페이지 48-안전 프로그래밍 튜토리얼: 안전 온라인 학습-php.cn

Article Tags

안전

집

Technical articles

운영 및 유지보수

안전

XXL-JOB API 인터페이스에 대한 무단 액세스에 대한 RCE 취약점을 재현하는 방법

XXL-JOB 설명 XXL-JOB은 경량 분산 작업 스케줄링 플랫폼으로, 핵심 설계 목표는 신속한 개발, 손쉬운 학습, 경량 및 손쉬운 확장입니다. 이제 소스 코드가 공개되어 많은 회사의 온라인 제품 라인에 연결되어 즉시 사용할 수 있습니다. 1. 취약점 세부정보 이번 취약점의 핵심 이슈는 GLUE 모드입니다. XXL-JOB은 "GLUE 모드"를 통해 다중 언어 및 스크립트 작업을 지원합니다. 이 모드의 작업 기능은 다음과 같습니다. ● 다중 언어 지원: Java, Shell, Python, NodeJS, PHP, PowerShell... 및 기타 유형을 지원합니다. . ●WebIDE: 작업은 발송 센터에서 소스 코드 모드로 유지되며 WebIDE를 통해 온라인 개발 및 유지 관리를 지원합니다. ●동적 효과적: 사용자 온라인 커뮤니케이션

May 12, 2023 am 09:37 AM

APIXXLjob

IIS 오류 페이지에서 세부 콘텐츠 표시를 끄기 위해 보안 구성을 수행하는 방법

웹 보안을 위해 *** 웹 오류 페이지 정보를 통해 유용한 정보를 얻는 것을 방지하고 iis 오류 페이지를 꺼서 자세한 내용을 표시합니다. 1. iis 기능 보기를 열고 오류 페이지를 열고 기능 편집을 클릭한 후 기본값을 자세히로 설정합니다. 오류, 맞춤 오류를 선택하세요

May 12, 2023 am 09:28 AM

iis

JAVA 언어로 이중 확인 잠금을 분석하는 방법

1. 이중 확인 잠금 프로그램 개발에서 일부 고비용 개체 초기화 작업을 연기하고 이러한 개체가 사용될 때만 초기화해야 하는 경우가 있습니다. 이 경우 개체 초기화 작업을 지연하기 위해 이중 확인 잠금을 사용할 수 있습니다. 이중 확인 잠금(Double-check locking)은 동시 시스템에서 경쟁 및 동기화 오버헤드를 줄이기 위해 설계된 소프트웨어 설계 패턴으로, 일반적인 싱글턴 패턴을 기반으로 먼저 개체가 초기화되었는지 확인한 다음 잠글지 여부를 결정합니다. 이중 확인 잠금은 다중 스레드 환경에서 일반 싱글톤 패턴의 오류가 발생하기 쉽고 스레드가 안전하지 않은 문제를 해결하지만 여전히 숨겨진 위험이 있습니다. 다음은 Double-Check Locking 결함에 대한 원인 분석과 복구 방법을 JAVA 언어 소스코드를 예로 들어 설명한다. 2. 이중 확인 잠금의 위험성 이중 확인 잠금은

May 12, 2023 am 08:55 AM

Java

웹 침투 기술 분석 방법

현재 정보 네트워크의 지속적인 발전으로 사람들의 정보 보안에 대한 인식이 날로 높아지고 있으며 정보 시스템의 보안 보호 조치도 점차 향상되고 있으며 일반적으로 서버의 인터넷 경계에 방화벽을 설치하여 내부와 외부를 격리하고 있습니다. 네트워크이며, 외부에서 필요한 서버 포트만 노출됩니다. 이 조치를 채택하면 정보 시스템의 보안 수준이 크게 향상될 수 있습니다. 외부 공격자에게는 관련 없는 채널을 모두 닫고 필요한 입구만 남겨 두는 것과 같습니다. 하지만 이런 상태에서도 피할 수 없는 보안 문제가 여전히 남아 있는데, 바로 웹 취약점이다. 그 이유는 프로그램 작성 시 사용자의 입력 문자가 엄격하게 필터링되지 않아 해커가 자신의 목표를 달성하기 위해 조심스럽게 악성 문자열을 구성할 수 있기 때문입니다. 그렇다면 이러한 보안 문제가 있는지 어떻게 알 수 있습니까?

May 12, 2023 am 08:34 AM

web

APP 테스트 및 프로세스를 분석하는 방법

현재 작업에서 앱 테스트에는 클라이언트, 애플릿, h6 페이지 등의 측면이 포함됩니다. 이는 다르게 보일 수 있지만 매우 다릅니다. 클릭하여 그림 설명 추가(최대 60단어) 1. 기능 모듈 테스트: 기능 모듈 테스트에서 가장 중요한 것은 테스터의 논리적 사고 능력과 요구 사항에 대한 이해도, 일부 페이지 상호 작용, 입력 및 출력 고려 사항을 검사하는 것입니다. 등이므로 위 3가지가 공통적으로 적용되며 큰 차이는 없습니다. 2. 권한 관리: 1) 유사점: 권한이 허용되는 상황과 권한이 허용되지 않는 상황을 고려해야 하며, 시스템 권한 없이 더 많은 페이지를 테스트해야 합니다. 2) 차이점: 앱을 테스트할 때, 사용자가 이동통신, 사진 앨범, 카메라, 저장 공간 및 기타 권한에 접근할 수 있는지 여부, 권한이 해제되면 어떻게 되는지 고려해야 합니다. 미니프로그램인가

May 12, 2023 am 08:07 AM

App

앱이 충돌하는 6가지 일반적인 이유는 무엇입니까?

사람들은 특히 몇 초 동안 속도가 느려지거나 정지되는 경우 앱 충돌을 싫어합니다. DimensionalResearch의 조사에 따르면 사용자의 61%는 프로그램이 4초 이내에 실행될 것으로 예상하고, 49%는 입력이 2초 이내에 응답할 것으로 기대합니다. 앱이 충돌하거나 정지되거나 오류가 보고되면 사용자의 53%가 앱을 제거합니다. 목표가 소비자이든 기업이든 충돌 문제로 인해 완전히 중단될 수 있습니다. 저는 일부 모바일 개발자들에게 가장 흔히 발생하는 충돌 문제가 무엇인지 물었고 그들은 6가지 일반적인 원인을 제시했습니다. 1. 메모리 관리 제가 질문한 모든 사람들은 메모리 관리에 대해 이야기했습니다. 대부분의 앱은 시스템의 메모리를 차지하기 위해 많은 스레드를 시작합니다. 메모리. OpsC

May 11, 2023 pm 11:25 PM

App

SQL 인젝션 코드 수행 방법 설명

특정 웹사이트의 로그인 확인을 위한 SQL 쿼리 코드는 1 입니다.

May 11, 2023 pm 11:19 PM

6666

ATS가 캐싱 전략을 구현하여 동적 서비스 처리량을 늘리는 방법

먼저, 정책 조정 직후의 트래픽 다이어그램을 살펴보겠습니다. 사용자 경험을 향상하고, 캐시 증폭률을 높이는 동시에 고객 신고를 방지하기 위해 캐시를 분리할 때 많은 수고를 했습니다. 대용량 파일과 작은 파일, 그리고 작은 파일에 동적 콘텐츠와 정적 콘텐츠를 분리하여 기본적으로 저장할 수 있는 모든 내용을 저장했습니다. 이전 전략에 따르면 동적 콘텐츠는 직접 프록시됩니다. 1:1 출입이 가능하지만 일부 국에서는 멈추지 않습니다. 특정 배율에 도달해야 하고 접는 부분이 없으면 동적 콘텐츠에서 칼을 사용하면 됩니다. 본격적으로 시작하기 전에 먼저 분석을 하고 저장할 수 있는 동적 콘텐츠와 ATS 캐싱 전략에 대해 많은 테스트를 했는데 많은 이점을 얻었습니다. ATS의 현재 캐싱 전략은 http 프로토콜을 완전히 준수하며 가장 보수적인 캐싱 방법을 채택합니다.

May 11, 2023 pm 11:16 PM

ats

웹사이트 개발의 워크플로는 어떻게 되나요?

첫 번째 단계는 요구 분석을 수행하는 것입니다. 고객이 어떤 종류의 웹사이트를 구축하고 싶은지 묻는다면 고객의 요구를 이해하고 요구 분석을 수행해야 합니다. 어떤 사람들은 다음과 같이 질문할 수 있습니다. 수요 분석, 무엇이 분석됩니까? 예: 고객이 구축하려는 웹사이트 유형은 무엇입니까? 스타일은 어떤가요? 특정 요구사항이 있나요? 및 서버 공간 요구 사항. 두 번째 단계는 웹사이트 스케치의 니즈 분석을 재정의하고, 사용자 요구 분석을 바탕으로 웹사이트의 콘텐츠 섹션 스케치를 기획하는 것입니다. 일반적으로 웹사이트 스케치로 알려져 있습니다. 세 번째 단계는 아트 디자인 단계이며, 웹사이트 스케치를 바탕으로 아티스트가 렌더링을 진행합니다. 집을 짓는 것과 마찬가지로 먼저 렌더링을 그린 다음 집을 짓기 시작합니다. 웹사이트에서도 마찬가지입니다. 네 번째 단계는 프로그램 개발 단계로, 페이지 구조와 디자인에 따라 프론트엔드와 백엔드를 동시에 개발할 수 있다.

May 11, 2023 pm 11:16 PM

网站开发

링크를 설정하기 위한 TCP 3방향 핸드셰이크와 링크를 끊기 위한 4방향 웨이브의 분석 예

한 번에 한 단계 씩. 먼저 TCP 프로토콜에 대해 간단히 소개하겠습니다. TCP(TransmissionControlProtocol)는 연결 지향적이고 안정적인 바이트 스트림 기반 전송 계층 프로토콜입니다. 복잡하지만 프로그래머와 운영 및 유지보수 담당자 모두가 알아야 할 기본 기술입니다. 객체 지향 - 통신하기 전에 두 당사자가 미리 연결을 설정해야 합니다. 이는 실제 생활에서 전화를 걸어야 통신이 이루어지는 것과 같습니다. 신뢰성 - TCP 프로토콜에는 애플리케이션 데이터 분리, 재전송 메커니즘, 헤더 및 데이터 확인, 수신된 데이터 정렬 및 애플리케이션 계층으로 전달 등 통신 링크의 신뢰성을 보장하는 많은 규칙이 있습니다. 중복된 데이터를 버리고 흐름 제어를 수행할 수 있습니다.

May 11, 2023 pm 10:34 PM

TCP

JavaScript 단일 스레드와 작업 대기열이란 무엇입니까?

1. JavaScript가 단일 스레드로 설계된 이유는 무엇입니까? JavaScript 언어의 주요 특징은 단일 스레드라는 것입니다. 즉, 한 번에 한 가지 작업만 수행할 수 있다는 것입니다. for(varj=0;j

May 11, 2023 pm 10:31 PM

JavaScript

Android에서 정적 분석을 수행하는 방법

Android 리버스 엔지니어링은 Android 순방향 컴파일의 결과를 이해할 수 없기 때문에 CTF의 정적 분석의 전제는 나타나는 파일을 우리가 이해하고 정적 분석을 수행할 수 있는 소스 코드 레이어로 디컴파일하는 것입니다. 0X01 기본 설명: Android 애플리케이션의 로직 코드는 Java로 개발되므로 첫 번째 계층은 Java 코드입니다. Java 가상 머신 JVM은 Java 파일로 컴파일된 클래스 파일을 실행합니다. Android 가상 머신 Dalvik은 실행 후 생성되지 않습니다. Java Virtual Machine JVM 컴파일 클래스 파일이지만 패키징 후 생성된 dex 파일을 실행하고 다시 통합합니다. 컴파일 후 smali 파일 APK: 컴파일 후의 Andro입니다.

May 11, 2023 pm 10:28 PM

Android

PowerView 스크립트를 사용하는 방법

기존 내부 정찰 테스트에서는 netview, netuser 등과 같은 기본 제공 Windows 명령을 사용하여 호스트 및 도메인 정보를 얻습니다. 블루팀이 이러한 명령을 모니터링하고 경고를 트리거할 수 있기 때문입니다. 따라서 환경 탐색 중 탐지를 방지하려면 PowerShell 및 WMI와 같은 다른 방법을 사용하십시오. PowerViewPowerView는 WillSchroeder가 개발한 PowerShell 스크립트이며 PowerSploit 프레임워크 및 Empire의 일부입니다. 스크립트는 쿼리를 위해 PowerShell 및 WMI(Windows 관리 도구)에만 의존합니다. 기존 미터프리터 세션의 PowerVie

May 11, 2023 pm 09:49 PM

PowerView

컴퓨터 네트워크의 기본 지식 포인트는 무엇입니까

Ⅰ. 네트워크 수준의 구분 국제표준화기구(ISO)는 컴퓨터 네트워크를 더 큰 규모로 구축하기 위해 1978년에 유명한 OSI(Open System Interconnection) 모델인 "개방형 시스템 인터넷 참조 모델"을 제안했습니다. 표준 OSI 7계층 모델 외에도 일반적인 네트워크 계층 구분에는 TCP/IP 4계층 프로토콜이 포함됩니다. 이들 간의 대응 관계는 다음과 같습니다. OSI 7계층 네트워크 모델. -계층 모델 또는 TCP/IP 4계층 모델에서 각 계층은 해당 작업을 완료하고 상위 계층과 하위 계층 간에 통신하기 위해 고유한 전용 프로토콜을 가져야 합니다. OSI의 7계층 모델에 대한 자세한 설명부터 시작하겠습니다. (1) 물리 계층 물리 계층은 가장 기본적인 네트워크 구조입니다.

May 11, 2023 pm 09:49 PM

计算机网络