- 博客(10)
- 收藏
- 关注
RSS订阅原创 SSRF的原理、攻击手法以及防御措施
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
2022-09-18 22:13:42
1996
6
原创 Log4j2漏洞复现
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
2022-08-12 15:53:03
14125
2
原创 【Hiflow】场景连接工具的活动报名功能
hiflow是啥?无需编程,零代码,可以在云雀客服接受到数据之后,和其他应用自动同步。简单来说就是一个将不同工具的功能连接到一起的工具。
2022-07-21 15:43:24
405
原创 SQL注入的注入点找法
1,注入点首先观察搜索框的地址是否是有与数据库交互,例如html这种几乎是不存在注入的所以要先判断是否有交互。2,交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//www.xxx.com/index.php?id=1这种很大程度存在注入当然有些注入点不会这么一眼看出会有些比较复杂例如http://www.xxx.com:50006/index.php?x=home&c=View&a=index&aid=9 这样的地址其实也可能存在注入。......
2022-07-18 19:10:04
8762
19
原创 流氓软件卸载神器geek
流氓软件我们都知道,流氓一般的存在会无时无刻不给你弹广告占用你的内存,让你的电脑速度变慢,而中招的小伙伴苦于没有办法而选择躺平,那么geek绝对是你的救星。1.安装教程:首先进入Geek uninstaller官网首页:Geek Uninstaller - the best FREE uninstaller然后点击Download,软件不大10MB都不到的良心软件下载完后解压就会得到这个样一个应用程序点开之后的界面是这样的选择你要卸载的流氓软件右键卸载之后就会进入软件
2022-05-08 14:29:18
6070
1
原创 Linux系统ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统安装教程
系统CentOS 7自动化收集资产,实时探测终端输入1、 cd /etc/yum.repos.d/2、yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3、yum install docker-ce docker-ce-cli containerd.io4、service docker start5、下载docker-compo
2022-05-05 19:06:33
2612
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人