- 博客(11)
- 收藏
- 关注
RSS订阅
原创 应急响应——溯源
localhost.Y-M-D.log: 程序异常没有被捕获的时候抛出的地方,Tomcat下内部代码丢出的日志(jsp页面内部错误的异常,org.apache.jasper.runtime.HttpJspBase.service类丢出的,日志信息就在该文件!catalina.Y-M-D.log: 是tomcat自己运行的一些日志,这些日志还会输出到catalina.out,但是应用向console输出的日志不会输出到catalina.{yyyy-MM-dd}.log。
2025-03-13 08:56:41
554
原创 应急响应——入侵排查
登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的⽤户账户下运⾏,当⼀个服务开始时,Windows⾸先为这个特定的⽤户创建⼀个登录会话,这将被记为类型5,失败的类型5通常表明⽤户的密码已变⽽这⾥没得到更新。主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统⽂件的创建、删除、更改,需要指明的是安全⽇志只有系统管理员才可以访问,这也体现了在⼤型系统中安全的重要性。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发⽣的事件。
2025-03-07 22:30:24
687
原创 关于应急响应
企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。应急响应和安全建设,这两者的区别就是应急响应是被动响应、安全建设是主动防御。
2025-03-07 20:30:15
846
原创 关于渗透测试
根据该法,未经授权,擅自进入他人计算机信息系统的行为是非法的,涉及到的人员可能会面临相应的法律责任。它通过模拟攻击者的行为,评估系统中存在的安全漏洞,并提供建议以修复这些漏洞,从而提高系统的安全性。漏洞探测:使用自动化工具对目标进行漏洞扫描,或者手动进行测试,以识别目标系统中存在的漏洞和弱点。撰写报告:在测试完成后,测试人员应该撰写报告,详细描述测试过程、发现的漏洞和推荐的修复措施。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
2025-02-20 17:12:25
644
原创 WEB漏洞——JSONP数据劫持
JSONP(JSON with Padding)是json的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据;它利用的是script标签的src属性不受同源策略影响的特性,使网页可以得到从其他来源动态产生的json数据,因此可以用来实现跨域读取数据。更通俗的说法:JSONP就是利用script标签的跨域能力实现跨域数据的访问,请求动态生成的JavaScript脚本同时带一个callback函数名作为参数。
2025-02-20 15:03:21
918
原创 WEB漏洞——CSRF
登录alleen测试账号,发现存在一个修改个人信息的功能,填入修改后的信息,通过bp进行抓包,观察数据包,如果header头和data中都没有token,然后尝试删除referer,还是能成功发送请求(修改个人信息成功)的话,就可以确定存在CSRF漏洞了。可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防御CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现)。
2025-02-19 13:14:16
1046
原创 WEB漏洞——代码执行
例:在“this is a test”字符串中找到“test”,并将其替换为通过$_GET[“a”]获取的代码执行结果,也就是说只要提交GET参数“a”的内容为php代码,即可实现远程代码执行。代码执行漏洞的主要原理是攻击者通过浏览器或其他辅助程序提交恶意脚本代码,当应用程序在处理这些输入时,没有对输入进行适当的验证和过滤,导致恶意代码被执行。代码执行漏洞是一种很严重的漏洞,因为能注入执行脚本代码,所以利用的手段很多,常见的如执行相关命令、获取敏感信息、写入web后门等。写入成功,并可以访问。
2025-02-18 21:15:09
860
原创 WEB漏洞——命令执行
High的代码也就是在Medium的代码上面进行了一次升级,增加了过滤的黑名单,涉及了全部的命令拼接符号,本应无懈可击。但是,仔细看源代码会发现,本来可以过滤一个|,就可以过滤所有|、||,会发现过滤的|后面有一个空格,也就表示,它过滤的是|空格,并没有过滤|,所以可以利用|进行绕过。命令执行漏洞,一般的利用方式是先执行反弹shell,再进行其他的操作。等,当用户能控制这些函数的参数,并且开发人员对这个参数没有严格的过滤时就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
2025-02-18 16:38:09
856
原创 WEB漏洞——文件包含
php版本小于5.3.4,且magic_quotes_gpc为off如果没有这两个前提条件,是不能用%00截断的,%00会被转以成\0,截断会失败。例如:预定义白名单,传入的文件名后接.php后缀名。因为预定义了白名单,导致我们无法文件包含执行之前上传的小马.jpg文件?file=1.jpg,预定义了白名单,执行成功是这样的1.jpg.php,所以一定会出错。此时使用00截断:?file=1.jpg%00,将后面的.php截断掉,可以看到文件包含执行成功了。
2025-02-14 17:25:53
971
原创 WEB漏洞——XSS
xss全称跨站脚本攻击(Cross-Site scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为xss。xss是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到web网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会遭受xss攻击。xss漏洞防御的总体思路是,采用“对输入进行过滤”和“输出进行转义”的方式进行处理:输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;输出转义:根据输出点
2025-02-11 21:02:30
841
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人