ページ 48-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

Article Tags

安全性

ホームページ

Technical articles

運用・保守

安全性

XXL-JOB API インターフェイスへの不正アクセスの RCE 脆弱性を再現する方法

XXL-JOB の説明 XXL-JOB は、軽量の分散タスクスケジューリングプラットフォームであり、その中心的な設計目標は、迅速な開発、容易な学習、軽量、容易な拡張です。ソースコードは現在公開されており、多くの企業のオンライン製品ラインに接続されており、すぐに使用できるようになっています。 1. 脆弱性の詳細この脆弱性の中心的な問題は GLUE モードです。 XXL-JOB は、「GLUE モード」を通じて多言語およびスクリプトタスクをサポートします。このモードのタスク機能は次のとおりです: ●多言語サポート: Java、Shell、Python、NodeJS、PHP、PowerShell... などをサポートします。。 ●WebIDE：タスクはソースコードモードでディスパッチセンターに保持され、WebIDEを通じてオンライン開発とメンテナンスをサポートします。 ●動的効果：ユーザーのオンラインコミュニケーション

May 12, 2023 am 09:37 AM

APIXXLjob

iis エラーページの詳細コンテンツ表示をオフにするセキュリティ構成を実行する方法

Web セキュリティの場合、*** が Web エラーページ情報を通じて有益な情報を取得するのを防ぎ、iis エラーページをオフにして詳細な内容を表示します。 1. iis 関数ビューを開き、エラーページを開き、関数の編集をクリックし、デフォルトを詳細に設定します。エラー、カスタムエラーを選択

May 12, 2023 am 09:28 AM

iis

JAVA言語でダブルチェックロックを解析する方法

1. ダブルチェックロックプログラム開発において、高コストのオブジェクトの初期化操作を延期し、それらのオブジェクトを使用するときのみ初期化する必要がある場合、ダブルチェックロックを使用してオブジェクトの初期化操作を遅らせることができます。ダブルチェックロックは、同時実行システムにおける競合と同期のオーバーヘッドを軽減するために設計されたソフトウェア設計パターンであり、通常のシングルトンパターンに基づいて、最初にオブジェクトが初期化されているかどうかを判断し、次にそれをロックするかどうかを決定します。二重チェックロックにより、マルチスレッド環境における通常のシングルトンパターンのエラーが発生しやすくスレッドセーフでない問題は解決されますが、依然としていくつかの隠れた危険性があります。以下では、JAVA 言語のソースコードを例として、ダブルチェックロックの欠陥の原因と修復方法を分析します。 2. 二重確認施錠の危険性二重確認施錠は危険です。

May 12, 2023 am 08:55 AM

Java

Webペネトレーションスキル分析の実施方法

現在、情報ネットワークの継続的な発展に伴い、情報セキュリティに対する人々の意識は日に日に高まっており、情報システムのセキュリティ保護対策も徐々に強化されており、通常はサーバーのインターネット境界にファイアウォールが設置され、内部情報と情報を隔離しています。外部ネットワークに接続され、外部に必要なサーバーポートのみが公開されます。この対策を採用することで、情報システムのセキュリティレベルは大幅に向上し、外部の攻撃者にとっては、無関係なチャネルをすべて閉じて、必要な入り口だけを残すようなものです。しかし、この状態でも避けられない一種のセキュリティ問題、それが Web の脆弱性です。その理由は、プログラムの作成時にユーザーの入力文字が厳密にフィルタリングされていないため、ハッカーが自らの目的を達成するために悪意のある文字列を慎重に構築できるためです。では、そのようなセキュリティ上の問題があるかどうかを確認するにはどうすればよいでしょうか?

May 12, 2023 am 08:34 AM

web

APPのテストとプロセスを分析する方法

私の現在の仕事では、アプリのテストにはクライアント、アプレット、h6 ページなどの側面が含まれます。これらは異なるように見えるかもしれませんが、まったく異なります。クリックして画像の説明を追加します (最大 60 単語) 1. 機能モジュールテスト: 機能モジュールテストで最も重要なことは、テスト担当者の論理的思考能力と要件の理解を調べることと、ページの対話性、入出力に関する考慮事項を検査することです。 , などなので、上記の3つは共通であり、大きな違いはありません。 2. 権限管理: 1) 類似点: 権限が許可される状況と許可されない状況を考慮する必要がある; システム権限なしでより多くのページをテストする必要がある 2) 相違点: アプリをテストするとき、ユーザーがモバイル通信、フォトアルバム、カメラ、ストレージスペース、その他の権限にアクセスできるかどうか、権限がオフになった場合に何が起こるかを検討する必要があります。ミニプログラムです

May 12, 2023 am 08:07 AM

App

アプリがクラッシュする 6 つの一般的な理由は何ですか?

人々はアプリのクラッシュ、特に数秒間速度が低下したりフリーズしたりすることを嫌います。 DimensionalResearch の調査によると、ユーザーの 61% はプログラムが 4 秒以内に起動することを期待し、49% は入力が 2 秒以内に応答することを期待しています。アプリがクラッシュ、フリーズ、またはエラーが報告された場合、ユーザーの 53% がアプリをアンインストールします。ターゲットが消費者であっても企業であっても、クラッシュの問題により完全に機能不全に陥る可能性があります。私は何人かのモバイル開発者に話を聞き、彼らが遭遇した最も一般的なクラッシュの問題は何であるかを尋ねたところ、次の 6 つの一般的な原因が見つかりました。 1. メモリ管理私が尋ねた全員がメモリ管理について話しました。ほとんどのアプリは、システムを占有するために多くのスレッドを開始します。メモリ。運用管理

May 11, 2023 pm 11:25 PM

App

SQLインジェクションコードの実行方法の説明

特定の Web サイトのログイン検証用の SQL クエリコードは次のとおりです: 1

May 11, 2023 pm 11:19 PM

6666

ATS が動的サービススループットを向上させるためにキャッシュ戦略を実装する方法

まず、ポリシー調整直後のトラフィック図を見てみましょう。ユーザーエクスペリエンスを向上させ、キャッシュの増幅率を高め、顧客からの報告を回避するために、キャッシュを実行する際には、大きなファイルと小さなファイルを分離することに多大な労力を費やしました。動的コンテンツと静的コンテンツを分離することで、基本的に保存できるものはすべて保存されます。動的コンテンツのみが開始されていません。前の戦略によれば、動的コンテンツは 1:1 エントリで直接プロキシされます。特定の倍率に達する必要がある場合、折り目が存在しない場合は、動的なコンテンツでナイフを使用するだけです。本格的に取り組む前に、まず分析を行い、保存できる動的コンテンツと ATS キャッシュ戦略について多くのテストを行いました。これにより、大きなメリットが得られました。 ATS の現在のキャッシュ戦略は http プロトコルに完全に準拠しており、最も保守的なキャッシュ方法を採用しています。

May 11, 2023 pm 11:16 PM

ats

Webサイト開発のワークフローはどのようなものですか?

まずはニーズ分析お客様から「どのようなWebサイトを作りたいですか？」と聞かれたとき、私たちはお客様のニーズを理解し、ニーズ分析を行う必要があります。「需要分析、何が分析されるの?」と疑問に思う人もいるかもしれません。例: 顧客はどのような種類の Web サイトを構築したいと考えていますか?スタイルはどんな感じですか？特定の要件はありますか?そしてサーバースペースの要件。 2 番目のステップは、Web サイトのスケッチのニーズ分析を再定義し、ユーザーのニーズ分析に基づいて Web サイトのコンテンツセクションのスケッチを計画することです。一般的には、Web サイトのスケッチとして知られています。 3番目のステップはアートデザイン段階で、Webサイトのスケッチに基づいてアーティストがレンダリングを作成します。家を建てるのと同じように、まず図面を描いてから家を作り始めますが、Web サイトも同様です。ステップ 4: プログラム開発段階では、ページの構造とデザインに従って、フロントエンドとバックエンドを同時に開発できます。

May 11, 2023 pm 11:16 PM

网站开发

リンクを確立するための TCP 3 方向ハンドシェイクとリンクを切断するための 4 方向ウェーブの分析例

一歩ずつ。まず、TCP プロトコルについて簡単に説明します。 TCP (TransmissionControlProtocol) は、コネクション指向で信頼性の高い、バイトストリームベースのトランスポート層プロトコルです。複雑ではありますが、プログラマーと運用保守担当者の両方が知っておく必要がある基本的なスキルです。オブジェクト指向 - 通信する前に、双方が事前に接続を確立する必要があります。これは、現実世界で電話をかけるのと似ています。通信を行う前に電話をかける必要があります。信頼性 - TCP プロトコルには、アプリケーションデータの分離、再送信メカニズム、ヘッダーとデータの検証、受信データの並べ替え、アプリケーション層への引き渡しなど、通信リンクの信頼性を確保するための多くのルールがあります。重複データを破棄し、フロー制御を実行できます。

May 11, 2023 pm 10:34 PM

TCP

JavaScript のシングルスレッドとタスクキューとは何ですか?

1. JavaScript はなぜシングルスレッドで設計されているのですか? JavaScript 言語の主な特徴は、シングルスレッドであること、つまり、一度に 1 つのことしか実行できないことです。 for(varj=0;j

May 11, 2023 pm 10:31 PM

JavaScript

Android で静的解析を実行する方法

Android のリバースエンジニアリングは逆コンパイルのプロセスであり、Android のフォワードコンパイルの結果は理解できないため、CTF での静的解析の前提は、表示されたファイルを理解できるソースコードの層に逆コンパイルして静的解析を実行することです。 0X01 基本説明: Android アプリケーションのロジックコードは Java で開発されているため、最初の層は Java コードです Java 仮想マシン JVM は Java ファイルによってコンパイルされたクラスファイルを実行します Android 仮想マシン Dalvik は実行後に生成されませんJava 仮想マシンの JVM コンパイル.class ファイルを実行しますが、パッケージ化後に生成された dex ファイルを実行して再統合します。コンパイル後の smali ファイル APK: コンパイル後の Andro です。

May 11, 2023 pm 10:28 PM

Android

PowerView スクリプトの使用方法

従来の内部偵察テストでは、netview、netuser などの組み込みの Windows コマンドを使用してホストとドメインの情報を取得します。青チームはこれらのコマンドを監視し、アラートをトリガーできるためです。したがって、PowerShell や WMI などの他の方法を使用して、環境探索中の検出を回避してください。 PowerViewPowerView は、WillSchroeder によって開発された PowerShell スクリプトであり、PowerSploit フレームワークおよび Empire の一部です。このスクリプトは、クエリのために PowerShell と WMI (Windows 管理ツール) のみに依存します。既存のメータープリターセッションからの PowerVie

May 11, 2023 pm 09:49 PM

PowerView

コンピュータネットワークの基礎知識とは何ですか

Ⅰ. ネットワークレベルの分割コンピュータネットワークをより大規模に構築するために、国際標準化機構(ISO)は1978年に有名なOSI(Open System Interconnection)モデルである「オープンシステムインターネット参照モデル」を提案しました。一般的なネットワーク層の区分には、標準の OSI 7 層モデルの他に、TCP/IP 4 層プロトコルがあり、それらの対応関係は次のとおりです: Ⅱ. OSI 7 層ネットワークモデル、OSI 7 層モデルかどうか-層モデルまたは TCP/IP 4 層モデルでは、各層は、対応する作業を完了し、上位層と下位層の間で通信するための独自の専用プロトコルを持たなければなりません。 OSI の 7 層モデルの詳細な説明から始めましょう。 (1) 物理層物理層は、最も基本的なネットワーク構造です。

May 11, 2023 pm 09:49 PM

计算机网络