ページ 35-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

Article Tags

安全性

ホームページ

Technical articles

運用・保守

安全性

Apache Dubbo デシリアライゼーションの脆弱性を分析する方法

はじめに Dubbo は、Alibaba がオープンソース化した高性能で優れたサービスフレームワークであり、アプリケーションが高性能 RPC を通じてサービス出力および入力機能を実現でき、Spring フレームワークとシームレスに統合できます。これは、インターフェイス指向のリモートメソッド呼び出し、インテリジェントなフォールトトレランスと負荷分散、自動サービス登録と検出という 3 つのコア機能を提供します。概要 2020 年 6 月 23 日に、ApacheDubbo は ApacheDubbo のリモートコード実行に関するリスク通知を正式にリリースし、脆弱性番号は CVE-2020-1948、脆弱性レベルは「高リスク」です。 ApacheDubbo は、高性能かつ軽量のオープンソース JavaRPC フレームワークであり、次の 3 つのコア機能を提供します。

May 17, 2023 pm 04:01 PM

Dubbo

SQLインジェクションにおけるワイドバイトインジェクションとは何ですか?

ワイドバイトインジェクション: SQL インジェクションをバイパスする方法です 1. ワイドバイトの概念: 1. シングルバイト文字セット: すべての文字は、ASCII エンコーディング (0-127) などの 1 バイトで表されます 2 . マルチバイト文字set: マルチバイト文字セットでは、一部のバイトは複数バイトで表され、別の部分 (おそらく何もない) は 1 バイトで表されます。 3. UTF-8エンコーディング：1～4バイトでシンボルを表現できるエンコーディング方式（マルチバイトエンコーディング）であり、シンボルによってバイト長が変わります。 4. 一般的なワイドバイト: GB2312、GBK、GB18030、BIG5、Shift_JISGB2312 にはワイドバイトインジェクションがありませんが、ワイドバイトインジェクションがあると収集できます。

May 17, 2023 pm 03:37 PM

SQL

注意すべき光モジュール構成とスイッチレベルは何ですか?

今日は、光ファイバースイッチを購入する際に注意すべき光ファイバーポートモジュールの構成について説明します。 Yitianguang Communications はまず、次の点を覚えていれば問題は解決すると伝えます。これは、スイッチのポートに応じて調整することを意味します。大きいものから小さいものまで、10G ポート SFP+、10GBase-SR 10G 光モジュール、波長 850nm、マルチモード 300mSFP+、10GBase-LR 10G 光モジュール、波長 1310nm または 1550nm、シングルモード 10/20/40/60/80km次に、ギガビットポートデュアルファイバー 50/125 ミクロンマルチモード、波長 850nm、550m、デュアルファイバー 62.5/125 ミクロンマルチモード、波長 850nm、275m、デュアルファイバーシングルモードがあります。

May 17, 2023 pm 03:19 PM

交换机

JavaScriptで特定の数量を一致させる方法

注 1. 中括弧指定子の数により、一致パターンの上限と下限を指定できます。ただし、特定の数の一致のみが必要な場合もあります。 2. 特定の数の一致するパターンを指定するには、中括弧の間に数字を入力します。この例では、正規表現 timRegex を変更して、文字 m が 4 つだけある単語 Timber と一致するようにする必要があります。 lettimStr="Timmmmber";lettimRegex=/change/;//この行を変更 letresult=timRegex.test(timStr);参照 lettimStr="Timmmmber";lettimRegex

May 17, 2023 pm 03:19 PM

JavaScript

Apache Commons Collections デシリアライゼーションの脆弱性の分析例

1. はじめにこのコンポーネントの逆シリアル化の脆弱性を分析した記事はインターネット上に多数ありますが、それでもここに記録しておきます。結局のところ、これは Java デシリアライゼーションの脆弱性の開発にとって重要です。 Apache Commons Collections は、Java アプリケーション開発で非常に一般的に使用されるツールライブラリであり、多くの強力なデータ構造を追加し、Java アプリケーションの開発を簡素化し、Java がコレクションデータを処理するための標準として認識されています。 Weblogic、WebSphere、Jboss、Jenkins などの多くの一般的なアプリケーションはすべて、Apache Commons Collections ツールライブラリを使用します。ツールライブラリにデシリアライゼーションの脆弱性が発生すると、

May 17, 2023 pm 03:10 PM

commonscollections

Cisco ASA5505 パスワード回復を実行する方法

官方文档说説明：パスワードの紛失から回復するには、次の手順を実行します。ステップ 1 スーパーターミナルでセキュリティアプライアンスのコンソールポートに接続します。ステップ 2 セキュリティアプライアンスの電源を切り、その後電源を入れます。ステップ 3 起動メッセージ中に、ROMMON に入るように求められたら Escape キーを押します。

May 17, 2023 pm 02:52 PM

ciscoASA5505

Linuxシステムでファイルを暗号化する方法

Linux システムをインストールするときに EFS の使用を選択すると、まず EFS ファイルシステムを使用する非常に簡単な方法が導入されます。 Fedora のインストール手順を例に挙げると、インストールに関連するオプションを選択することで簡単に使用できます。ユーザーは、空き領域に新しいパーティションを作成したり、編集するパーティションを選択したり、特定のパーティションを削除したりできます。図 1 では、[ファイルシステムの暗号化] オプションを選択し、システム要件に従って EFS にアクセスするために必要なパスワードを入力する必要があります (図 2 を参照)。次に、Linux のインストール手順を段階的に実行し、システムプロンプトに従ってシステムをインストールします。システムのインストールが成功すると、ユーザーは安全な暗号化されたファイルシステムを使用できるようになり、システムにログインするたびにシステムが

May 17, 2023 pm 02:34 PM

Linux

WebGLコード実行の脆弱性を修正したGoogle Chrome 85の分析例

Google は、Google Chrome Web ブラウザの WebGL (WebGraphicsLibrary) コンポーネントに存在する use-after-free の脆弱性を修正し、攻撃者がこの脆弱性を悪用することに成功すると、ブラウザのプロセスのコンテキストで任意のコードを実行することができます。 WebGL は、プラグインを使用せずにインタラクティブな 2D および 3D グラフィックをレンダリングするために準拠ブラウザで使用される JavaScript API です。 GoogleChrome85.0.4149.0 では、このコード実行の脆弱性が修正されています。高リスクのコード実行の脆弱性 CiscoTalos のシニアリサーチエンジニア Marcin Towalski によって発見されたコード実行の脆弱性には、CVE-2020-649 の番号が付けられています。

May 17, 2023 pm 02:07 PM

Google Chromewebgl

USG ファイアウォールの NAT 構成

USG ファイアウォール NAT 構成の学習の目的 USG ファイアウォールで NATServer を構成する方法を習得する USG ファイアウォールで NATEasyIP を構成する方法を習得するトポロジ図のシナリオ: あなたは会社のネットワーク管理者です。会社はネットワークファイアウォールを使用して 3 つのゾーンに分離されています。ここで、サーバー (IP アドレス: 10.0.3.3) が提供する Telnet サービスを DMZ エリアに公開する必要があります。パブリックアドレスは 10.0.10.20 と 24 です。また、内部ネットワーク Trust エリア内のユーザーは、Easy-IP 経由でアクセスします。外部エリア。それ以外の方向からのアクセスは禁止です。 G0/0/1 および G0/0/21 インターフェイスをスイッチ上の vlan11 に定義し、G0/0/ を割り当てます。

May 17, 2023 pm 01:25 PM

防火墙natusg

nmap-converter を使用して nmap スキャン結果 XML を XLS に変換する分析例

nmap-converter を使用して、nmap スキャン結果 XML を XLS に変換します。実践 1. はじめにネットワークセキュリティ担当者として、大量のポートスキャンを実行するためにポートスキャンツール nmap を使用する必要がある場合がありますが、Nmap の出力結果は .nmap です。、.xml、.gnmap の 3 つの形式は、不要な情報が多く混在しており、処理が非常に不便です。出力結果は、後の出力を処理するために Excel テーブルに変換されます。そこで、技術専門家が nmap レポートを XLS に変換するための Python スクリプトを共有しました。 2. nmap-converter1) プロジェクトアドレス: https://github.com/mrschyte/nmap-

May 17, 2023 pm 01:04 PM

xmlnmap-converterxls

Nmap オペレーションの分析例

背景セキュリティ産業の発展に伴い、国はセキュリティ産業を非常に重視しています。さまざまな業界がさまざまな脅威にさらされていますが、甲社の一部の企業は関連するセキュリティ部門を持たないか、セキュリティ能力が比較的弱いため、運用サービスを提供するために乙のセキュリティ担当者を雇用します。次に、B 社のセキュリティエンジニアは、業務運営中に発生するいくつかのセキュリティイベントに顧客が対処するのを支援する必要があります。たとえば、脆弱性が発生した後、当社のセキュリティエンジニアは、他のビジネスシステムに脆弱性があるかどうか、および時間内に修復する必要があるかどうかを検出する必要があります。。顧客への報告をスムーズにするための結果の出力や、業務の効率化なども必要です。効率的なスキャンのための共通パラメータオプションの確認高速ライブスキャン nmap-T4-n-V–sn-iLip.txt-oNlive_host。

May 17, 2023 pm 12:22 PM

nmap

H3C ワイヤレス構成で注意する必要がある手順は何ですか?

最初のステップは、ワイヤレスコントロールのバージョンに注意することです。バージョンが非常に古い場合は、現在のワイヤレス AP モデルが搭載されていない可能性があるため、公式に推奨されているバージョンにアップグレードする必要があります。2 番目のステップは、ワイヤレスコントローラライセンスを申請することです。 H3C 公式 Web サイトにデバイスファイルが存在する必要があります。ワイヤレスコントローラーの displaylicescedevice-id でファイルの場所を確認し、FTP または TFTP でファイルをダウンロードし、登録する必要がある場所にアップロードします。。 3 番目のステップは、3 層ワイヤレス AP を登録することです。オプション 43 オプションを設定する必要があります。

May 17, 2023 am 10:40 AM

h3c

Python アンチクローラーの知識ポイントは何ですか?

1. クローラー対策が必要な理由? クローラー対策システムを設計する前に、まずクローラーが Web サイトにどのような問題をもたらすかを見てみましょう? 本質的には、Web サイトと、Web サイト上のデータを閲覧、表示、使用することができます。インターネット上のすべての人々はオープンでアクセスできるため、いわゆる「不正な許可されたアクセス」の問題はありません。 Web ページにアクセスするクローラプログラムと Web ページに人間がアクセスすることの間には、本質的な違いはありません。どちらの場合も、クライアントは Web サイトサーバーへの HTTP リクエストを開始します。リクエストを受信した後、Web サイトサーバーはコンテンツ応答をサーバーに返します。クライアント。リクエストが開始されると、Web サイトサーバーは応答する必要があり、応答するにはサーバーのリソースが消費されます。ウェブサイト訪問者とウェブサイトは相互に有益な関係にあり、ウェブサイトは訪問者に必要な情報を提供します。

May 17, 2023 am 10:18 AM

Python

Linux マルウェア SkidMap 分析を実行する方法

暗号通貨マイニングマルウェアは依然として蔓延する脅威です。また、サイバー犯罪者は、モバイルデバイス、Unix および Unix 類似システムからサーバーやクラウド環境に至るまで、マイニングマルウェアをさらに悪用するための新しいプラットフォームや手法をますます模索しています。攻撃者はマルウェアの検出を阻止する能力を向上させ続けています。たとえば、マルウェアにウォッチドッグコンポーネントをバンドルして、感染したマシンで違法な暗号通貨マイニング活動が継続するようにしたり、LD_PRELOAD ベースのルートキットを利用してコンポーネントをシステムで使用できなくしたりする Linux ベースのシステムが検出されました。 SkidMap は、最近発見された Linux マルウェアの一部であり、最近の仮想通貨マイニングの脅威がますます巧妙化していることを示しています。これ

May 17, 2023 am 09:56 AM

LinuxSkidMap