网络安全工程师 + 更多

98
小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计算机的远程访问权限就万事大吉了,那你就大错特错了,事情绝对没有你想得那么简单。因为目前就出现了一种新的攻击方式,就是黑客可利用Windows远程协助漏洞窃取你的敏感文件。其攻击原理就是有人主动邀请或提供给你他们自己计算机的远程访问权限,让你

26
云数据存储:漏洞及避免漏洞方法

云数据存储:漏洞及避免漏洞方法

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自己的服务器因而可降低耗电量。信息存储和备份创建变得更加便宜和简单。 这些年来,大量的数据被转移到云端,包括个人档案、照片、文件和受版权保护的内容。付费和免费云服务用户基数继续增长。根据调查公司Research 和 Markets的数据显示云

24
没错,区块链真的是最具颠覆性的数据安全技术

没错,区块链真的是最具颠覆性的数据安全技术

虽然区块链技术大多与加密货币联系在一起,作为推动比特币及比特币价格飙升的创新技术而为人所知,但专家眼中区块链将会彻底改变的行业却还有很多很多。 区块链可提供透明性、去中心化、效率、安全和其他一系列好处,彻底革新多个行业,改善数据世界的安全性。它将改变的行业包括但不限于: 银行业 供应链管理 保险 云存储 政府 慈善 在线音乐 能源管理 房地产 零售业 专家们眼中区块链将彻底颠覆的行业还有很多,有些

66
新型渗透手法:利用XSS绕过WAF进行SQL注入

新型渗透手法:利用XSS绕过WAF进行SQL注入

*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 0×00 前言 看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。 通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。 0×01 起因 咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,

34
CVE-2018-1270:spring-messaging远程代码执行漏洞分析预警

CVE-2018-1270:spring-messaging远程代码执行漏洞分析预警

报告编号: B6-2018-040901 报告来源: 360-CERT 报告作者: 360-CERT 更新日期: 2018-04-09 漏洞概述 2018年4月5日,Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞,其中编号为CVE-2018-1270的漏洞可导致远程代码执行。 360-CERT通过对此漏洞进行了相关分析,认为漏洞影响严重;目前相关PoC已经被发布,建议

41
思科网络设备漏洞波及国内,中奖后屏幕竟会出现美国国旗

思科网络设备漏洞波及国内,中奖后屏幕竟会出现美国国旗

上周,俄罗斯和伊朗多个网络基础设施遭到攻击,攻击涉及全球200000只路由器交换机,包括伊朗的3500只交换机。攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171。而就在今天,国内多个机构遭受同样的攻击。根据国外的案例,遭受攻击的企业,除了设备瘫痪之外,屏幕上还显示出美国国旗。 FreeBuf曾报告过这个漏洞的详细分析,是Embedi 安全公司研究员在 Smart

37
思科Smart Install的远程代码执行漏洞(CVE-2018-0171)详细分析

思科Smart Install的远程代码执行漏洞(CVE-2018-0171)详细分析

自 2010 年发布以来,思科的Smart Install 出现过若干漏洞,包括远程代码执行漏洞CVE-2011-3271、拒绝服务漏洞CVE-2012-0385、CVE-2013-1146、CVE-2016-1349和CVE-2016-6385。 2017 年 5 月,Embedi 安全公司研究员、俄罗斯白帽黑客 George Nosenko 在 GeekPwn 黑客大赛现场成功演示了一个思科交

94
重新认识被人遗忘的HTTP头注入

重新认识被人遗忘的HTTP头注入

前言 注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。 HOST注入 在以往http1.0中并没有host字段,但是在http1.1中增加了host字段,并且http协议在本质也是要建立tcp连接,而建立连接的同时必须知道对方的ip和端口,然后才能发送数据。既然已经建立了连接,那host字

系统运维工程师 + 更多

Nginx网站架构实战——09、安装ecshop

Nginx网站架构实战——09、安装ecshop

2018-05-28 1 ℃  0
 0 

这个地方把权限给到就可以了 因为我主要是测试后面的url重写,所以这个地方数据库就直接用root权限来安装了 这个报错可以忽略掉,因为这个是时区不太匹配,可以按照我的方法来更改一下系统的时区 下面就全部安装好了

Nginx网站架构实战——09、编译PHP并与nginx整合

Nginx网站架构实战——09、编译PHP并与nginx整合

前言: Nginx网站架构实战——01、Nginx介绍及编译安装:传送门 Nginx网站架构实战——02、Nginx信号量:传送门 Nginx网站架构实战——03、nginx虚拟主机配置:传送门 Nginx网站架构实战——04、nginx日志管理:传送门 Nginx网站架构实战——05、nginx定时任务完成日志切割:传送门 Nginx网站架构实战——06、Location详解之精准匹配:传送门

Nginx网站架构实战——08、nginx Rewrite语法详解

Nginx网站架构实战——08、nginx Rewrite语法详解

前言: Nginx网站架构实战——01、Nginx介绍及编译安装:传送门 Nginx网站架构实战——02、Nginx信号量:传送门 Nginx网站架构实战——03、nginx虚拟主机配置:传送门 Nginx网站架构实战——04、nginx日志管理:传送门 Nginx网站架构实战——05、nginx定时任务完成日志切割:传送门 Nginx网站架构实战——06、Location详解之精准匹配:传送门

Nginx网站架构实战——06、Location详解之精准匹配

Nginx网站架构实战——06、Location详解之精准匹配

前言: Nginx网站架构实战——01、Nginx介绍及编译安装:传送门 Nginx网站架构实战——02、Nginx信号量:传送门 Nginx网站架构实战——03、nginx虚拟主机配置:传送门 Nginx网站架构实战——04、nginx日志管理:传送门 Nginx网站架构实战——05、nginx定时任务完成日志切割:传送门 location 语法 location 有”定位”的意思, 根据Uri

Nginx网站架构实战——07、Location之正则匹配

Nginx网站架构实战——07、Location之正则匹配

前言: Nginx网站架构实战——01、Nginx介绍及编译安装:传送门 Nginx网站架构实战——02、Nginx信号量:传送门 Nginx网站架构实战——03、nginx虚拟主机配置:传送门 Nginx网站架构实战——04、nginx日志管理:传送门 Nginx网站架构实战——05、nginx定时任务完成日志切割:传送门 Nginx网站架构实战——06、Location详解之精准匹配:传送门

Linux部署Saltstack自动化及常见用法

Linux部署Saltstack自动化及常见用法

一、简介 Saltstack 比 Puppet 出来晚几年,是基于Python 开发的,也是基于 C/S 架构,服务端 master 和客户端 minions;Saltstack 和 Puppet 很像,可以说 Saltstatck 整合了 Puppet和Chef的功能,更加强大,更适合大规模批量管理服务器,并且它比Puppet 更容易配置。 三大功能: 远程命令执行,配置管理(服务,文件,cro

数据存储管理员 + 更多

57
Linux系统下MongoDB的安装与基本操作

Linux系统下MongoDB的安装与基本操作

Mongo DB ,是目前在IT行业非常流行的一种非关系型数据库(NoSql),其灵活的数据存储方式,备受当前IT从业人员的青睐。Mongo DB很好的实现了面向对象的思想(OO思想),在Mongo DB中 每一条记录都是一个Document对象。Mongo DB最大的优势在于所有的数据持久操作都无需开发人员手动编写SQL语句,直接调用方法就可以轻松的实现CRUD操作。 https://fastd

114
不得不看,只有专家才知道的17个SQL查询提速秘诀!

不得不看,只有专家才知道的17个SQL查询提速秘诀!

除非你遵循本文介绍的这些技巧,否则很容易编写出减慢查询速度或锁死数据库的数据库代码。 由于数据库领域仍相对不成熟,每个平台上的 SQL 开发人员都在苦苦挣扎,一次又一次犯同样的错误。 当然,数据库厂商在取得一些进展,并继续在竭力处理较重大的问题。 无论 SQL 开发人员在 SQL Server、Oracle、DB2、Sybase、MySQL,还是在其他任何关系数据库平台上编写代码,并发性、资源管理

146
Linux运维必会的mysql企业面试题大全

Linux运维必会的mysql企业面试题大全

(1)基础笔试命令考察 1.开启MySQL服务 /etc/init.d/mysqld start service mysqld start systemctl start mysqld 2.检测端口是否运行 lsof -i :3306 netstat -lntup |grep 3306 3.为MySQL设置密码或者修%独立,互不影响的对外提供服务,便于节约服务器资源与后期架构扩展多实例的配置方法有

105
MySQL数据库root账户密码忘记两种处理方法

MySQL数据库root账户密码忘记两种处理方法

方法1: 1.停止MySQL服务 # kill `cat /var/run/mysqld/mysqld.pid` 或者 # pkill mysqld 2.创建一个密码赋值语句的文本文件 # vi mysql-init ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass!6'; 在加载授权表之前重置密码。 3.使用—init-file选项启动

142
Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

了解过两者的同学有那么个大致的印象: 1、redis与memcached相比,比仅支持简单的key-value数据类型,同时还提供list,set,zset,hash等数据结构的存储; 2、redis支持数据的备份,即master-slave模式的数据备份; 3、redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用等等。 这似乎看起来redis比memcach

MongoDB数据库入门的5个简单步骤

MongoDB数据库入门的5个简单步骤

2017-11-9 93 ℃  0
 0 

对于希望使用MongoDB的组织,学习如何可以压倒:哪里,你是怎么开始使用这个强大的数据库?随着数据库的普及,IT领导者需要清楚地了解其基础以及更好的使用技巧。 对于希望使用分布式文件存储的数据库MongoDB的组织来说,如何开始使用这个强大的数据库是其所面临的挑战。随着数据库的普及,IT领导者需要对其基础有一个清晰的了解以及更好的使用技巧。 以下是确保成功应用MongoDB数据库的五个简单步骤。

项目开发工程师 + 更多

2018-03-12 34 ℃   0
 0 

触发条件: php 7.2.x,开启gd库。只需要三行代码即可完成! 我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。 php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服务器上试试: 啊哈,一样的结果。触发这个问题的代码如下: $im=imagecreate(100,100); imageantialias($im,true); imageline($im,

手把手|20行Python代码教你批量将PDF文件转为Word格式(包教包会)

在日常工作或学习中,经常会遇到这样的无奈: “小任,你把这个PDF中的文件码出来发我” 倒霉,2M的PDF12点也完不了啊! 很多时候在学习时发现许多文档都是PDF格式,PDF格式却不利于学习使用,因此需要将PDF转换为Word文件,但或许你从网上下载了很多软件,但只能转换前五页(如WPS等),要不就是需要收费,那有没有免费的转换软件呢? so,菜鸟分析给各位带来了一个免费简单快速的方法,手把手教

使用Python和Tesseract来识别图形验证码

各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,也只能苦哈哈地进行人肉识别,或者无奈地放弃任务。在这里,我分享一下自己使用Python和开源的tesseract OCR引擎做验证码识别的经验,并提供相关的源代码和示例供大家借鉴。 一、关于图形验证

运维学python之爬虫工具篇(一)Requests库的用法

历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之

运维学python之爬虫实战篇(二)爬取伯乐在线面向对象图片

历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之

互联网最新资讯 + 更多

英特尔、微软公布漏洞出现新变体 未来几周发布补丁

英特尔、微软公布漏洞出现新变体 未来几周发布补丁


6天前   浏览: 2

新浪科技讯 北京时间5月22日凌晨消息,本周一,英特尔和微软公布了一个Spectre and Meltdown安全漏洞的新变体,存在该漏洞的芯片被广泛应用于计算机和移动设备上。 英特尔称该新发现的漏洞为“变体4号”。该公司表示,尽管该最新变体与今年一月份发现的安全漏洞属于同种类型,但它使用了一种不同的获取敏感信息的方法。 Spectre and Meltdown安全漏洞还在继续影响着英特尔、ARM

线下沙龙 + 更多

安全运维

安全运维

“安全+”沙龙第六期汽车行业信息安全 (5.18/上海) 2018年5月18日,“安全+”在环球金融中心Park Hyatt Shanghai Hotel 举办了主题为“汽车行业信息安全”第六期沙龙。 沙龙围绕车联网安全、个人隐私保护、企业信息安全架构等热点话题展开热烈的讨论和交流。来自上汽集团、上汽大众、上汽通用、上汽乘用车、上汽云数据中心、蔚来、Volvo、观致、FCA、比亚迪、东风日产、重塑

 2018-05-22
 11
 0 
EISS-2018企业信息安全峰会在北京成功举办

EISS-2018企业信息安全峰会在北京成功举办

2018年4月27日,安全+在北京成功举办了EISS-2018企业信息安全峰会,峰会的主题延续了前两届在上海的“直面信息安全挑战,创造最佳实践”。将近300位的企业信息安全专家齐聚一堂,就企业信息安全建设,云安全,数据安全,软件安全,UEBA,APT等话题展开热烈的讨论。 (ISC)²北京分会理事长卢佐华女士作为本次峰会的大会主席,为峰会做了开场致辞,并代表大会主办方对与会嘉宾表示热烈的欢迎。 平

 2018-05-10
 20
 0 
2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕

2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕

2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕 2018国际智能网联汽车创新峰会,由上海易贸携手智能网联汽车产业技术联合创新中心、各智能网联汽车联盟组织、整车厂、科研院所以及互联网科技公司、数百家媒体共同参与,于2018年4月12-13号在上海大华虹桥假日酒店隆重开幕,为期两天的峰会聚集了 260位来自国内外政府部门、协会联盟、高校及科研院所、整车厂商、零部件供应商、通信运营商、智

 2018-04-17
 13
 0 

合作伙伴

切换注册

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享