sudo漏洞 主机sudo1
AngularJs 安全漏洞
Angular 框架那些著名的安全漏洞 某个项目使用了AngularJs1.4.14,,客户说有安全漏洞,需要升级 https://code.angularjs.org/ 升级到最新版 ......
CentOS 操作系统中修改主机名(hostname)
使用命令行: 打开终端。 使用 hostnamectl 命令可以直接修改主机名。例如,如果您想将主机名更改为 mynewhostname,您可以使用以下命令: sudo hostnamectl set-hostname mynewhostname 这个命令会立即更改主机名,但为了让更改在重启后依然有 ......
嵌入式linux主机通过分区镜像生成固件,DD备份分区后打包成固件,px30刷机教程 ,rockchip刷机教程
我这边有一个工控路由器因为刷机变砖了,网上下载不到固件,自己暂时还没有搞过编译。我找到了同型号的路由器,把它的系统制作成镜像。 具体操作分为三步: 第一步,直接用DD命令备份了几个分区,分区我暂时还不知道,直接用分区编号命名: dd if=/dev/mmcblk1p1 of=/media/usb0/ ......
安全防护-漏洞扫描
针对企业内部的IT财物进行缝隙扫描以辨认可能使企业面对网络要挟的安全缝隙,以 高性价比的价格提供全面掩盖性的服务包括 (现场/长途) 扫描 (内网/外网)财物财物服务。产品优势:1、缝隙办理渠道支撑的财物类型多 | 掩盖面最广 | 最全的缝隙库 | 监管机构认可度最高,Tenable.SC 是业界公 ......
使用主机名ping通网络
修改主机名称hostname:查看主机名vim /etc/hostname,使用vim编辑器进入该文件下可进行修改,需要重启hostnamectl set-hostname hadoop100(需要改的主机名) 使用主机名ping通网络修改linux的主机映射文件(host文件)1.vim /etc ......
linux服务器主机巡检:
脚本: [root@mongodb files]# cat xuncheck.sh #!/bin/bash# 获取服务器基本信息hostname=$(hostname)ip_address=$(hostname -I | awk '{print $1}')os=$(lsb_release -ds)k ......
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致 ......
ThinkPHP 2.x 任意代码执行漏洞
ThinkPHP 2.x 任意代码执行漏洞 ThinkPHP 2.x 版本中,使用preg_replace的/e模式匹配路由: $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', impl ......
建立两台linux主机的ssh信任,实现ssh免密登录远程服务器
1、介绍 假设我们现在有AB两个服务器,要求A能够远程登录到B服务。 CentOS版本:CentOS Linux release 7.6.1810 (Core) 2、实操 1、先在A服务上输入以下命令生成秘钥,如下图所示 ssh-keygen -t rsa 2、复制A服务器上的公钥【id_rsa.p ......
amazon-redshift-jdbc-driver 任意代码执行漏洞
漏洞简介 amazon-redshift-jdbc-driver 2.1.0.7及更低版本中存在潜在的远程命令执行问题。当插件与驱动程序一起使用时,它会根据通过sslhostnameverifier、socketFactory、sslfactory和sslpasswordcallback连接属性提供 ......
【漏洞复现】蓝凌OA sysUiComponent 任意文件上传漏洞
阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 产品介绍 EK ......
WEB安全漏洞扫描及其审计
一. 实验目的 (1)掌握网络漏洞扫描的原理和方法 (2)复习Nmap的使用命令和kali的使用 (3)学习开源扫描工具Nikto的使用 二. 实验环境 Windows7虚拟机一台,kali虚拟机一台 三. 实验工具 VMWare、PHPStudy、Nilto、Nmap 四. 实验步骤 (1)在靶机 ......
关于 ABAP OPEN SQL 注入漏洞的防御
SQL 注入是一种代码注入技术,攻击者通过在查询中注入恶意 SQL 代码,以此改变查询的原始意图。这可能导致未授权的数据访问、数据篡改、甚至数据丢失。 在 SAP ABAP 中,SQL 注入的风险主要来自于动态构造的 SQL 语句。ABAP 提供了 Open SQL 和 Native SQL 两种方 ......
近期 OpenAI 惊现 ChatGPT 3.5 用户可以越权使用 ChatGPT 4 的漏洞
ChatGPT 4.0 每个月 20 美元的订阅费用,让不少想尝试的朋友们有点犹豫不决。 昨晚(2023年11月16日)睡觉之前我刷到这样一条新闻,ChatGPT 3.5 的用户,可以通过 url 里拼接参数的方式,直接使用 ChatGPT Gizmo 模型。 看具体的效果吧。下面部分截图,来自掘金 ......
API成批分配漏洞介绍
API成批分配漏洞介绍API 特定:可利用性 2 利用通常需要了解业务逻辑、对象关系和 API 结构。 在 API 中利用批量分配更容易,因为按照设计,它们公开了应用程序的底层实现以及属性名称。安全弱点: 现代框架鼓励开发人员使用自动将客户端输入绑定到代码变量和内部对象的函数。 攻击者可以使用这种方 ......
4599元 铭凡推出NAG6迷你主机:12代i9+RX 6600M
铭凡推出了新款迷你主机NAG6,首发价4599元。 据了解,新款迷你主机的处理器采用的是i9-12900H,14核心20线程、24MBL3缓存,最高睿频达5.0GHz。 不仅如此,新款迷你主机内置RX 6600M独显,RDNA2架构,1792个流处理器,频率2177-2416MHz,显存8GB GD ......
虚拟主机
1、基于IP的虚拟主机 主配置文件,需要加include vim nginx.conf [root@mylinux1 conf.d]# cat /etc/nginx/nginx.conf user nginx;#worker_processes auto;worker_processes 2;wo ......
谨防利用Redis未授权访问漏洞入侵服务器
说明: Redis是一个开源的,由C语言编写的高性能NoSQL数据库,因其高性能、可扩展、兼容性强,被各大小互联网公司或个人作为内存型存储组件使用。 但是其中有小部分公司或个人开发者,为了方便调试或忽略了安全风险,没有设置密码并直接对外开放了6379端口,那么这就是一个危险的行为。 漏洞成因: 未对 ......
JeecgBoot3.5 漏洞升级 — 快速文档
近几年来,黑客攻击行为呈现出日益复杂和隐蔽的趋势,对个人和组织的安全造成了严重威胁。黑客们不断寻找新的漏洞和安全漏洞,利用各种手段进行网络攻击,包括恶意软件、网络钓鱼、勒索软件等。因此,我们每个人都需要关注漏洞风险,加强网络安全意识,及时更新系统补丁。目前有网友反馈受到攻击勒索,虽然我们的商业客户并 ......
JeecgBoot3.0 漏洞升级 — 快速文档
近几年来,黑客攻击行为呈现出日益复杂和隐蔽的趋势,对个人和组织的安全造成了严重威胁。黑客们不断寻找新的漏洞和安全漏洞,利用各种手段进行网络攻击,包括恶意软件、网络钓鱼、勒索软件等。因此,我们每个人都需要关注漏洞风险,加强网络安全意识,及时更新系统补丁。目前有网友反馈受到攻击勒索,虽然我们的商业客户并 ......
vmware配置ubuntu20.04虚拟机,同时配置桥接网络共享主机的物理网络
1. 在vm中配置网络 在vm编辑菜单中选择虚拟网络编辑器 选择高级权限进行编辑,编辑桥接模式: 在桥接模式中选择宿主机的物理网卡。本操作出现的问题是,容易识别不出物理网卡。 win+r services.msc 进入服务启动管理。重启vm服务。 重启虚拟机 进入ubuntu系统之后,通过ifcon ......
nginx-通过配置不同的虚拟主机实现,不同的uri访问不同资源
先来一个配置 再来另外一个 这两个地址对应的域名都配置解析了,并且解析的ipv4地址是你的服务器ip,且上面配置文件中的内容都在服务器做了相应的配置,对应的路径下的资源是需要准备好的(比如网站或图片或静态html) 这些都设置好了以后就可以生效了 ......
防止XSS(跨站脚本攻击)漏洞
点击查看代码 - 输入验证和过滤:对于用户输入的数据,进行严格的验证和过滤。可以使用正则表达式或其他验证方式,确保输入的数据符合预期的格式和内容。同时,对于特殊字符进行转义处理,防止恶意代码的注入。 - 输出编码:在将用户输入的内容输出到页面上时,进行正确的编码处理。使用合适的编码函数将特殊字符进行 ......
Java模版引擎注入(SSTI)漏洞研究
一、FreeMarker模板注入安全风险 0x1:FreeMarker简介 FreeMarker 是一款Java语言编写的模板引擎,它是一种基于模板和程序动态生成的数据,动态生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员 ......
Confluence 未授权漏洞分析(CVE-2023-22515)
Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center Server 权限提升漏洞。攻击者可构造恶意请求创建管理员,从而登录系统,造成敏感信息... ......
SRC漏洞挖掘的一点小引导
SRC漏洞挖掘 第一阶段:具有python等编程基础 菜鸟教程学习语法: https://www.runoob.com/python/python-tutorial.html Python编程基础: https://www.icourse163.org/course/NKU-1205696807 第 ......
等保测评之主机测评——Centos7
目录 基础信息收集(一)身份鉴别 (二)访问控制 (三)安全审计 (四)入侵防范(五)恶意代码防范(六)可信验证(七)数据完整性(八)数据保密性(九)数据备份恢复 (十)剩余信息保护 命令合集 在测评过程中最为常见的是三级系统,所以本文按照三级等保标准进行测评。 本文中出现的测评截图均为博主搭建的测 ......
Apache Spark 认证绕过漏洞(CVE-2020-9480)研究
一、Apache Spark简介 Spark是一种快速、通用、可扩展的大数据分析引擎,2009年诞生于加州大学伯克利分校AMPLab,2010年开源,2013年6月成为Apache孵化项目,2014年2月成为Apache顶级项目。项目是用Scala进行编写。 目前,Spark生态系统已经发展成为一个 ......
免密登录远程主机(Linux)
Windows(本地): 生成公钥和私钥: ssh-keygen -t rsa 一直回车,默认就行了. 文件会生成在用户目录的下的.ssh文件夹中,公钥和私钥分别为:id_rsa.pub 和 id_rsa Linux(远端): 在当前用户home目录的下的.ssh文件夹(如不存在则需自己创建)中,创 ......