第48页-web服务器安全_网站安全防护教程-php中文网

当前位置：首页 > 技术文章 > 运维 > 安全

方向：: 全部 web3.0 后端开发 web前端数据库运维开发工具 php框架微信小程序常见问题其他科技 CMS教程 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体

展开

分类：: phpstudy windows运维 Mac OS linux运维 Apache Nginx CentOS Docker 安全 LVS vagrant debian zabbix kubernetes ssh fabric

展开

如何进行IPsec配置说明

实验配置步骤:第一阶段:iaskmpSA（IKESA要保护的对象是与密钥有关的）IKE并不直接关心用户的数据，并且IKESA是为安全协商IPSecSA服务的1、共享密钥或数字证书IKE采用了Diffie-Hellman算法、密钥通过对等体推算出自己的密钥group1密钥长度为768bitgroup2密钥长度为1024bitgroup5密钥长度为1536bit用于数据加密的密钥的值是靠算法计算出来的，是不能由管理员定义和修改的2、验证邻居（建立邻居）第二阶段:IPsecSA（用户的数据流量真正是在

安全 . 运维 3907 2023-05-12 14:13:13
MaxCompute访问控制整体架构是怎样的

基本术语project：项目空间，MaxCompute提供给用户自助管理的基本单元。访问控制：检查一个请求是否可信并合法。ACL：访问控制列表，一种授权的表达方式。Policy：基于规则的一种授权表达方式。Role：权限的集合，用于实现基于角色的权限管理方式。LabelSecurity：基于标签的访问控制，用于实现列级别的权限管理。ProjectProtection：项目空间保护，用于开启数据流向访问控制。TruestedProject：信任的项目空间，用于项目空间数据流向访问控制授权。Exce

安全 . 运维 1400 2023-05-12 13:22:06
VLAN帧格式指的是什么

Type/TPID：取值为0x8100时表示802.1QTag帧；该字段又称为“TPID(TagProtocolIdentifier，标签协议标识)”PRI：表示帧的优先级，取值范围为0～7，值越大优先级越高CFI：CanonicalFormatIndicator经典格式指示符，表示MAC地址是否是经典格式，CFI为0说明是标准格式，CFI为1表示为非标准格式，以太网的CFI值为0VID：可配置的VLANID取值范围为1～4094。0和4095协议中规定为保留的VLANID

安全 . 运维 2982 2023-05-12 12:52:22
sqlmap _dns注入配置方法是什么

网上针对sqlmap进行dns注入的相关文章太少，只是简单介绍了下--dns-domain参数，相关的实战文章要么就写的模糊或者一笔带过，搞的云里雾里（主要是菜，关键还没大佬带）。然后自己参考网上的方法自己重新搞了一遍。需要准备的东西，sqlmap、windows盲注一个、两个域名、一台外网服务器。某次搞事情的时候碰到一个时间盲注，碰巧是台windows的，想起dns注入的方法。在开始前我准备先用sqlmap的--sql-shell命令进行dns注入payload的测试先到burpsuite中的

安全 . 运维 1392 2023-05-12 12:25:06
如何实现sqlmap time-based inject的分析

1.前言sql注入如何检测的？我的回答是：在甲方做安全，sql注入检测还是比较好做的。1)报错注入检测。2)别做bool的报错注入，误报比较高。3)做基于time-based的时间注入，联系运维做上慢日志db记录，监控sleep，benchmark的关键字监控，可以在sleep的时间小数点上加上扫描任务的id号，方便定位。(p.s.这种方法能找到99%的sql注入了)因此，在做基于time-based的时间注入时，我把时间误差限制的非常苛刻。但是，@chengable在乙方做安全相关工作，基于t

安全 . 运维 817 2023-05-12 12:10:06
由追踪溯源发现的不安全解压GetShell实例分析

近日我们帮助某客户追踪溯源一例入侵事件时，发现黑客在获取服务器权限之前利用网站的「ZIP解压功能」上传了Webshell。由于此次的漏送利用方式在「攻击载荷的构造」与「实际解压路径」方面较有代表性，并且业界对「不安全解压」漏洞的关注度仍不够。因此我们编写了这篇报告，在报告中讲解了入侵溯源与漏洞发现的过程，并从安全开发和安全狗产品防护方案两个维度提出了一些安全建议，希望对行业有所补益。值得注意的是，虽然该CMS已经做了相关防御配置，若在CMS的根目录下直接写入JSP文件是无法执行的，会报403错误

安全 . 运维 1056 2023-05-12 11:19:11
怎样进行Apache的配置

Apache的配置由httpd.conf文件配置，因此下面的配置指令都是在httpd.conf文件中修改。主站点的配置(基本配置)(1)基本配置:ServerRoot"/mnt/software/apache2"#你的apache软件安装的位置。其它指定的目录如果没有指定绝对路径，则目录是相对于该目录。PidFilelogs/httpd.pid#第一个httpd进程(所有其他进程的父进程)的进程号文件位置。Listen80#服务器监听的端口号。ServerNamewww.cl

安全 . 运维 1136 2023-05-12 11:13:19
以太网采用的基本拓扑结构是什么

以太网的拓扑结构是“总线型”；以太网采用的拓扑结构基本是总线型，总线拓扑使用单根电缆干线作为公共传输介质，通过相应的硬件接口和电缆将网络中的所有计算机直接连接到共享总线；总线拓扑需要确保最终发送数据时没有冲突。以太网的拓扑结构是什么？以太网的拓扑结构是“总线型”。以太网采用的拓扑结构基本是总线型，总线拓扑使用单根电缆干线作为公共传输介质，通过相应的硬件接口和电缆将网络中的所有计算机直接连接到共享总线；总线拓扑需要确保最终发送数据时没有冲突。以太网是现实世界中最普遍的一种计算机网络。以太网有两类：

安全 . 运维 3421 2023-05-12 10:52:12
如何进行crawlergo、rad、burpsuite和awvs爬虫的对比

前言最近在写代码，涉及了web爬取链接的方面，在百度过程中了解到了这篇文章：superSpider,突然就好奇平时常见的爬虫工具和扫描器里的爬虫模块能力如何，所以来测试下。主要测试1个自己手写的瞎眼爬虫，还有crawlergo、rad、burpsuiteprov202012、awvs2019一手写的基准爬虫只抓取a标签下的href和script标签下的src；fromurllib.parseimporturlparse,urljoinfrombs4importBeautifulSoupimpor

安全 . 运维 1512 2023-05-12 10:49:13
如何使用exp进行SQL报错注入

0x01前言概述小编又在MySQL中发现了一个Double型数据溢出。当我们拿到MySQL里的函数时，小编比较感兴趣的是其中的数学函数，它们也应该包含一些数据类型来保存数值。所以小编就跑去测试看哪些函数会出现溢出错误。然后小编发现，当传递一个大于709的值时，函数exp()就会引起一个溢出错误。mysql>selectexp(709);+-----------------------+|exp(709)|+-----------------------+|8.218407461554972

安全 . 运维 1790 2023-05-12 10:16:12
未启用dhcp指的是什么

未启用dhcp的意思是指电脑未设置IP地址自动获取，造成上网错误，其解决办法：1、按组合键“win+r”打开运行窗口，输入“services.msc”并回车；2、在调出服务窗口后，找到“DHCPClient”服务并双击将其打开；3、打开dhcp服务后，将其启用类型改为自动，服务状态改为已启动，然后按确定保存设置即可。未启用dhcp什么意思？意思是电脑未设置IP地址自动获取，造成上网错误。DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可

安全 . 运维 12816 2023-05-12 10:16:05
如何分析绕过Tumblr用户注册过程中的reCAPTCHA验证

大家好，下面分享的writeup是作者通过在Tumblr用户注册过程中，发现Tumblr的“人机身份验证”机制（reCAPTCHA）存在缺陷，可被轻松绕过。这种绕过形成的安全风险是恶意攻击者可进行大量虚假社交账户创建、进行针对账户的用户名和邮箱枚举，间接导致Tumblr网站应用出现流量异常甚至用户信息泄露。我对漏洞众测的理解和经历分享去年6月16日，HackerOne在伦敦举办的黑客马拉松大赛中，为发现漏洞支付的赏金有超过了8万多美金。漏洞众测确实是个未来可期的行业，对众测平台来说，有组织给赏金

安全 . 运维 1971 2023-05-12 10:04:11
如何进行XXL-JOB API接口未授权访问RCE漏洞复现

XXL-JOB描述XXL-JOB是一个轻量级分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。一、漏洞详情此次漏洞核心问题是GLUE模式。XXL-JOB通过“GLUE模式”支持多语言以及脚本任务，该模式任务特点如下：●多语言支持：支持Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。●WebIDE：任务以源码方式维护在调度中心，支持通过WebIDE在线开发、维护。●动态生效：用户在线通

安全 . 运维 5916 2023-05-12 09:37:05
如何进行关闭iis错误页面显示详细内容的安全配置

为web安全，防止***通过web错误页面信息获取有用信息，关闭iis错误页面显示详细内容1.打开iis功能视图，打开错误页点击编辑功能设置默认为详细错误选择自定义错误

安全 . 运维 1610 2023-05-12 09:28:13
如何用JAVA语言分析双重检查锁定

1、双重检查锁定在程序开发中，有时需要推迟一些高开销的对象初始化操作，并且只有在使用这些对象时才进行初始化，此时可以采用双重检查锁定来延迟对象初始化操作。双重检查锁定是设计用来减少并发系统中竞争和同步开销的一种软件设计模式，在普通单例模式的基础上，先判断对象是否已经被初始化，再决定要不要加锁。尽管双重检查锁定解决了普通单例模式的在多线程环境中易出错和线程不安全的问题，但仍然存在一些隐患。下面以JAVA语言源代码为例，分析双重检查锁定缺陷产生的原因以及修复方法。2、双重检查锁定的危害双重检查锁定在

安全 . 运维 1753 2023-05-12 08:55:17