漏洞 证书cnvd
漏洞
jmp esp 跳板 可以适应shellcode的内存地址动态的变化 windows中系统dll,比如kernel32,user32基本上在每一个进程中的地址都相同,但下次开机就不同了 所以我们在user32中找一个jmp esp指令,jmp esp对应的指令是0xFFE4 OD有一个插件,Olly ......
Kubernetes 证书详解
## K8S **证书介绍** 在 Kube-apiserver 中提供了很多认证方式,其中最常用的就是 TLS 认证,当然也有 BootstrapToken,BasicAuth 认证等,只要有一个认证通过,那么 Kube-apiserver 即认为认证通过。下面就主要讲解 TLS 认证。 如果你是 ......
web安全之XSS漏洞
原理 未对用户提交的数据(嵌入的恶意js代码)进行过滤处理,使用户被动访问黑客服务器并传输cookie。造成盗取账户、页面挂马、非法转账等危害。特性:不是对服务器的攻击,是对客户端浏览器的攻击,即前端攻击。浏览即中招,又叫做页面挂马。 分类 反射型XSS:常见于搜索框处,将恶意脚本执行后形成的链接制 ......
web安全之SQL注入漏洞
SQL注入 原理:用户能控制输入的内容;Web应用把用户输入的内容带入到数据库中执行。 分类:依据注入点参数类型分类:数字型注入、字符型注入、搜索型注入 依据获取信息的方式分类:union注入、布尔盲注、时间盲注、报错注入、堆叠查询注入 依据请求方式分类:GET注入、POST注入、Cookie注入、 ......
文件上传与文件包含漏洞
文件上传 原理:对上传的文件未进行过滤,或者过滤不严,导致恶意文件被成功上传到网站。 防御:代码加强、WAF拦截、webshell查杀、正则搜索网站目录是否存在eval等敏感字段。 前端JS绕过 更改前端限制 burp抓包 MIME绕过 漏洞利用 文件头欺骗 gif89a <% eval reque ......
使用一个开源软件,可以制作本地可信证书(用于开发)
使用一个开源软件,可以制作本地可信证书(用于开发) https://github.com/FiloSottile/mkcert 在 Windows 上,使用Chocolatey的命令安装: ``` choco install mkcert ``` 安装后,执行命令,即可在浏览器中创建根证书,在当前目 ......
《MS17-010(永恒之蓝)—漏洞复现及防范》
> 作者: susususuao 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 ## 一. 什么是永恒之蓝? **- 永恒之蓝** 永恒之蓝(Eternal Blue)是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。而SMB服务 ......
多种数据库注入复线-墨者学院SQL手工注入漏洞测试(Access数据库)
SQL手工注入漏洞测试(Access数据库)1. 判断注入点数字型报错,发现注入点 开注2. 用order by获取列数在5时报错,判断为4列联合查询用递增的数字判断占位,发现无法回显题目给了是access数据库,access数据库的SQL手工注入,在联合语句显示可显字段时,必须要from 表名因此 ......
多种数据库注入复线-墨者学院SQL手工注入漏洞测试(Oracle数据库)
SQL手工注入漏洞测试(Oracle数据库)1. 判断注入点判断注入类型为数字型2. 用order by获取列数2时正常,3时报错,得到列数为23. 联合查询获取占位符常规联合查询报错这是由于oracle数据库语法十分严格,在后面需要指定数据表和准确的字符类型我们使用dual表,dual 是orac ......
[PHP](MD5、sha1)比较漏洞
# PhP (MD5、sha1)比较漏洞(弱比较、强比较、强碰撞) ## 弱比较 md5和sha1弱比较都是利用php解析哈希值以“0E”开头的特性,结果都为0符合参数1的字符串值和参数2的字符串值不相等,但md5值相等。 如:240610708,aabg7XSs,aabC9RqS,s8789261 ......
域名证书合并顺序
## 证书合并顺序 ``` 根证书文件: CACertificate-ROOT-2.cer 中级证书文件: CACertificate-INTERMEDIATE-1.cer 域名证书文件 ServerCertificate.cer 如果部署在Apache服务器上需要按照:中级证书 根证书的顺序合并证 ......
linux下安装letscertbot生成域名证书
# linux下安装letscertbot生成域名证书 ## 1.下载安装 certbot - certbot官网: https://certbot.eff.org/docs/install.html ### 1.1.使用 snap 方式安装certbot - 20200825 官方推荐,兼容性好, ......
Kubernetes证书有效期
### go 环境部署 ``` wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz tar -zxvf go1.12.1.linux-amd64.tar.gz -C /usr/local vi /etc/profile export P ......
mac 安装charles 证书
https://blog.csdn.net/ahualong1/article/details/127566871 1. step 1: 可能会报错: The “System Roots” keychain cannot be modified. To change whether a root c ......
Nessus漏洞扫描教程
Nessus漏洞扫描教程之安装Nessus工具 Nessus基础知识 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏 ......
喜讯!热烈祝贺安科瑞DJSF1352-RN/D直流电能表取得UL证书
安科瑞虞佳豪 UL认证是由美国安全实验室(Underwriters Laboratories)提供的安全性认证服务。UL认证虽然不是强制的,但它是北美市场的保证,有UL标志的产品具有很高的市场认可度。 2安科瑞导轨式直流电能表 安科瑞导轨式直流电能表DJSF1352-RN/D,已通过UL认证(认证号 ......
北京东用科技有限公司荣获中关村高新技术企业证书,锦上添花,双高新身份引领行业未来
我们非常荣幸地宣布,北京东用科技有限公司于2023年荣获中关村高新技术企业证书,此殊荣不仅是对我们持续创新和卓越成就的高度认可,更是我们在技术领域迈向更高峰的里程碑。 中关村高新技术企业证书是中国科技创新领域的重要认证,也是企业技术实力和创新能力的重要象征。荣获这一殊荣,标志着我们在技术研发、市场拓 ......
BurpSuite证书安装
### 一、要拦截HTTPS的请求就必须安装SSL证书 ### 二、BurpSuite设置proxy代理  ......
Let’s Encrypted:一键申请SSL证书脚本
wget https://raw.githubusercontent.com/nanqinlang-script/acme/master/acme_2.0.sh bash acme_2.0.sh 使用说明 输入你的域名 选择要生成证书的类型。输入数字 0(生成 RSA 类型) 或 1(生成 ECC ......
6、CSRF漏洞管理
一、CSRF概念 答:全称是Cross-site request forgery,跨站请求伪造,我们可以理解未这种漏洞为攻击者利用被攻击者的身份发起了某些被攻击者原本不知情的网络请求,包括以被攻击者的身份发布微博,留言等。CSRF能够发邮件,发消息,盗取账户,购买商品,虚拟货币转账等。 二、CSRF ......
针对springboot actuator未授权访问漏洞的解决办法
https://blog.csdn.net/gl19980514/article/details/126122940?spm=1001.2101.3001.6650.5&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBl ......
nacos认证漏洞问题
按照官方提示开启了鉴权 server.tomcat.accesslog.enabled=false nacos.core.auth.enabled=true nacos.core.auth.plugin.nacos.token.secret.key=巴拉巴拉小魔仙 nacos.core.auth.s ......
5、请求伪造漏洞
请求伪造漏洞:SSRF(服务器端请求伪造)、CSRF(跨站请求伪造) 一、SSRF漏洞概念: 攻击者构造形成由服务器端发起请求的一个安全漏洞,攻击目标是从外网无法访问的内部系统,可以对内外网或者本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306),使用file:///协议读取本地 ......
端口-协议-漏洞
## 计算机网络七层模型中对应的协议 >应用层:用户接口(FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS、SNMP) 表示层:定义数据格式(JPEG、ASCLL、GIF、DES、MPEG) 会话层:定义了开始、控制、结束一个会谈(RPC、SQL、NFS) 传输层:差错恢复、数据包的 ......
证书格式转换 pkcs12 和 pem 转换
elasticsearch默认使用的证书格式是PFX格式或者叫pkcs12 PFX 格式:又称为 PKCS#12 格式,是一种包含了公钥、私钥及证书链的证书格式。通常需要输入密码才能使用。常用于 IIS 服务器和 Windows 平台 **PFX转换为PEM格式** ``` openssl pkcs ......
i春秋云镜 CVE-2022-28512 漏洞复现笔记
sqlmap工具注入 python sqlmap.py -u"http://eci-2zeeam96einfrib3wg1g.cloudeci1.ichunqiu.com/single.php?id=4" --batch --current-db -p"id" 得到库名[13:53:03] [INF ......
一文读懂面试官都在问的Fastjson漏洞
Fastjson1.2.24-RCE漏洞 漏洞简介 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字 ......
WEB漏洞—简要SQL注入
前言:在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。 SQL注入安全测试中危害:危害数据和网站权 ......