精华内容
下载资源
问答
  • web上的信息
    千次阅读
    2021-11-13 20:17:42

    通过上一篇文章使我们得知了信息安全与网络安全之间的区别以及分别做什么的,今天我将给大家介绍一下信息安全中较为庞大的一个分支中的分支——web安全。

    web安全顾名思义,就是web服务的安全,web服务通常由服务器、中间件、插件、内容构成,而攻击者就是通过某种特殊的手段已达到拿下web服务器为目的。

    web安全每年都会由国际组织“开放式web应用程序安全项目(owasp)”来定义每年危害排前10的漏洞,但个人觉得每年这个榜基本上变化都不大,接下来我们就来了解一下该组织每年所定义的危害排名前十的漏洞(简称OWASP TOP 10):

    1.注入

            该漏洞是一个大类,其中细分为sql注入、命令注入、css注入、模板注入等通过某种特殊的手段去绕过限制使服务器或者数据库执行攻击者所传输的语句。

    2.访问控制

            该漏洞是因为程序或者服务器出现某种bug时导致了用户可以查看非用户本身的资料,使得攻击者能够通过某种特殊的手段去查看其他用户的资料并且能使普通用户使用到管理员用户的功能。

    3.加密失败

            该漏洞是今年新加入进来的,它是因为服务器在传输敏感数据(账户与密码)时因为某种原因导致密钥外泄、数据以明文传输等,从而使攻击者能够通过某种手段破译密文得到明文的漏洞。

    4.安全配置错误

            该漏洞是因为某种不经意的原因,使得软件的默认账户密码没有删除、默认配置没有修改等能被攻击者获取并轻易通过这类配置成功非法入侵进系统。

    5.过时的组件

            该漏洞是因为网站所用的中间件等组件没有即使的打补丁或者更新,使攻击者能够通过网上已公开的EXP进行攻击。

    6.服务器端请求伪造(SSRF)

            该漏洞是因为网站因为没有对远程获取资源的用户进行验证,导致非法用户都能成功获取到网站的铭感信息。

    7.安全日志或监控失效

            该漏洞是因为某种原因使服务器端的日志或监控没能对可疑的行为进行记录。

    8.软件和数据完整性缺失

            该漏洞是因为某种特殊的原因使得软件的数据在传输的半路被截胡了,然后等到达终端时数据以及被修改或者被删除了部分,从而导致终端用户没能阅读到原本所传输的数据。


    还有一些因为小白也没怎么搞明白(这是2021版的),所以在此先不进行介绍说明。

    更多相关内容
  • CTFShow Web入门_信息搜集

    千次阅读 2022-04-01 23:50:21
    也可以使用火狐浏览器右角菜单更多工具中的Web开发者工具 Web3 老样子用BP抓包看下 返回包中发现flag Web4 在url后加上/robots.txt查看爬虫文件 发现一个文件 访问 出现flag Web5 phps源代码泄露 访问...

    Web1

    image-20220314225911075

    右键查看源代码

    image-20220314225935080

    发现falg

    Web2

    image-20220314230516946

    发现无法右键

    使用BP抓包刷新抓取数据包放到重放器发送数据包

    image-20220314230633907

    拿到flag

    也可以使用火狐浏览器右上角菜单更多工具中的Web开发者工具

    image-20220314231209183

    image-20220314231126090

    image-20220314231233391

    Web3

    image-20220314231700848

    老样子用BP抓包看下

    返回包中发现flag

    image-20220314231738223

    Web4

    在url后加上/robots.txt查看爬虫文件

    image-20220314232149792

    发现一个文件

    访问

    image-20220314232215855

    出现flag

    Web5

    image-20220315171803308

    phps源代码泄露

    访问index.phps

    image-20220315171853386

    image-20220315171858003

    image-20220315171942410

    拿到flag

    Web6

    根据题目

    image-20220315190811938

    访问www.zip

    image-20220315190854205

    image-20220315190907580

    拿到flag

    提交

    image-20220315191209690

    是个假flag

    看到题目说解压到了当前目录 直接访问fl000g.txt试下

    image-20220315191310368

    出现flag

    Web7

    image-20220315192327345

    git源码泄露

    访问.git

    image-20220315192408795

    拿到flag

    Web8

    image-20220315192940618

    还是版本控制

    除了git还有一个版本控制是svn

    直接访问.svn

    image-20220315193042837

    拿到flag

    Web9

    image-20220315194812318

    这个题主要考察 vim的缓存泄露

    以 index.php 为例

    第一次产生的缓存文件名为 .index.php.swp
    第二次意外退出后,文件名为.index.php.swo
    第三次产生的缓存文件则为 .index.php.swn
    注意:index前有 " . "

    访问index.php.swp

    image-20220315195216485

    image-20220315195242027

    拿到flag

    Web10

    image-20220315211938803

    F12打开开发者工具 打开网络抓包,查看cookie

    image-20220315212145315

    Web11

    image-20220315212420525

    使用域名解析查看

    http://www.jsons.cn/nslookup/

    image-20220315212610660

    Web12

    image-20220315213126831

    image-20220315213119215

    一个购物界面

    页面最下面发现一串可以数字

    image-20220315213043070

    根据题目我们要进入到后台

    看下robots.txt爬虫文件看下有什么目录

    image-20220315213223077

    发现一个admin目录

    image-20220315213247394

    用户名admin 密码就是上面那串数字

    image-20220315213334050

    拿到flag

    Web13

    image-20220315213423939

    页面最下面查看文档

    image-20220315213753195

    image-20220315213826590

    发现目标

    访问目录/system1103/login.php

    image-20220315213947106

    使用默认密码登录

    image-20220315214022669

    拿到flag

    Web14

    image-20220315214124007

    打开 链接像是某个app的官方界面

    根据题目访问/editor

    image-20220315215323992

    是一个编辑器,点击图片

    image-20220315215344782

    点击图片空间可以遍历服务器目录

    image-20220315215434205

    发现flag文件

    接下来在url访问,直接在url后面加/nothinghere/fl000g.txt

    image-20220315215523391

    拿到flag

    Web15

    image-20220315215807585

    image-20220315215953619

    打开页面最下面发现一个邮箱

    url后面输入admin进入到后台

    发现一个忘记密码的操作

    image-20220315220408424

    我们刚才得到一个邮箱 正好是qq邮箱可以通过qq信息查看城市

    image-20220315220733711

    在西安

    image-20220315220811268

    登录后台拿到flag

    image-20220315220903318

    Web16

    image-20220315221153306

    在url后面添加tz.php

    image-20220315221807760

    进入探针页面查看phpinfor

    搜索flag

    image-20220315221855292

    拿到flag

    Web17

    image-20220315222018553

    备份文件一般命名为backup访问backup.sql

    image-20220315222236426

    image-20220315222251785

    拿到flag

    Web18

    image-20220315222502436

    使用开发者工具查看js文件

    image-20220315223020389

    解码看下

    image-20220315223049696

    访问110.php

    image-20220315223113606

    拿到flag

    Web19

    image-20220315223607588

    右键查看源代码

    image-20220315223646712

    发现账号密码

    hackbar使用post提交

    image-20220315224036124

    image-20220315224042961

    拿到flag

    Web20

    mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。

    访问/db/db.mdb

    下载数据库备份文件

    使用easyaccess打开搜索flag

    image-20220315225015240

    展开全文
  • 漏洞修复:web应用服务器版本信息泄露方案一:建立错误机制,不要把真实的错误反馈给访问者方案二:Tomcat服务器隐藏版本信息 Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后...

    Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
    在这里插入图片描述

    方案一:建立错误机制,不要把真实的错误反馈给访问者

    可以通过在web.xml添加对相应的错误页面:

    	<!-- 默认的错误处理页面 -->
    	<error-page>
    		<error-code>403</error-code>
    		<location>/errors/403.html</location>
    	</error-page>
    	<error-page>
    		<error-code>404</error-code>
    		<location>/errors/404.html</location>
    	</error-page>
    	<error-page>
    		<error-code>500</error-code>
    		<location>/errors/500.html</location>
    	</error-page>
    
    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>404</title>
    </head>
    <body>
        页面迷路咯
    </body>
    </html>
    

    效果:
    在这里插入图片描述

    方案二:Tomcat服务器隐藏版本信息

    版本信息配置在安装目录lib下,名称为 catalina.jar,修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来隐藏tomcat的版本信息

    # server.info=Apache Tomcat/7.0.63
    server.info=Tomcat
    server.number=7.0.63.0
    server.built=Jun 30 2015 08:08:33 UTC
    

    效果:
    在这里插入图片描述
    修改Tomcat版本信息后,Idea配置检查通不过,启动会报异常:
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • 1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP头信息公开 ...1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...

    1、安全漏洞说明

    使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞

    1.1、安全漏洞:Web服务器HTTP头信息公开

    风险级别:中风险
    漏洞个数:4
    漏洞详情:

    端口协议服务
    443TCPWWW
    80TCPWWW
    8000TCPWWW
    8080TCPWWW

    1.2、安全漏洞:Web服务器错误页面信息泄露

    风险级别:中风险
    漏洞个数:4
    漏洞详情:

    端口协议服务
    443TCPWWW
    80TCPWWW
    8000TCPWWW
    8080TCPWWW

    2、漏洞分析

    1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口
    2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服务

    结论:Nginx有4个虚拟机存在安全漏洞,对应的端口分别是443、80、8000和8080

    3、漏洞解决

    3.1、找到漏洞端口对应的Nginx虚拟机配置文件

    这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。
    以漏洞详情中的4个端口号作为关键字查找

    # grep -rE "443|80|8080|8000" /etc
    # grep -rE "443|80|8080|8000" /opt
    

    nginx虚拟机配置文件格式一般有如下字段

    server {
        listen 8080...
    }
    

    可以做区分

    3.2、修改虚拟机配置文件

    3.2.1、修改方法

    参考nginx官网
    http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens

    Syntax:	server_tokens on | off | build | string;
    Default:	
    server_tokens on;
    Context:	http, server, location
    Enables or disables emitting nginx version on error pages and in the “Server” response header field.
    
    The build parameter (1.11.10) enables emitting a build name along with nginx version.
    
    Additionally, as part of our commercial subscription, starting from version 1.9.13 the signature on error pages and the “Server” response header field value can be set explicitly using the string with variables. An empty string disables the emission of the “Server” field.
    

    3.2.2、配置文件修改

    8080配置文件

    server {
        listen 8080...
    }
    

    增加一行

    server {
        listen 8080...
        server_tokens off;
    }
    

    443配置文件

    server {
        listen 443...
    }
    

    增加一行

    server {
        listen 443...
        server_tokens off;
    }
    

    8000配置文件

    server {
        listen 8000...
    }
    

    增加一行

    server {
        listen 8000...
        server_tokens off;
    }
    

    80配置文件

    server {
        listen 80...
    }
    

    增加一行

    server {
        listen 80...
        server_tokens off;
    }
    

    3.3、重启ngnix服务

    # systemctl restart nginx
    
    展开全文
  • 简单java web学生信息管理系统

    千次下载 热门讨论 2015-07-30 09:52:37
    本人是新手,也刚开始java web的学习,就在网上找了个例子练手,是一个简单的jsp+servler的学生管理系统。网址:http://www.javazhijia.com/ym/web/193.html导入到eclipse有点报错,我自己做了一点修改,将oracle...
  • 这里用到 web3js 1.3.5 版本了,如果版本是新版,可以用下面的方法连接。 <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <meta name="renderer" content="webkit"/> &...
  • web3js方法获取账户信息和余额

    千次阅读 2021-04-01 18:17:08
    web3js文档 web3浏览器检查 if (typeof window.ethereum !== 'undefined') { console.log('MetaMask is installed!'); } 获取账户信息 // 引入 //<script src="./node_modules/web3/dist/web3.min.js">...
  • Web服务器HTTP头信息公开 漏洞

    万次阅读 2020-07-16 19:41:05
    远程Web服务器通过HTTP标头公开信息 远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。 解决办法 修改Web服务器的HTTP头以不公开关于底层Web服务器...
  • Tomacat错误信息...Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面。这个时候,黑客们,根据服务器的版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全...
  • C#基于asp.net的学生信息管理系统(Web

    万次阅读 多人点赞 2020-08-09 09:56:09
    需要指出的是,用Visual Studio 2019编写基于asp.net的Web程序时,页面布置并不像开发基于.net的Windows桌面应用程序那样方便和简单,若想要一个美观的布局,就需要用到css以及控件table等工具用心布置,在这个项目...
  • 比方说我现在访问:http://localhost:8080/pages/xx.jsp,应该会报404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对错误进行处理,在web.xml添加对相应的错误页面:&lt;!-- 默认...
  • 可以通过Web Of Science 页面提交修改申请 方法一: 1.打开wos中文章的具体页面,在右下角有一个 suggest a correction 链接 2.点击链接 进入信息申请页面 需要填写的信息分为两个部分: 注意,如果要修改的地方...
  • 漏洞描述: ...隐藏server信息 vim src/http/ngx_http_header_filter_module.c 第49行 2. 进入nginx的配置文件目录: cd /usr/local/nginx/conf 3. 修改配置文件 vim nginx.conf 增加server_t..
  • Web4.0中web.xml头信息

    万次阅读 多人点赞 2018-05-13 18:55:22
    Web4.0: &amp;lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&amp;gt; &amp;lt;web-app xmlns=&quot;http://xmlns.jcp.org/xml/ns/javaee&quot; xmlns:xsi...
  • 什么是 Web3 游戏?

    万次阅读 2022-07-21 21:28:05
    此外,Web3游戏提供了边玩边赚的创新优势,而不是传统游戏中的付费游戏模式。因此,Web3游戏可以提供更好的透明度。...事实,基于Web3的游戏为通过去中心化的方式参与游戏提供了一种创新的视角。...
  • web应用安全测试之信息泄露

    千次阅读 2020-12-07 18:45:40
    文章目录robots.txt泄漏敏感信息漏洞描述测试方法:风险分析:风险等级:修复方案:可根据实际情况,进行如下对应的修复:敏感文件信息泄漏漏洞描述:测试方法:风险分析:风险等级:修复方案:过时的、用于备份的...
  • Web2.0这个概念从提出到现在,快20年了。我们为什么还要提这个老掉牙的话题?就是因为,我们不想清楚Web2.0的得失成败,我们就无法成功地开启Web3.0。Web2.0时代,十年时间,无数创业者、无数资本,一场空。要么转,...
  • Web理论篇】Web应用程序安全与风险

    千次阅读 多人点赞 2022-04-19 17:00:14
    前言 ✅✅博客主页: 花城的包包 欢迎关注点赞收藏⭐️留言 本文收录于黑客攻防技术全栈系列专栏:30天黑客攻防技术从入门到精通....目录前言1.Web应用程序的发展历程1.1 Web应用程序的常见功能1.2 Web应用程序的优.
  • 第一次接触到web api,发现这个东西是REST风格的:---- 微软的web api是在vs2012的mvc4项目绑定发行的,它提出的web api是完全基于RESTful标准的,完全不同于之前的(同是SOAP协议的)wcf和webService,它是简单...
  • WEB服务器端技术

    千次阅读 2022-04-11 17:39:07
    事实,对于Web系统来说,相比于客户端技术,服务器端技术更是深不可测,其各类技术,系统架构,处理方式等千变万化。服务器端的技术进步,同样要求软件测试技术的同步前进,也更加要求软件测试人员能够跟技术的...
  • 新版Web of Science导出文献全记录信息

    万次阅读 热门讨论 2021-08-02 10:21:00
    问题:想导出检索文献纯文本格式的全记录与参考文献作为进一步的文献计量分析或文献管理等,但新版Web of Science好像不支持? 尝试解决:首页检索时勾选Web of Science核心合集后再操作,显示“全记录”但并无...
  • web3.js查询和修改链的合约数据

    万次阅读 2022-01-06 15:58:48
    web3.js
  • 如何用web3j获取以太坊所有块和交易信息

    千次阅读 热门讨论 2020-10-15 21:46:28
    ​ 官方的介绍是:web3j是一个轻量级的、高度模块化的、响应式的、类型安全的Java和Android库,用于处理智能契约和集成以太网络的客户端(节点)。 ​ 通过web3j,我们可以使用java语言很容易的完成:获取以
  • 在VMware搭建web服务器

    千次阅读 2020-04-25 09:45:44
    1.创建角色 开始–>管理工具–>服务器–>服务器管理器–>...Internet信息管理服务器–>网站–>Default web sit–>点击“基本设置”–>修改路径C/Inteput/wwwroot 在浏览器中打开ht...
  • 隐藏服务器header与web软件版本信息

    千次阅读 2019-01-15 10:45:24
    而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次...
  • ctf.show萌新模块 web10关,这一关考察的是命令执行漏洞的利用,闯关者需要知道3个以上PHP命令执行函数的使用,推荐使用passthru() 页面中展示了部分源码,并提示我们 flag 在 config.php 文件中 源码中...
  • 如何批量下载web of science的文献?

    千次阅读 2022-06-03 12:09:01
    科研文献浩如烟海,如何才能找到对自己有重要参考意义的文献,是每个科研工作者都必须要面对的课题,而从其中快速地、准确地获取最有用的信息,更是重中之重。今天我们就给大家带来了Web of science中英文文献检索、...
  • web3.js监听链事件并记录在数据库

    万次阅读 2021-11-25 16:23:11
    文章目录使用truffle新建个项目在src文件写监听事件的代码db.jsdbhelper.jsindex.js 使用truffle新建个项目 truffle使用参考 truffle文档 文件目录如下: contracts/: Solidity合约目录 migrations/: 部署脚本文件...
  • Web3代表着互联网迭代的下一个阶段,代表着一个开放的网络世界。2022年,人们更加期待web3能有更大发展
  • C# WebApi 返回详细错误信息

    千次阅读 2019-03-26 21:09:59
    笔者在写一个 WebApi 项目时,出现 500 错误时访问 API 地址总是返回 An error has occurred. 却无法看到详细错误信息,导致无法调试,本文通过修改全局设置让发生错误时显示详细信息

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,223,273
精华内容 889,309
热门标签
关键字:

web上的信息