第 32 页-web服务器安全_网站安全防护教程-PHP中文网

Article Tags

安全

首页

Technical articles

运维

安全

CNNVD关于 Drupal Core远程代码执行漏洞情况的通报是怎样的

国家信息安全漏洞库（CNNVD）收到关于DrupalCore远程代码执行漏洞（CNNVD-201804-1490、CVE-2018-7602）情况的报送。成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。Drupal的7.x版和8.x版等多个版本均受此漏洞影响。目前，该漏洞的部分漏洞验证代码已在互联网上公开，且Drupal官方已经发布补丁修复了该漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。一、漏洞介绍Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内

May 19, 2023 pm 06:55 PM

CNNVDDrupal Core

发现“小火车托马斯”智能玩具APP聊天应用漏洞的示例分析

漏洞发现背景ToyTalk是一家由皮克斯前高管创建的人工智能玩具初创公司，它们设计的智能玩具具备视觉跟踪、语音识别和网络扩展功能，能让儿童通过APP与玩具之间进行语音交流和行为反应识别，激发儿童与虚拟人物的谈话能力，更好地实现与玩具之间的互动乐趣。ToyTalk于2015年7月推出了一款名为“托马斯和他的朋友们与你聊天”（Thomas&FriendsTalkToYou）”的付费APP，能让儿童与知名卡通人物“小火车托马斯”（ThomastheTankEngine）互动聊天，它允许儿童在8

May 19, 2023 pm 06:31 PM

App

Django开发方法是什么

PART1.开始之前Django作为一款功能强大的Web应用框架，近年来逐步受到大家的欢迎，越来越多的Python开发者投入到Django的怀抱中，但是同样由于Django中的众多内容，大家在初入Django时总会感到有一些『心有余而力不足』，不知道从何处下手。或是待到初步了解后，不知道当前的做法是否优雅，不知道如何组织一个工程，如何去复用自己的代码。PART2.项目架构好的项目结构是成功的一半。2.1整体结构在默认情况下，由Django生成的项目结构大概是这样的：随着项目中的Applicati

May 19, 2023 pm 05:44 PM

django

cacti的基本应用是怎样的

监控本地虚拟机linuxconsole->management->devices，右边单击ADD输入以下内容，单击create选择所监控需要的图形模板和数据模板并保存保存好后单击CreateGraphsforthishost选择所需要生成的图像数据都选择好，单击Create继续单击CREATE创建图像成功把设备添加至树上Console->management->graphtrees，点击DefaultTree，然后再点击ADD如下图所示输入，点击Create，即可把设备添

May 19, 2023 pm 05:25 PM

cacti

Apple修复iOS和iPadOS中的代码执行漏洞有哪些

Apple公司本周修复了影响其iOS和iPadOS移动操作系统的多个严重代码执行漏洞。该IT巨头发布iOS14.3版本和iPadOS14.3版本，修复了11个安全漏洞，包括代码执行漏洞。攻击者可借助恶意字体文件利用其中最严重的漏洞在AppleiPhone和iPad上执行恶意代码。该厂商修复了两个字体解析漏洞CVE-2020-27943和CVE-2020-27944。Apple在安全公告中表示，这两个漏洞存在于FontParser组件中，处理字体文件的功能中存在内存损坏，已通过优化输入验证修复了漏

May 19, 2023 pm 04:26 PM

iOSiPadOS

ddos有哪几种攻击方式

ddos三种攻击方式是：1、SYN/ACKFlood攻击；主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。2、TCP全连接攻击；它是为了绕过常规防火墙的检查而设计的。3、刷Script脚本攻击；特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。网站最头痛的就是被攻击，常见的服务器攻击方式主要有这几种：端口渗透、端口渗透、密码破解、DDOS攻击。其中，DDOS是目前最强大，也是最

May 19, 2023 pm 04:10 PM

DDoS

怎么深入学习ARP协议

1、MAC定义MAC称为硬件地址，是网络中设备的唯一标识符，共计48bit。例如我的无线MAC：8C-A9-82-96-F7-66在系统里的展现形式是由16进制组成的6组数字组合。例如开头位的8C为8__c换成2进制位数为4X2=8位，8X6=48位。扩展内容：该地址是全球唯一的，没有重复的MAC地址，如果有重复的MAC地址出现在交换网络中，那是必定有环路，环路现象则会造成时通是不通或者根本不通。2、局域网内PC通信（IP与MAC）世界上有一种东西叫电脑，电脑上有LOL，CF，哈哈。IT世界是多

May 19, 2023 pm 03:15 PM

arp

如何利用深度链接方式后门化Facebook APP

近期，作者发现了Facebook安卓APP应用的一个深度链接漏洞，利用该漏洞，可以把用户手机上安装的Facebook安卓APP应用转变成后门程序（Backdoor），实现后门化。另外，利用该漏洞还可以重打包FacebookAPP，并将其发送给特定目标受害者安装使用。下面就来看看作者对该漏洞的发现过程，以及如何通过Payload构造，最终将其转化为FacebookAPP实际生产环境中的安全隐患。漏洞发现通常做众测时，我会先认真了解目标系统的应用机制。在我的上一篇博客中，我已经分享了通过解析Face

May 19, 2023 pm 02:49 PM

AppFacebook

交换机的端口安全实例分析

【实验名称】交换机的端口安全配置【实验目的】掌握交换机的端口安全功能，控制用户的安全接入【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络***和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4，该主机连接在1台2126G上边。【需求分析】针对交换机的所有端口，配

May 19, 2023 pm 01:55 PM

交换机

H3C端口安全技术是什么

在网络日益发达的今天，安全是不得不关注的一个话题。而在企业中威胁交换机端口的行为比较多，例如未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的笔记本，然后连入到企业的网络中，这会带来很大的安全隐患，很有可能造成机密资料的丢失。再比如说未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量，会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增

May 19, 2023 pm 12:46 PM

h3c

基于GRE的IPSec实例分析

IP安全保护GRE

May 19, 2023 pm 12:40 PM

ipsecgre

xss的小测试是怎样进行的

无安全方面的限制，直接使用alert(/xss/);限制条件：只能使用CSS，不允许使用html标签我们知道利用expression可以用来构造XSS，但是只能在IE下面测试，所以下面的测试请在IE6中执行。body{black;xss:alert(/xss/));/*IE6下测试*/}限制条件：对HTML进行了转义，Image标签可用。测试输入的字符会被插入到src地址中，那么可以使用伪协议来绕过。直接输入alert(/xss/);或者你也可以使用事件来绕过，注意闭合语句即可，如下：1&quo

May 19, 2023 am 11:37 AM

xss

bash漏洞复现的示例分析

BourneAgainShell（简称BASH）是在GNU/Linux上最流行的SHELL实现，于1980年诞生，经过了几十年的进化从一个简单的终端命令行解释器演变成了和GNU系统深度整合的多功能接口。Bash，Unixshell的一种。1989年发布第一个正式版本，原先是计划用在GNU操作系统上，但能运行于大多数类Unix系统的操作系统之上，包括Linux与MacOSXv10.4都将它作为默认shell。它也被移植到MicrosoftWindows上的Cygwin与MinGW，或是可以在MS-

May 19, 2023 am 11:13 AM

Bash

zabbix如何监控traceroute数据

1.zabbixserver和proxy安装mtrmtr脚本放置到zabbixserver和proxy如下路径：执行chownzabbix:zabbixmtrtrace.shzabbix创建mtrtrace模板：5.将主机关联到模板，zabbix中观察数据：【monitoring】-【latestdata】:

May 19, 2023 am 11:10 AM

zabbixtraceroute