小编 漏洞分析 Mysql身份认证漏洞的分析以及利用 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约25...
小编 漏洞分析 Nessus扫描漏洞使用教程 漏洞扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。显然,漏洞扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。因此,漏洞扫描是保证系统和网络安全必不可少的手段,必须仔细...
小编 漏洞分析 手把手教你如何构造Office漏洞POC(以CVE-2012-0158为例) 下面小编为大家介绍office漏洞CVE-2012-0158就凭借其经典、通用又稳定的漏洞利用经常出现在各种报告中,详细的讲解这个漏洞的原理,以及如何基于原理手动构造出可利用的POC样本。 漏洞原理 关于本漏洞原理,网上有各种分析文章,一般都基于实例样...
小编 漏洞分析 又拍图片管家支付非法充值的漏洞分析及修复方法(图) 又拍网旗下又拍图片管家v.yupoo.com在对支付进行处理时,未使用SSL安全连接,也没有对购买时间进行限制。导致当购买时间为负数时,不但不会从帐户中扣除相应的金额,反而还会对帐户进行充值。这里以续费VIP服务为例,其他支付服务麻烦厂商自检。====...
小编 漏洞分析 漏洞 自动化脚本 论漏洞和自动化脚本的区别 下面小编为大家介绍漏洞和自动化脚本的具体,自动化脚本,就是通过编写代码,将本来需要认为进行的重复操作,通过代码来自动进行。 什么是漏洞? 我先抄一段百度百科。 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的...
小编 漏洞分析 WEB常见漏洞问题危害及修复建议 漏洞检测工具用语说明 一,高危漏洞 高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。 SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的...
小编 漏洞分析 解析文件上传漏洞 从FCKEditor文件上传漏洞谈起 文件上传漏洞就是允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行,下面小编就为大家具体的讲解文件上传漏洞的知识,希望可以帮助到大家。 文件上传后导致的常见安全问题一般有: 1)上传文件是Web脚本语言,服务器的Web容器解释并...
小编 漏洞分析 PHP邮件注入实战演练 一、简介 如今,互联网的使用急剧上升,但绝大多数互联网用户没有安全知识背景。大多数的人都会使用互联网通过邮件Email的方式和他人进行通信。出于这个原因,大多数网站允许他们的用户联系他们,向网站提供建议,报告一个问题,或者要求反馈,用户将会发送反馈给网...
小编 漏洞分析 CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番 Intel近日官方宣布,已经为过去五年的所有CPU处理器产品打上了漏洞补丁,并且将在下一代产品中重新设计硬件,天然免疫漏洞。至此,闹得沸沸扬扬的Spectre幽灵、Meltdown熔断两大漏洞事件可以说告一段落了,那么,这俩让整全行业紧张、全球用户恐慌...
小编 漏洞分析 解析OpenSSL程序概念及震惊业界的“心脏出血”漏洞 OpenSSL的各种概念解析: 公钥/私钥/签名/验证签名/加密/解密/非对称加密 我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,...
小编 漏洞分析 Swagger JSON高危漏洞被发现 Java/PHP/NodeJS/Ruby或中招 近日,一个广泛存在于Java、PHP、NodeJS和Ruby等流行语言开发应用的漏洞被发现,该漏洞存在于OpenAPI(Swagger Code Generator)中,属于参数注入漏洞,凡是整合Open API的应用都会受到影响。 高危漏洞被发现,J...
小编 漏洞分析 宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析 前言 2020 年 8 月 23 日的晚上 群里突然有个管理员艾特全体 说宝塔出漏洞了! 赶紧更新吧。 漏洞信息 宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞 漏洞未 phpm...