1回答
如何删除403错误
、、、
每次我尝试访问这个url http://mysite.com/somefile.php?url=http://google.com
我得到了禁止的错误,我如何能够解决这个问题使用.htaccess文件。我是在共享主机,所以我可以做它,编辑.htaccess文件和其他任何东西。请告诉我可以使用.htaccess文件实现的解决方案。
浏览 0提问于2011-07-29得票数 -1
回答已采纳
1回答
我正在编写一些纯粹的客户端jQuery (没有AJAX)。我是否应该意识到可能会无意中为客户端引入特定于jQuery的安全漏洞?
浏览 4提问于2011-08-29得票数 0
回答已采纳
有没有人知道免费的自动测试工具来测试asp.net网站的安全性、连接池等,我用了netsparker社区版,但功能非常有限。
浏览 1提问于2011-12-07得票数 1
回答已采纳
1回答
我正在为我的学士学位写论文。我正在尝试创建一个框架,使启动整个虚拟基础设施成为可能,然后将其用于模拟红色/蓝色团队的评估。我已经接近完成了,但我需要一些漏洞来实现我的方案之一。目前的环境包括4个工作站(windows 10)、1个域控制器(服务器2016)、1个文件服务器(server 2016核心)和一个邮件和web服务器(Linux)。
找到一些基本的漏洞相对容易,但我更愿意实现一些与现实世界的情况相一致的东西。你们中有谁对我能实现哪些漏洞有任何建议吗?
浏览 0提问于2019-03-15得票数 0
1回答
在最新版本上全新安装Ubuntu 20.x、npm和node。获取这些错误: npm WARN可选跳过可选依赖项: fsevents@2.1.3 (node_modules/@angular/compiler-cli/node_modules/fsevents):npm WARN notsup跳过可选依赖项:fsevents的平台不受支持@2.1.3:想要{"os":"darwin","arch":"any"} (current:{"os":"linux","arch":"
浏览 24提问于2020-08-21得票数 0
1回答
我有个关于恶意软件的问题。恶意软件通过攻击向量攻击机器。当它渗入机器时,它“释放”有效载荷。现在,假设我感染了一种病毒,它是在我不知情的情况下通过互联网网页(或者弹出或其他)下载和安装的。
因此,攻击矢量是传递方式,有效载荷是实际恶意软件。函数/方法的名称是什么,它发起病毒的转移(从网页)?
为了详细说明,根据我的理解,一个人实际上被恶意软件感染,必须有三个步骤的过程。我不知道第一步的术语。
主要指标1=?
副翼2=攻击向量
3.有效载荷
步骤1启动攻击向量。即。它检测FlashPlayer的漏洞。
恶意软件感染包括三个步骤,是吗?
浏览 0提问于2016-07-05得票数 0
回答已采纳
这个问题似乎是重复的,但下面的答案中没有一个解释了何时使用:
`http
.authorizeRequests()
.antMatchers("/h2-console/**", "/user/register/**").permitAll()`
和
`web
.ignoring()
.antMatchers("/h2-console/**", "/user/register/**")`
通过阅读StackOverflow和几篇文章,我了解到:
configure(HttpSecurit
浏览 3提问于2020-07-01得票数 5
回答已采纳
4回答
软件漏洞的名称是什么?
、、、
在web应用程序中,存在SQLi或XSS等漏洞,还有更多漏洞。我听说黑客要黑一台电脑,他们必须在一个在开放端口上运行的软件中找到一个漏洞。
软件漏洞的名称是什么,就像web应用程序有SQLi或XSS一样?什么是计算机软件的等价物,或者我可以在哪里了解它?
浏览 0提问于2020-05-04得票数 1
回答已采纳
蛮力攻击似乎是WP安装上最常见的漏洞,限制速率应该相对容易进入WP本身,作为官方默认软件的一部分(不需要安装插件)。为什么默认不包括这个基本的安全特性?
浏览 0提问于2014-11-20得票数 0
回答已采纳
我正在为我的客户构建一个自定义插件,它部分基于woocommerce,它将使用一些来自woocommerce的函数或钩子。最后,我想测试我的插件的安全性。有没有人能建议我有什么方法可以在自定义插件上运行安全测试?提前谢谢。
浏览 0提问于2015-09-16得票数 0
我有一个专用的服务器窗口服务器2016、IIS、Sql server 2018企业版和MS SQL server数据库。我使用这个服务器来托管我的dotnet核心应用程序,我通过远程桌面管理这个服务器。托管网站在服务器上安装了SSl证书。我想知道我应该应用的最佳实践是什么,以确保我的服务器以及我的托管web应用程序及其连接的SQL数据库的完全安全。此外,我还想知道是否有可信的工具可以测量我的服务器、web应用程序和SQL数据库的安全级别。
提前感谢
浏览 0提问于2020-02-04得票数 1
1回答
有一个工具或者更好的工具,一个服务器端脚本来检查您的站点是否针对SQL注入/ XSS是安全的?
我使用的是PHP。
我在谷歌上看了一下,但我要求你给我一个准确的答案,也因为我不相信在谷歌上找到的那么多东西,因为我并不是真正的专业人士。
浏览 2提问于2013-01-19得票数 0
回答已采纳
在枚举CVE的不同NVD文件中,可以找到这里。
不时有字段<vuln:security-protection>,通常包含值ALLOWS_OTHER_ACCESS或ALLOWS_ADMIN_ACCESS。
你知道这片土地代表什么吗?这意味着什么?
浏览 0提问于2014-02-17得票数 2
1回答
我正在做一个寻找桌面软件漏洞的项目。我想知道一些工具,可以用来扫描火狐浏览器,找出其中的漏洞,比如缓冲区溢出、DoS、任意代码执行等等。要么付费,要么免费工具可以更好地完成这项工作。
浏览 0提问于2016-01-10得票数 0
1回答
我正在做一个笔试项目,而且还在开始的时候,但是我面临着一个开关,只打开了80 &23个端口。如何使用这些端口攻击该交换机?
浏览 0提问于2013-07-28得票数 -9
1回答
是否对漏洞进行了分类?
众所周知,存在着许多漏洞,如SQL注入漏洞、文件上传漏洞、文件包含漏洞、XSS漏洞、SSRF漏洞、XXE漏洞、数据库泄漏漏洞等。
但我没有找到权威的漏洞分类。
谁能对它们进行权威性的分类?例如关于Operation System / Web application / Networking的分类。在Web应用程序漏洞之下,应该有XSS/SSRF/XXE...。
浏览 0提问于2020-09-09得票数 0
回答已采纳
最近我遇到了一个网站,它生成一个随机的形容词,周围环绕着一个前缀和用户输入的后缀。例如,如果用户输入前缀为"123“,后缀为"789”,则可能会生成"123Productive789“。我一直在胡闹,我想我可以尝试一下。我将此输入前缀字段:
<a href="javascript:window.close();">Click</a><hr />
果然,我得到了链接,然后是一个<hr>,然后是一个随机形容词。我想知道的是,这会不会很危险?必须有更多的网站有这个问题,他们都容易受到某种形式的php注入吗?
浏览 0提问于2012-11-27得票数 0
回答已采纳
源分析器-b ID ttt.sql (无错误)源分析器-b ID -scan -f result.fpr (无错误)
但是当我使用Fortify Audit Workbench打开result.fpr文件时,没有任何问题(无热、无警告、无信息)。我是否遗漏了源分析器命令中的任何参数?
浏览 1提问于2010-08-16得票数 1
1回答
我是工作流 (在线外线/笔记记录工具)的忠实用户,我安装了Chrome扩展程序'编码器的工作流程',它在便条中格式化文本。
我发现我的一个注释触发了Javascript (因为它是XSS (<script>document.location="http://google.com";</script>)的一个示例)。当我禁用扩展时,漏洞就停止了。
我向Workflowy和扩展创建者发送了便条,但我很好奇,谁在技术上负责?Workflowy,扩展创建者,还是Chrome?对于这个问题,我想不出一个明确的答案。
如果没有明确的答案,可能会对we
浏览 0提问于2012-08-30得票数 6
回答已采纳
我目前正在教自己计算机安全和休息。我的问题是:我或多或少了解绝对基础(tcp/ip、缓冲区溢出、xss.)但在所有这些领域,我没有完全和深刻的理解的主题。我现在教自己的方法是做军事游戏,正确地了解pwnable.kr,然后我试着在练习中阅读自己,直到我能够解决它。不幸的是,在军事游戏中,通常没有好的答案或解决方案,而且当我搜索主题时,我只是对正在发生的事情做了非常肤浅的解释。
因此,我的第一个问题是:如何深入了解常见的漏洞以及如何利用这些漏洞?
我的第二个问题是,如果一个非常非结构化的方法,我觉得我错过了重要的事情。你有什么推荐的?从“我非常了解基本知识”到“我可以把我的知识应用到游戏中,并且
浏览 0提问于2015-12-07得票数 1
回答已采纳
我在哪里可以得到电子邮件或rss通知(推送),目前新发现的安全漏洞,在任何类型的软件。
理想情况下,服务应该是免费的,它应该允许我订阅特定的主题,最好是在树状结构中,比如:web应用程序、=>博客/cms、=> wordpress、=>、wordpress插件、=>插件
非常感谢!
浏览 0提问于2012-12-26得票数 3
我正在构建一个网络应用程序。用户可以将消息插入数据库。我的尺码是8000。
我的安全措施:
数据为纯文本或
只允许使用严格子集的HTML (用XSS算法检查)
通过准备好的陈述输入
我想知道这么大的规模是否还有其他(安全)风险或我应该注意的性能问题?
浏览 3提问于2015-08-02得票数 1
回答已采纳
1回答
CSRF实现不使用OAM。
、、、、
我们的应用程序是有角度的弹簧引导。出于安全原因,我们需要实施CSRF。我们已经完成了实施,但仍被禁止403项。We确实使用OAM登录身份验证。尽管将HTTPonly设置为false,但在浏览器中,我们发现它不是假的.我们可以很好地看到记号。
HttpClientXsrfModule.withOptions({cookieName: 'XSRF-TOKEN', headerName: 'XSRF-TOKEN'})
这是角前部的代码。
我们已经在后端实现了以下代码: Configuration类:
http
.httpBasic()
.and()
.cs
浏览 4提问于2020-08-19得票数 0
我正在学习web应用程序安全测试,特别是XSS。有这么多web应用程序,我想知道哪个最容易设置/配置,哪个最容易学习XSS,以及InfoSec社区更喜欢哪个应用程序?提前感谢
浏览 0提问于2017-06-13得票数 0
1回答
我们目前正在将我们的网站注册,查看日志,我们设置的cookie (我们的allowCookies cookie)的值被设置为http%3a%2f%2fawebsite.net%2ff517a2bc19bdff66d7c64e8a7ad2f043.txt。该文本文件包含字符串3ac3bbfe0cb16c0ff90fc0c0fcb21764。
这会利用什么样的漏洞呢?
浏览 0提问于2014-10-06得票数 5
回答已采纳
1回答
这是什么类型的攻击URL?
、、、、
我用自己的自定义PHP代码建立了一个网站。看起来像乌克兰这样的地方的人正在试图破解它。他们正在尝试一系列奇怪的访问,似乎是为了检测我有哪些PHP文件。
例如,他们发现我有名为mail.php和sendmail.php的PHP文件。他们尝试了很多选择,比如:
http://mydomain.com/index.php?do=/user/register/
http://mydomain.com/index.php?app=core&module=global§ion=login
http://mydomain.com/index.php?act=Login&
浏览 0提问于2012-11-03得票数 2
1回答
我们拥有的安全设备之一报告了它在网络上检测到的威胁的所谓“行业名称”。我想知道是否真的有这样一个标准,我在哪里可以找到有关特定威胁的信息与给定的行业名称?
浏览 0提问于2014-01-30得票数 0
我读过这个关于DLINK无线路由器漏洞研究的优秀文章。研究者清楚地解释了导致漏洞的编码错误。显然,他反向设计了在设备上运行的二进制代码,但跳过了如何获得代码的一步:
登录操作通过URI /apply_sec.cgi执行。快速搜索发现,apply_sec.cgi代码位于/www/cgi/ssi二进制文件中的函数do_ssc (0x40a210)。
获取这些二进制文件(即固件)的一些方法是什么?我一直在学习如何使用Ghidra。查看来自路由器的易受攻击的二进制文件将是一个很好的学习练习。
浏览 0提问于2019-10-09得票数 0
在google analytics报告中,我看到很多页面视图在查询字符串中添加了以下javascript代码。就是有人试图对我的网站做恶意的事情。
www.mywebsite.com/?constructor.prototype.protossbb=bountyplz
www.mywebsite.com/?__proto__.protossbb=bountyplz
www.mywebsite.com/?__proto__[protossbb]=bountyplz
www.mywebsite.com/?constructor[prototype][protossbb]=bountyplz
浏览 0提问于2021-04-04得票数 0
1回答
我的网站上有很多请求,如下所示:
example.com/page/no-text-1154169030774935240
这是黑客企图还是搜索引擎?
编辑:我的问题是关于请求。末尾的字符串用于标识符,该标识符将加载适当的页。有人或什么东西正在传递非文本-0-9字符串。我想知道它是黑客企图还是搜索引擎试图索引该网站?
谢谢
浏览 0提问于2011-08-03得票数 0
Rails企业应用程序应该有哪些安全措施?
以下是一些安全措施的示例:
管理区域已通过身份验证,IP受到限制
没有用户添加CSS,因为一些旧浏览器可以在CSS中运行JavaScript。
数据库中的用户信息应该加密吗?
浏览 0提问于2011-08-13得票数 1
回答已采纳
我的理解是,systemd是在Linux上运行的所有其他进程的父进程。
如果在生产设备(如服务器)上更新了systemd,并且服务没有重新启动,那么安全含义是什么?
systemd要发出必须重新启动的信号的常见攻击向量是什么?
关于systemctl守护进程-reexec的文章建议,包更新已经执行重新启动systemd。
这意味着不需要重新启动systemd,即使下面的输出显示它已经更新并且可能正在使用已删除的文件。
PID | PPID | UID | User | Command | Service | Files
浏览 0提问于2019-02-01得票数 0
回答已采纳
我遇到过很多人,他们不相信防病毒解决方案,也不修补或更新他们的操作系统和应用程序。“我从不访问不可靠的网站”,“我只使用互联网阅读电子邮件”“我不傻,我可以区分哪些邮件是假的,哪些不是。”你知道我的意思。
我需要向他们证明他们是脆弱的,不会造成伤害。有什么方法或脚本可以让他们知道他们有多天真吗?一个脚本可以通过下载完成一个驱动程序,从而触发一个“您已被清除”的脚本,它将完成这个任务。
浏览 0提问于2015-10-11得票数 1
我在java8和Tomcat8.5中运行了一个应用程序。我正在针对它运行测试,我认为存在内存泄漏,就好像我运行了一系列帖子(REST调用,将数据推送到db),我得到了一个'java.lang.OutOfMemoryError: GC开销限制超过‘的错误。目前,我几乎正在使用所有的默认设置。我正在做的帖子并不是很大,我在每个帖子之间留下了3秒钟的差距。
我注意到默认的Tomcat内存大小非常小(开始时为126,最大为252)。当我使用j控制台连接时,它显示'PS老世代‘几乎一直都是最大的,幸存者空间移动不多,伊甸园空间上下移动,但在错误出现之前达到99%/100%。如果我使用to
浏览 0提问于2019-04-02得票数 0
回答已采纳
2回答
是否有可能让数据包嗅探器通过特殊形式的数据包来阻止网站管理员追踪源?如果可能的话,以前做过吗?或者,没有人试图这样做,难道不是一种有效的攻击方法吗?
我知道大量的数据包会导致数据包嗅探器崩溃,但这并不能阻止坚定的管理员从攻击中找到第一个数据包。
浏览 0提问于2016-03-17得票数 5
回答已采纳
1回答
寻找一个公式和参数来填充它,当系统中的漏洞的来源和原因未知时,该公式和参数将有助于系统内关系的隔离。下面是一个未知向量(S)的攻击示例,但对攻击的发生有一种认识:确认我已经完全删除了一个WordPress黑客?
浏览 0提问于2011-06-10得票数 5
回答已采纳
1回答
我正在尝试寻找MySQL页面中的安全漏洞。这是一个学习SQL的班级的作业。通过文本框,他们将被授予访问数据库的权限,以提交查询,并查看它是否返回正确的数据集。我想知道他们有没有什么恶意的行为。
这是SHOW GRANTS查询的结果:
Grants for user@localhost
GRANT USAGE ON *.* TO 'user'@'localhost' IDENTIFIED BY PASSWORD 'the password'
GRANT SELECT ON `server\_dir`.* TO 'user'@'
浏览 2提问于2010-03-02得票数 2
我很惊讶地看到,即使在命令行中没有明确提供这样的标志,gcc也会强制代码保持位置独立。
我怀疑这可能与Android的动态加载器的某些期望有关(例如,对重定位类型的期望,以及将代码放在任何它想要的地方的自由),但我不确定。
有人能解释一下为什么会这样吗?
$ arm-linux-androideabi-gcc --version | grep GCC
arm-linux-androideabi-gcc (GCC) 4.4.3
$ arm-linux-androideabi-gcc -v -S main.c |& grep fpic
/home1/local64/android-to
浏览 1提问于2013-02-21得票数 3
回答已采纳
Firefox的最新1 1Password浏览器更新包括插件和浏览器本身之间的授权。这在供应商网站上有记录:https://support.1password.com/browser-authorization/。
这能减轻什么威胁?
浏览 0提问于2016-11-23得票数 1
最近,我一直在学习rootkit,并注意到内核域rootkit为了执行恶意操作而使用的hooking技术。
其中,典型的挂钩操作是连接到合法的系统调用,然后先用恶意操作替换合法操作,然后才能真正调用合法操作。
但是如果是这样的话,为什么不让系统调用表从一开始就不可修改呢?
浏览 0提问于2019-05-28得票数 34
回答已采纳
哪些漏洞很常见,足以成为CVE?它是否只与“申请”S有关,或者网站也被接受?一个不受欢迎的网站(或本地服务)中的漏洞是否足够普遍?
浏览 0提问于2013-04-02得票数 10
回答已采纳
我有一个表单,标签上标有自动完成=‘cc-exp月’和自动完成=‘cc-exp-年’。Chrome会自动填充它们,但是safari不会填充它们。chrome和safari都填写了标记为autocomplete='cc-number‘的相同表单上的输入。将标记自动完成标记更改为更通用的'cc-exp‘似乎对Safari的这两个字段都没有帮助。有人知道如何让Safari填写到期日期的月份和年份吗?
浏览 5提问于2014-04-10得票数 3
我正在寻找关于一般/常见IT漏洞(一般信息)的更新和全面指南。
我不希望你为我做这份工作,我只是想指出我的正确方向:一本书或网站的推荐将是很棒的。
谷歌搜索引擎提供了丰富的信息,但我不知道什么信息是有价值的。
浏览 0提问于2010-11-19得票数 23
回答已采纳
1回答
我希望在Thymeleaf中编码字符串或任何原语值,并在服务器(主要是路径变量或隐藏字段)上解码相同的值。事实上,出于安全原因,我想要这个。
努力
<a th:href="@{/administrator/{id}edit/(id=${data.id})}" class="instructionbt">Edit</a>
这是一个编辑数据的简单链接,可以在url中看到如下所示:
localhost:8080/testapp/administrator/1/edit
但我想要的是
localhost:8080/testapp/administ
浏览 1提问于2017-06-15得票数 0
3回答
我听说黑客入侵计算机的主要端口是端口80和端口443。他们如何做到这一点,虽然端口80和端口443不只是针对HTTP请求,如GET,POST?
浏览 0提问于2020-04-14得票数 -1
回答已采纳
我和普列斯克一起经营Ubuntu。注意到一些可疑数据后,我开始记录所有查询。几个小时后..。看起来有人创建了一个数据库,并试图在mysql.user表中插入一个新用户。
从那以后,我为Plesk创建了新的密码,并更新了Plesk。我在Plesk更新中注意到,他们修复了一个安全问题。也许这就是有人进来的原因?
我希望我只是有点偏执
750 Connect admin@localhost on
750 Query SELECT VERSION()
748 Query select `name`,`version` from Components
750
浏览 0提问于2012-04-25得票数 0
撇开沙箱和AV不谈,如果我想手动查看/监视我的系统,查看它们通常进入的位置,我在哪里可以查找可能的恶意Java病毒/活动,例如,它们会首先显示在任务管理器或临时文件中吗?
有什么工具吗?
浏览 0提问于2012-12-16得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
