ページ 42-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

Article Tags

安全性

ホームページ

Technical articles

運用・保守

安全性

SoapFormatter 逆シリアル化の脆弱性分析例

1. はじめに NetDataContractSerializer と DataContractSerializer は、Windows Communication Foundation (WCF) メッセージで送信されたデータをシリアル化および逆シリアル化するために使用されます。 2 つの間には重要な違いがあります。NetDataContractSerializer には CLR が含まれており、CLR 型を通じて追加情報を追加し、型精度をサポートする参照を保存しますが、DataContractSerializer には含まれていません。したがって、NetDataContr は、シリアル化側と逆シリアル化側で同じ CLR タイプが使用されている場合にのみ使用できます。

May 14, 2023 am 09:07 AM

SoapFormatter

JavaScriptで配列をオブジェクトに変換する方法

配列からオブジェクトへの変換配列をオブジェクトに変換する場合、最も早い方法はスプレッド演算子 (...) を使用することです。 varplants=['土星','地球','天王星','水星','金星','地球','火星','木星'

May 14, 2023 am 08:49 AM

JavaScript

オンライン行動管理がチームビューアを禁止するのはなぜですか?

数日前、深セン市ネットワーク・情報セキュリティ情報通知センターは、有名なリモートオフィスツール「TeamViewer」が海外のハッカーグループ「APT41」によって侵害されたとの緊急通知を出し、企業組織に保護措置を講じるよう呼び掛けた。言い換えれば、APT41 は TeamViewer のすべての保護システムを突破し、関連するデータ権限を取得しており、リスクレベルは非常に高いです。 Teamviewer が公式にソリューションを提供し、関連するパッチをリリースする前に、不必要な損失を避けるためにユーザーが Teamviewer ソフトウェアの使用を一時停止することをお勧めします。以下は、teamviewer の通信方法と、WSG Internet Behavior Management を使用して Teamviewer を禁止する方法の紹介です。 1.チームv

May 14, 2023 am 08:37 AM

TeamViewer

PPP で PAP 認証を実装する方法

【実験名】 PPPPAP 認証【実験の目的】 PPPPAP 認証のプロセスと設定を習得する【背景説明】あなたは会社のネットワーク管理者であり、増大するビジネスニーズを満たすために、会社は専用線アクセスを申請しました。 ISP がリンクネゴシエーションを実行するときは、ID を検証し、リンクが確実に確立されるようにルーターを構成し、そのセキュリティを考慮する必要があります。 [要件分析] リンクネゴシエーション中のセキュリティ検証を保証します。リンクネゴシエーション中に、ユーザー名とパスワードはクリアテキストで送信されます。【予備知識】ルータの基本的な設定知識、PPPAP の知識【実験装置】ルータ 2 台（シリアルポート付き） V.35 ケーブル（DTE/DCE） 2 本 1 ペア【実験原理】 PPP プロトコルは OSI のデータリンク層に位置します7層モデル、PPP契約

May 14, 2023 am 08:34 AM

ppppap

APACHE OFBIZ XMLRPC リモートコード実行の脆弱性の分析例

概要研究者は、ApacheOFBiz にデシリアライゼーションの脆弱性を報告しました。この脆弱性は複数の Java 逆シリアル化の問題によって引き起こされ、コードが /webtools/control/xmlrpc に送信されたリクエストを処理するときに引き起こされる可能性があります。認証されていないリモート攻撃者がこの脆弱性をトリガーして悪用し、細工した悪意のあるリクエストを送信することで任意のコードを実行する可能性があります。脆弱性分析 ApacheOFBiz は、企業の多くのビジネスプロセスの自動化を支援する一連のエンタープライズアプリケーションを提供するオープンソースのエンタープライズリソースプランニング (ERP) システムです。企業内のすべてのアプリケーションに共通のデータモデルとビジネスプロセスを提供するフレームワークが含まれています。

May 14, 2023 am 08:10 AM

ofbizxmlrpc

メッシュネットワークの長所と短所は何ですか?

メッシュネットワークの長所と短所: 1. 長所: ネットワークが自動的に修復され、その利点は、自動的にシームレスにローミングし、ルートを横断しても切断されないことです。弱い信号は自動的に削除され、自動的に強いルーター信号に接続されます。自己同期も可能で、メインルーターを変更し、サブルートは Wi-Fi やその他のパラメーター設定情報を自動的に同期します。ネットワークトポロジの自己修復機能は適応的であり、接続方法は有線接続、無線接続、有線と無線のハイブリッド接続に分けられます。 2. 欠点: ノードが多すぎます。欠点も明らかです。遅延です。各転送には一定の遅延が必要であり、複数回転送すると遅延が大きくなります。特にワイヤレスバックホールがチェーン接続を使用する場合、メッシュネットワークはリアルタイム要件が高いネットワークには適していません。ノードが多すぎてはいけないのですが、無線バックホール中にノードが多すぎると帯域幅に影響を与えるという特徴があります。

May 14, 2023 am 08:10 AM

mesh

TCPやIPのネットワーク層関連のパケットやデータを解析する方法

TCP/IP ネットワーク層関連のパケットとデータ 1) IP パケットのカプセル化: IPv4 は 32 ビット、IPv6 は 128 ビットです。 IP パケットの最大サイズは 65535 バイトです。その構造は次のとおりです: 追加の説明が必要です: サービスの種類: この IP パケットの優先度を示す PPP に主に分類され、現在はほとんど使用されません; D、0 の場合は、一般的な遅延 (遅延) を意味します。 1の場合は遅延が少ないことを意味します; T、0の場合は通常の送信量を意味します、1の場合は送信量が多いことを意味します; R、0の場合は一般的な信頼性を意味します1 は信頼性が高いことを意味します; UU: 予約済みでまだ使用されていません; 合計すると、形式は PPPDTRUU になります。フラグ: 形式は DM です。D が 0 の場合はセグメント化できることを意味し、0 の場合はセグメント化できることを意味します。

May 13, 2023 pm 11:55 PM

TCPip

Java 開発者が知っておくべきビッグデータツールとフレームワークは何ですか?

1. MongoDB - 最も人気のあるクロスプラットフォームのドキュメント指向データベース。 MongoDB は、C++ 言語で書かれた分散ファイルストレージに基づくデータベースです。 Web アプリケーションにスケーラブルで高性能なデータストレージソリューションを提供するように設計されています。アプリケーションのパフォーマンスはデータベースのパフォーマンスに依存します。MongoDB は非リレーショナルデータベースの中で最も機能が豊富で、最もリレーショナルデータベースに似ています。MongoDB 3.4 のリリースにより、そのアプリケーションシナリオ機能がさらに拡張されました。 MongoDB の主な利点は、柔軟なドキュメントモデル、可用性の高いレプリカセット、およびスケーラブルなシャードクラスターです。 MongoDB ツール、メモリ使用量、ページのリアルタイム監視など、さまざまな側面から MongoDB を理解することができます。

May 13, 2023 pm 11:49 PM

Java

データベース監査とは

データベース監査ツールとそのアプリケーションデータベース監査の作成、収集、分析には、ローカルデータベースプラットフォーム、システム情報/イベント管理とそのログ管理、データベースアクティビティ監視、およびデータベース監査プラットフォームの 4 つの基本プラットフォームがあります。 1. ローカル監査: データの取得にはローカルデータベースを使用しますが、イベントの保存、分類、フィルタリング、レポートにはデータベースシステム自体を使用します。 IBM、Microsoft、Oracle、Sybase はすべて、この状況に対して異なるソリューションを提供していますが、基本的にはすべて同じ情報を取得しようとしています。通常、データはデータベースに保存されますが、プレーンテキストファイルにエクスポートしたり、XML データとして他のアプリケーションに提供したりすることができます。ネイティブ関数を使用すると、取得、展開、管理にかかる時間を節約できます。

May 13, 2023 pm 11:46 PM

数据库

Web権限維持分析を実行する方法

はじめにパーミッションの維持は、赤青対決において、獲得したパーミッションが青チームによって破棄されるのを防ぐことと、他の赤チームが同じパーミッションを取得することを防ぐことの2点に意味があると思います（ただし、それは少し非倫理的です...)。他の状況での違法使用については触れません。権限を維持する原則は、元のビジネスの通常の運営に影響を与えることができないということだと思います。 (たとえば、バックグラウンドのパスワードを変更すると管理者はログインできなくなり、フォルダーの読み取りおよび書き込み権限を変更すると通常のファイルがアップロードできなくなります。)バックグラウンド権限の維持脆弱なパスワードやブラストによってバックグラウンド権限を取得する場合、管理者がパスワードを変更したり、他のレッドチームがパスワードを変更して権限を失うことを防ぐために、この場合はバックグラウンド権限を維持する必要があります。もちろん、バックグラウンドのパスワードを自分で変更するのは最も愚かな方法です。以下に従って方法を選択できます

May 13, 2023 pm 11:28 PM

web

JavaScriptを使用して可能な要素を検索する方法

注1. 検索したい一致パターンには、存在するかどうか不明な部分が含まれる場合がありますので、可能性のある要素をクエスチョンマークで指定できます。 2. これにより、前の 0 個または 1 個の要素がチェックされます。この記号は、先行する要素とみなすことができます。この例では、アメリカ英語 (お気に入り) とイギリス英語 (お気に入り) の単語バージョンと一致するように正規表現 favRegex を変更する必要があります。 letfavWord="favorite";letfavRegex=/change/;//この行を変更 letresult=favRegex.test(favWord);参照 letfavWord="favor

May 13, 2023 pm 11:07 PM

JavaScript

Pythonでリスト内の最も頻度の高い数値を見つける方法

リスト内の最も頻度の高い数値を検索します。 test=[1,2,3,4,2,2,3,1,4,4,4]print(max(set(test),key=test.count))# ->4 Python でよく使われるライブラリは何ですか? Python でよく使われるライブラリ: 1.requests; 2.scrapy; 3.pillow; 4.twist; 5.numpy; 6.matplotlib; 7.pygama; 8.ipyhton,等

May 13, 2023 pm 10:28 PM

Python

Android APP のテストプロセスと一般的な問題は何ですか?

1. 自動テスト自動テストには、主にいくつかの部分、UI 機能の自動テスト、インターフェイスの自動テスト、およびその他の特殊な自動テストが含まれます。 1.1 UI 機能の自動テスト UI 機能の自動テストは、自動テストと呼ばれることがあり、主に UI インターフェイスに基づいた自動テストであり、UI 機能のクリックはスクリプトによって実現され、手動の自動テストに代わって行われます。このテストの利点は、反復性の高いインターフェイス機能の機能テストのためにテストの人員を効果的に解放し、スクリプトの実行を使用して機能を迅速かつ効率的に返すことができることです。しかし、この種のテストには、維持コストが高い、判断を誤りやすい、互換性が不十分であるなどの欠点も明らかです。インターフェース動作をベースとしているため、インターフェースの安定性は高くなります。

May 13, 2023 pm 09:58 PM

Android

SQL インジェクション構文とは何ですか?

SQL インジェクション構文エラーインジェクション updatexml(1,concat(0x7e,(selectdatabase()),0x7e),1)--+extractvalue(1,concat(0x7e,(selectdatabase()),0x7e),1)--+selectcount (*)frominformation_schema.tabelesgroupbyconcat((selectdatabase(),floor(rand(0)*2)selectsubstr(version(),1,1)='

May 13, 2023 pm 09:52 PM

SQL