web漏洞
关注
分享
扫一扫
sql,xss,xxe,csrf
luminous_you
记录遇到的问题和解决方案,方便大家少走弯路
展开
-
js代码优化查看网站
看别人网站的js文件的时候都特别乱,可以用这个网站把格式还原一下看很舒服,还能导入文件转化https://beautifier.io/原创 2022-04-18 15:55:16 · 208 阅读 · 0 评论 -
windows10设置IP策略组封禁端口设置部分端口可访问
windows10设置IP策略组封禁端口采用IP 访问策略控制的方法把 445 22 8088都给封了吧 这个步骤很详细 一个一个加 https://zhuanlan.zhihu.com/p/631942491.查询跳板机的ip(命令是ipconfig)->查看与imp在同一网段内的ip是什么2.添加禁用所有ip访问3389 按照这个步骤 https://zhuanlan.zhihu.com/p/631942493.添加允许跳板机ip访问3389 按照这个步骤 从第四步开始https://原创 2022-04-18 15:32:19 · 1570 阅读 · 0 评论 -
Apache HTTP Server拒绝服务漏洞
CNNVD编号:CNNVD-201108-440CVE编号: CVE-2011-3192漏洞Apache HTTP Server是一款开源的流行的HTTPD服务程序。当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃。apache 2.2.17 有一个可远程利用的 dos 漏洞,它允许消耗目标系统上的所有内存。触发内存消耗的请求包括一个大的“范围”标头,该标头从 httpd 服务的文件中请求尽可原创 2022-04-18 15:25:24 · 6437 阅读 · 0 评论 -
apache,tomcat缓慢的http拒绝服务攻击修改办法
在httpd.conf中添加 LoadModule reqtimeout_module modules/mod_reqtimeout.so查看是否存在mod_reqtimeout.so模块[root@localhost ~]# rpm -ql httpd |grep .so/usr/lib64/httpd/modules/mod_reqtimeout.so添加配置[root@localhost ~]# vi /etc/httpd/conf/httpd.conf<IfModule reqt原创 2022-04-18 15:13:08 · 7175 阅读 · 2 评论 -
tomcat默认页面问题
Apache Tomcat Servlet / JSP Container Default Files删除tomcat/webapps/下example、doc、manager,(ROOT保留,内部只留下自定义的404页面)自定义tomcat的404页面#在ROOT下自定义一个404.html,其它都删除即可配置tomcat 404页面vim conf/web.xml...#添加如下配置<error-page> <error-code>404</err原创 2022-04-13 15:47:36 · 1615 阅读 · 0 评论 -
sslv3 poodle漏洞 检测解决方法
漏洞详情POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。检测方法在线网站检测https://www.ssleye.com/ssltool/poodle.htmlht原创 2022-03-21 13:54:03 · 3239 阅读 · 0 评论 -
apache .htaccess and .htpasswd disclource漏洞修复
.htaccess的基本作用 .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。 .htaccess的用途范围主要针对当前目录apache .htaccess and .htpasswd disclource漏洞修复:原创 2022-01-06 19:45:54 · 957 阅读 · 0 评论 -
SSL 64位块大小密码套件支持( SWEET32 )
3389存在SSL漏洞:SSL 64位块大小密码套件支持( SWEET32 )解决方法:使用Windows自带的FIPS代替SSL加密1)启用FIPS操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加密:将FIPS兼容算法用于加密、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。2)禁用SSL密码套件操作步骤:按下’ Win + R’,进入"运行",键入"原创 2021-12-16 17:35:53 · 13226 阅读 · 1 评论 -
检查echo服务(TCP),quote服务(qotd)正在运行漏洞解决方案
漏洞一检查echo服务(TCP)漏洞7: echo服务,通常作为测试服务使用,可能被用作拒绝服务攻击(TCP/UDP 7)解决:$ su# rm /bin/echo漏洞二quote服务(qotd)正在运行17:quotd(qotd)服务,可能被发起"ping pong"攻击,利用源地址欺骗使tcp和udp两个端口运行qotd的服务器相互发送数据阻塞网络。(tcp/udp 17)漏洞描述:服务器监听TCP端口17,当建立连接之后,一个短消息从该连接发出(任何收到的数据将丢弃),服务器发出原创 2021-11-03 15:33:37 · 5097 阅读 · 1 评论 -
xxe漏洞基础
如何知道是否有xxe漏洞抓包看格式像xml看回显点构造payload,读取文件<?xml version="1.0"?><!DOCTYPE note [<!ENTITY xxe SYSTEM "file:///etc//passwd">]><user><username>&xxe;</username><password>admin</password></user>原创 2020-09-09 09:57:24 · 105 阅读 · 0 评论