchange 后端网站中删除 Microsoft Exc ......

导读 来谈一谈修复一个零日漏洞要多久。 修复一个零日漏洞要多久，有时候需要一年 之前我们 报道 过，安全研究人员发现了第一个可以绕过安全启动保护的真实世界的恶意软件，它被称之为 BlackLotus，允许在你的电脑开始加载 Windows 及其许多安全保护之前执行恶意代码。微软本周发布了一个补丁，以 ......

续订 Exchange 自签名证书 续订 Exchange 自签名证书的过程基本上相当于制作了一个新的证书。 使用 EAC 以续订 Exchange 自签名证书 打开 EAC 并导航到 “服务器>证书”。 In the Select server list, select the Exchange ......

1、检查证书过期时间 在所有控制平面节点执行： kubeadm alpha certs check-expiration #新版为 kubeadm certs check-expiration 2、更新证书 在所有控制平面节点执行： kubeadm alpha certs renew all #新版 ......

# JQuery-XSS漏洞（CVE-2020-11022/CVE-2020-11023） #### 详细描述 > 据NVD描述：在大于或等于1.2且在3.5.0之前的jQuery版本中，即使执行了消毒（sanitize）处理，也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法 ......

思维导图 利用思路 什么是文件上传漏洞? 存在文件上传的地方，就有可能存在文件上传漏洞。是否存在漏洞，需要去判断进行文件上传操作的时候的代码是否比较完整和安全，疏忽某个地方就可能造成文件上传漏洞。 文件上传漏洞有什么危害? 可以自由上传文件，例如上传一个后门文件，如果上传上去，就直接威胁到网站权限， ......

# vCenter 宕机后证书续期处理 ## 背景 ``` 最近护网, 我司被选中作为防守方 因为发现一个vCenter控制台出现异常访问, 被管理员强行断网. 因为是周六的事情,当时自己也没太在意,想着工作日添加网络就可以了. 但是周天遇到了紧急事项,要求必须尽快处理好. 但是再开放部分网络之后, ......

1. 电脑证书如何删除 出现网站安全证书有问题，主要是两种原因造成的：一种是浏览器安全设置过高导致的；还有一种是系统时间不对造成的。 解决方法一： 1、打开浏览器，点击【工具】选项，找到【Internet选项】，点击并打开。 2、在【Internet选项】中点击【安全】选项，在下方的【该区域的安全级 ......

提前说明：载止今天, AWS CloudFront 还是只支持IAM类型的证书 今天笔者主要讲述当AWS CloudFront Distribution 的SSL证书过期后，如何进行更新 1、假定已经知道某个CloudFront Distribution使用的SSL证书将要过期 2、进入CloudF ......

以下是我如何将 webshell 上传到一个旧目标中， 这是使用谷歌dorks，Js检查和文件上传过滤器绕过。 ## 过程 1、我随机选择了一个范围很大的目标开始 2、我启动了自动化脚本来发现使用的技术、domains、IP... 3、我找到了一个叫 intranet.redacted.com子域名 ......

SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】。 需编辑 nginx.conf 解决。 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod ......

问题：安装cocoapods 报SSL证书的问题，如下错误 ``` ERROR: SSL verification error at depth 2: self-signed certificate in certificate chain (19) ERROR: Root certificate ......

SCM-Manager 是一款开源的版本库管理软件，同时支持 subversion、mercurial、git 的版本库管理。该漏洞主要为攻击者利用其多个功能的描述字段的代码缺陷，构造payload进行XSS攻击。 ......

在 Windows 系统上使用 OpenSSL 和 Certbot 生成并打包浏览器认可的 SSL 证书，你可以按照以下步骤操作： 安装 OpenSSL：首先，你需要在你的 Windows 系统上安装 OpenSSL。你可以从 OpenSSL 官方网站 下载适合你系统的版本。 安装 Certbot： ......

为了保护发布到网络中的软件不被攻击、篡改，软件开发者往往会对软件进行代码签名，以保护代码免受外界的侵害，进而保护用户，让他们能够安心地使用安全可靠的软件。而根据验证类型，代码签名证书被分为两类：OV代码签名证书和EV代码签名证书。那么他们之间有什么区别呢？一起往下看看吧。 代码签名证书是什么？ 代码 ......

## 问题1： CVE-2023-29491 - Type: OS - 涉及到的包：ncurses-dev,ncurses-libs,ncurses-terminfo-base - 描述：当前系统安装的ncurses，存在漏洞，当被setuid应用程序使用时，允许本地用户通过在$HOME/中找到的终 ......

1、生成证书 lccgen license issue -o project_name.lic 2、要点 需要将源代码下的 - projects/DEFAULT 文件复制到想要生成证书的目录下 需要在目录下有一个private_key.rsa的文件在linux下可以用下面的命令生成 ssh-keyg ......

申请 Let's Encrypt 证书sudo apt install certbotsudo certbot certonly --webroot -w 网站根目录 -d 网站域名 生成 ssl_dhparamsudo openssl dhparam -out /etc/letsencrypt/s ......

近日，天翼云自研密钥管理系统（KMS）通过国家密码管理局安全性审查，符合GM/T 0051《密码设备管理 对称密钥管理技术规范》要求，获得由国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。 《商用密码产品认证证书》具有权威性及唯一性，该证书的获得标志着天翼云密钥管理系统（KMS）的合规 ......

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。 本周，我们带来的分享如下： Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的API缺陷文章 Twit ......

## 在 PowerShell 中创建测试证书并使用测试证书给程序签名 在开发和测试过程中，有时您可能需要创建测试证书并使用它来给程序进行签名。这篇博客将介绍如何在 PowerShell 中创建测试证书并使用它给程序签名的步骤。 ### 步骤 1: 打开 PowerShell 在开始菜单中搜索 "P ......

# apache漏洞 ## 未知扩展名解析漏洞 漏洞原理：Apache对文件名后缀的识别是从后往前进行的，当遇到不认识的后缀时，继续往前，直到识别 影响版本：使用module模式与php结合的所有版本,apache存在未知扩展名解析漏洞;使用fastcig模式与php结合的所有版本,apache不存 ......

1、CSRF概念和原理 跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站 ......