33 个回答
一般发现测试某个网站sql注入的时候,根据网站返回的报错信息存...
表字段名基本没啥用,如果有sql注入,基本都能跑出来。报错信息返回的后台路径,可以用在sql注入getshell的时候。另外,如果担心就尽量获取授权,或者打靶场,实在不行,就挂代理。
回答于 2024-03-26 15:31
python sock安全问题
1、未进行输入验证: 输入数据没有经过验证或过滤,可能导致输入注入攻击,如SQL注入、命令注入等。2、异常处理泄露信息: 在异常处理中直接将错误消息输出到控制台可能暴露敏感信息,应考虑记录错误日志并限制错误信息对外部可见性。3、未加密传输: 代码中使用的是TCP套接字,但没有提供加密机制。如果通过此代码处理敏感数...
回答于 2024-02-26 11:45
为什么登录审核日志这边看不到源IP呢
如果Windows登录日志中没有记录源IP和源端口,则可能是以下原因之一:没有启用登录审计:如果您的系统未启用登录审计,则Windows将不会记录任何登录尝试,包括源IP和源端口。要启用登录审计,请按照以下步骤操作:打开“本地安全策略”控制面板。选择“本地策略”>“审核政策”>“帐户登录活动”。启用“审核成功登录”和“审核...
回答于 2023-06-08 09:41
浅谈邮件伪造漏洞
SPF(Sender Policy Framework)是一种DNS记录类型,它允许您指定哪些IP地址可以发送电子邮件以及哪些域名或IP地址可以被认为是该邮件的发件人。但是,SPF并不能完全防止伪造的电子邮件,因为存在多个其他的因素会影响电子邮件的信誉和可靠性。以下是可能导致已添加SPF记录仍然无法完全防止伪造的原因:SPF不适用于未使用SP...
回答于 2023-05-08 17:28
何为XXE,如何防御?
XXE(XML External Entity)是一种安全漏洞,攻击者可以利用该漏洞读取本地或远程文件,执行任意命令等操作。这种漏洞存在于使用XML解析器的应用程序中,通常由于未对输入数据进行充分验证而导致的。在攻击者利用XXE漏洞时,他们会构造包含特定实体引用的XML文档,并将其提交给目标应用程序进行解析。当应用程序解析这个XML...
回答于 2023-04-13 16:50
SSRF无回显如何深度利用?
1、利用dict协议Dict是一种在线字典服务,你可以尝试寻找一个存在漏洞的服务,并使用dict协议构造请求进行查询。例如,可以使用Merriam-Webster等在线字典服务,并通过dict协议来查询单词的定义。以下是一个使用dict协议利用SSRF漏洞的示例:dict://your-vulnerable-server.com:80/DEFINE/some_word_here在这个示例中,your...
回答于 2023-04-13 16:48
奇安信代码静态扫描的 API误用-不安全的框架绑定正确改法是什么
1、更新框架版本:在发现存在该漏洞的情况下,第一时间应该更新使用的框架版本。当然,这需要开发人员评估整体系统的依赖性和风险,并确定更新是否会影响其他功能。2、禁用危险函数:如果无法进行更新,则可以尝试禁用受到攻击的函数或方法来防止攻击者利用该漏洞进行攻击。但需要注意,在禁用危险函数时,也可能会影响应用...
回答于 2023-04-13 11:48
请问:网络出口部署的威胁监测探针无法解密https流量,在下一层...
两个方案:一个是定期手动同步nat映射信息到探针中。第二个是做定制开发,从nat设备中获取私网ip对应的公网ip信息。
回答于 2023-01-28 16:53