会飞的鱼

奇乐云
首页 » 信息安全
信息安全

网站后台系统的安全漏洞都有哪些(在编写程序的时候需要注意哪些漏洞)

奇乐云 阅读(12)评论(0)

1、修改网站后台的用户名和密码及后台的默认路径。 2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。 3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。 4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。 5、尽可能不...

信息安全

常用破解软件的汇编指令

奇乐云 阅读(10)评论(0)

常用汇编指令: MOV 传送字或字节.  MOVSX 先符号扩展,再传送.  MOVZX 先零扩展,再传送.  PUSH 把字压入堆栈.  POP 把字弹出堆栈.  PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.  POPA 把DI,SI,BP,SP,BX,...

信息安全

Web渗透测试中命令执行漏洞详解

奇乐云 阅读(12)评论(0)

一,什么是命令执行漏洞:   应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造...

信息安全

构造图片木马,绕过文件内容检测上传木马

奇乐云 阅读(28)评论(0)

一般文件内容验证使用getimagesizeo函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。将一句话木马插入到一个【合法】的图片文件当中,然后用菜刀远程连接。     1、选择要上传的木马,将后缀名(.php)改成(.php.jpg),发现此文件不允许上传,服务器对上传的内容进行了检测。 ...

信息安全

【渗透测试】目录遍历漏洞

奇乐云 阅读(16)评论(0)

许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名 形如:http://www.nuanyue.com/getfile=image.jgp 当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返...

信息安全

各种解析漏洞总结

奇乐云 阅读(16)评论(0)

0x01 什么是解析漏洞? 简单的说,解析漏洞就是web容器将其他格式的文件解析为可执行脚本语言,攻击者可以利用这个特征去执行一些攻击行为。 oxo2 概述 通常会出现解析漏洞的web容器有IIS 6.0、Nginx、Apache。 0x03 IIS解析漏洞 使用IIS6.0的服务器,一般是Windows server 2003,解析语言是...

信息安全

IIS写权限漏洞————HTTP PUT 方法利用

奇乐云 阅读(16)评论(0)

该漏洞的产生原因来源于服务器配置不当造成,利用IIS PUT Scaner扫描有漏洞的iis,此漏洞主要是因为服务器开启了 webdav的组件导致的可以扫描到当前的操作,具体操作其实是通过webdav的OPTION来查询是否支持PUT。 具体的原理在这个链接里。  http://www.2cto.com/Article...

家具公司
切换注册

登录

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册