安全计算环境之windows操作系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)用户需要输入用户名和密码才能登录 2)windows默认用户名具有唯一性 3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本
一开始看到这个建站系统,感觉有些庞大,遂先百度搜索 DM 建站系统的漏洞 的历史文章 ,然后去CNVD查了查,发现可能存在代码开发人员安全意识不够高的问题,于是先看了看先知论坛上大佬的文章,感觉受益匪浅,其实总体思路还是之前那一套,不过从大佬身上学习到了很多,这里就记录下一步步学习的过
一款基于 WEB 的通用数据管控工具 - CloudQuery 前言 前段时间,公司因为业务发展,数据量攀升,老板迫切需要一个工具对数据进行精细化管理,一是确实需要精细化管理;二是因为我们公司小,数据本来就乱,加上前两天链家员工删库跑路事件,老板估计有点慌,万一谁心情不好来个 rm-rf /*,公司就凉了,于
--启用sys审计 alter system set audit_sys_operations='TRUE' --启用db审计 alter system set audit_trail='DB_EXTENDED' scope=spfile ; --迁移aud$表到用户自定义表空间 BEGIN DBMS_AUDIT_MGMT.set_audit_trail_location( audit_trail_type => DBMS_AUDIT_MGMT.AUD
前段时间,公司因为业务发展,数据量攀升,老板迫切需要一个工具对数据进行精细化管理,一是确实需要精细化管理;二是因为我们公司小,数据本来就乱,加上前两天链家员工删库跑路事件,老板估计有点慌,万一谁心情不好来个 rm-rf /*,公司就凉了,于是,这任务就喜忧参半的落到了我的头上,而且老板临
用SYSAUDITOR审计管理员用户登录 审计有三种状态: 0:关闭审计 1:打开普通审计 2:打开普通审计和实时审计 ----查看审计状态 SELECT * FROM V$DM_INI WHERE PARA_NAME='ENABLE_AUDIT'; ----打开审计功能 SQL> SP_SET_ENABLE_AUDIT (1); 审计文件存放在数据库的 SYSTEM_PATH 指定
这个网站管理系统和之前我挖的那个网站管理系统差不多,都是一套源码,衍生出 XXX教师管理系统,XXX维修管理系统,XXX学生管理系统等这些产品,只要挖一个就能挖出所有产品的通用型漏洞。 挖这个管理系统确实是有一些艰难,主要是因为 ASP 的源码我不是很太懂,但是asp管理系统的漏洞确实很多。
随着企业规模不断发展壮大,为提升企业运行效率,降低运营成本,企业信息化系统也在日益壮大,运维问题也日趋复杂,企业核心数据资源的安全无法进行有效管控,为企业健康发展埋下隐患。 基于此原因,企业信息化建设需在满足业务运行的前提下,加强内控与安全审计力度,切实保障信息系统安全运行
在上一期我们介绍了远光ECP用户中心产品是基于微服务的安全管理能力的业务中台。用户中心通过对用户数据的统一管理、与业务系统进行业务集成,提供功能、组件和服务等不同模式,实现业务系统与用户中心的快速接入,解决业务系统对用户中心的应用需求。 用户中心审计管理实现用户统
1、下载安装 打开/etc/yum.repos.d/cisofy-lynis.repo 文件,增加以下内容。 [lynis] name=CISOfy Software - Lynis package baseurl=https://packages.cisofy.com/community/lynis/rpm/ enabled=1 gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key gpg
因为触及敏感词v-p-n,需要将 ‘-’去掉。 设备默认账号默认密码深信服产品sangforsangfor sangfor@2018 sangfor@2019深信服科技 AD dlanrecover深信服负载均衡 AD 3.6adminadmin深信服WAC ( WNS V2.6)adminadmin深信服v-p-nAdminAdmin深信服ipsec-V-P-N (SSL 5.5)AdminAdmin
一.开启审计 alter system set audit_sys_operations=TRUE scope=spfile; --审计管理用户 alter system set audit_trail=db,extended scope=spfile; //将sql语句写入审计表中 重启数据库查看 shutdown immediate; startup; show parameter audit; 二.迁移审计表(因审计表默
此文为转载翻译文章(可能会出现错误) 目录 潜在的XPath注入(XPATH_INJECTION) 找到Struts 1端点(STRUTS1_ENDPOINT) 找到Struts 2端点(STRUTS2_ENDPOINT) 找到了Spring端点(SPRING_ENDPOINT) 禁用Spring CSRF保护(SPRING_CSRF_PROTECTION_DISABLED) Spring CSRF无限制请求映射(SPRING_
此文为转载翻译文章(可能会出现错误) 目录 可预测的伪随机数生成器(PREDICTABLE_RANDOM) 可预测的伪随机数生成器(Scala)(PREDICTABLE_RANDOM_SCALA) 不受信任的servlet参数(SERVLET_PARAMETER) 不受信任的Content-Type标头(SERVLET_CONTENT_TYPE) 不受信任的主机名标头(SERVLET_SERVER_
## 前言 这是我在此发表的第一篇代码审计的文章,仅供学习参考!首发于哈拉少安全小队微信公众号 一、Cms初识: FengCms——由地方网络工作室基于PHP+MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序
2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国正式迈入等保2.0时代。 今天以等保三级为标准,介绍下认证
2020年下半年总结与计划 0x00 前言 2020年到如今已经到了十二月中旬,下半年所学的东西还是挺多,我觉得学习的一个效率也是有着飞跃般的提升。主要的原因可能在于我和我的好朋友(基友)住在一个房间,互相督促学习。其次的原因是在这互相督促中基本都撸到4点左右进行学习一个新的东西。包
目录 crunch_创建字典工具 wordlist——kali内建字典 hashid/hash-identifier fcrackzip-ZIP压缩文件口令审计 cupp3_cewl_fab-cewl-定制字典 cupp3 cewl samdump2-Windows口令摘要 chntpw-Windows口令修改 hydra pw-inspector-口令过滤 crunch_创建字典工具 目标系统实施
什么是堡垒机 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 用一句话来说,堡垒机就是用来后控制
目录前言环境准备工具准备熊海CMS_V1.0概述SQL注入漏洞总结 前言 最近这段时间感觉自己很迷,不知道学什么,也不想学什么,但不学点东西,以后怎么办。所以还是继续努力吧!!!因为自己是初学代码审计,所以很多都不懂,哎,继续当个憨憨吧。 环境准备 Windows10 phpstudy2018:apache+mysql+php5.6.27
dm审计分析工具 1、主要功能:审计规则的创建与修改,审计记录的查看与导出 2、审计开关和权限 在DM 系统中,专门为审计设置了开关,要使用审计功能首先要打开审计开关。审计开 关由过程VOID SP_SET_ENABLE_AUDIT(param int);控制,过程执行完后会立即 生效,param 有三种取值: 0:关闭审计 1:
Java 审计之XXE篇 0x00 前言 在以前XXE漏洞了解得并不多,只是有一个初步的认识和靶机里面遇到过。下面来 深入了解一下该漏洞的产生和利用。 0x01 XXE漏洞 当程序在解析XML输入时,允许引用外部实体,导致能够引用一个外部恶意文件,可导致执行系统命令,内网端口检测,文件读取,攻击内网服务,d
Java 审计之SSRF篇 0x00 前言 本篇文章来记录一下Java SSRF的审计学习相关内容。 0x01 SSRF漏洞详解 原理: 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 大部分的web服务器架构中,web服务器自身都可以访问互联网和服务器所在的内网。 ssrf作用: 对外
前言: 在资源搜索网盘下载到了这套源码,决定拿它练下手分析一下代码的逻辑,加深对一些常见漏洞的理解。如果有什么不对的地方,欢迎师傅们指出。源码是基于thinkphp5+mysql开发 前台SQL注入 漏洞位置 \application\index\controller\Goods.php public function ajaxkdata() {
Java审计之XSS篇 0x00 前言 继续 学习一波Java审计的XSS漏洞的产生过程和代码。 0x01 Java 中XSS漏洞代码分析 xss原理 xss产生过程: 后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。 XSS代码分析 在php里面会使用echo对用户输入