LiuGuobin's blog
  文章分类
日报 83 随笔 7 hexo 2 附录 4 闲聊 3 资源 2 图片 1 比赛 2
常见的端口和对应的服务 常见的端口和对应的服务
web类struts2:太多,略…… thinkphp: jboss: ganglia:CVE-2007-6465: 多个跨站脚本攻击漏洞CVE-2012-3448: 未明PHP代码执行漏洞8649端口未授权访问: 通过http协议获取相关
2023-07-12 日报
日报
DDOS攻击 DDOS攻击
DOS攻击Dos是拒绝服务式攻击。一切能引起DOS行为的攻击都被称为Dos攻击。该攻击的效果是使得计算机或网络无法提供正常的服务。 SYN洪水攻击(SYN flood)SYN洪水攻击属于DoS攻击的一种它利用TCP协议缺陷,通过发送大量的半
2023-07-11 日报
日报
邮件系统漏洞攻击 邮件系统漏洞攻击
概述漏洞攻击是危害网络安全中较为常见的一种。不同应用程序彼此之间的相互作用,如大多数程序必须与其它API相交互,保存并检索文件,同时运行在多种不同类型的设备上,都会可能产生漏洞;又如互联网通信协议—TCP和UDP,其开放性常常引来黑客的攻击
2023-07-10 日报
日报
逻辑漏洞 逻辑漏洞
概述 常见的逻辑漏洞订单任意金额修改相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数。预防思路: 订单需要多重效验 订单数值较大的时候需要人工审核验证码回传该类型漏洞一般发生在账号密码找回、账号注册、支付订单等。验证码发
2023-07-09 日报
日报
协议拓展 协议拓展
Gopher协议概述在WWW出现之前,Gopher是Internet上最主要的信息检索工具GOPHER协议是一种比HTTP协议还要古老的协议,默认工作端口70GOPHER协议可以以单个URL的形式传递POST请求,同时支持换行(能换行就有很
2023-07-08 日报
日报
SSRF服务器端请求伪造 SSRF服务器端请求伪造
概述SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞SSRF攻击的目标一般是作为跳板机访问从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到内网) 原理大都是由于服务端提供了从其他服务器应用获取数据的功能且没
2023-07-07 日报
日报
系统敏感文件路径汇总 系统敏感文件路径汇总
Windowsc:/boot.ini //查看系统版本 c:/windows/php.ini //php配置信息 c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码 c:/winnt/
2023-07-07 日报
日报
CSRF跨站点请求伪造 CSRF跨站点请求伪造
概述是社工的一种,不大流行,但如果被成功利用,危害很大。 XSS与CSRF区别XSS通过盗取网站内的已有的用户的身份,然后再执行相关操作CSRF通过伪装用户身份,通过服务器身份认证后,然后发送恶意请求虽然两者有一些区别,但是通常结合使用 原
2023-07-07 日报
日报
XSS跨站攻击 XSS跨站攻击
漏洞原理 XSS又叫CSS(Cross Site Script)是指恶意攻击者往Web页面里插入恶意Script代码 当用户浏览该页时,其中的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输
2023-04-21 日报
日报
一句话木马 一句话木马
什么是一句话木马 一句话木马是一种短小精悍的恶意代码,通常只有一行之长。 这种木马可以以上传文件、修改配置等方式将恶意代码植入到受害者服务器上 然后通过一些特殊手法在服务器端执行,以达到入侵控制目的。 常见的一句话木马我们接触的一句话
2023-04-16 日报
日报
PHP反序列化 PHP反序列化
基础概念在各类语言中,将对象的状态信息转换为可存储或可传输的过程就是序列化序列化的逆过程就是便是反序列化,主要是为了方便对象传输。为了完整安全地将对象保存到文件或数据库中,或者在网络上传输对象,就需要使用序列化。 不同类型数据序列化之后的形
2023-04-16 日报
日报
文件上传 文件上传
分类文件上传存在的漏洞一般有: 类型限制绕过:Web应用程序对上传文件的类型进行限制,黑名单或白名单方式 攻击者可通过在请求包中伪造Content-Type字段或使用特定的文件扩展名的方式绕过限制,上传恶意文件。
2023-04-14 日报
日报
3 / 7