- openssh 编译安装 封装rpm
tar-zxfopenssl-1.1.0k.tar.gzyum-yinstallwgetpam*yuminstall-yperlrpm-buildgccgcc-c+iglibcglibc-developenss1-developensslprcepcre-develzlibzlib-develcd/root/openssh/openssl-1.1.1v./config--prefix=/openssh9.4p1--openssldir=/open......
- 带你读论文丨Fuzzing漏洞挖掘详细总结 GreyOne
本文分享自华为云社区《[论文阅读](03) 清华张超老师 -Fuzzing漏洞挖掘详细总结 GreyOne》,作者: eastmount。一.传统的漏洞挖掘方法演讲题目: 数据流敏感的漏洞挖掘方法内容摘要: 模糊测试近年来成为安全研究人员的必备的漏洞挖掘工具,是近年来漏洞披露数量爆发的重要推手......
- QQ9.7.13版本及以下RCE漏洞
00、声明:本文仅仅作为学习漏洞原理,为了更好的防范利用漏洞进行的攻击行为,请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》01、漏洞环境攻击方和受害方双方均为windowsQQ9.7.13版本及以下复现时间:2023.8.2114:300......
- Web安全漏洞解决方案
1.已解密的登录请求 推理:AppScan识别了不是通过SSL发送的登录请求。测试请求和响应: 1.1.1产生的原因 登录接口,前端传入的密码参数没有经过md5的加密就直接传给了后端1.1.2解决方法前端代码传参的时候做md5加密处理 2.会话标识未更新推理:测试结果似乎指......
- Haxx curl相关漏洞修复参考[CVE-2022-4355]
Haxxcurl/libcurl安全漏洞修复参考libcurl是一个免费,易用的客户端传输库,支持DICT,FILE,FTP,FTPS,Gopher,HTTP,HTTPS,IMAP,IMAPS,LDAP,LDAPS,POP3,POP3S,RTMP,RTSP,SCP,SFTP,SMTP,SMTPS,TelnetandTFTP等协议。libcurl支持SSL认证,HTTPPOST,HTTPPUT,FTP上......
- 反序列化漏洞利用思路
序列化和反序列化本身没有问题,但是如果反序列化的1.内容是用户可以控制的,且后台2.不正当的使用了PHP中的魔法函数,就会导致安全问题。当传给unserialize()的3.参数可控时,可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。存在漏洞的思路:一个类用于临时将日......
- openssh的替代方案
软件官网:https://matt.ucc.asn.au/dropbear/releases/操作步骤:1、wgethttps://matt.ucc.asn.au/dropbear/releases/dropbear-2022.83.tar.bz2./configureake&&akeinstall2、配置dropbearmkdir/etc/dropbear/usr/local/bin/dropbearkey-tdss-f/etc/dropbear/dropbea......
- 棱镜七彩荣获“国家信息安全漏洞库(CNNVD)技术支撑单位一级证书”
近日,中国信息安全测评中心公布2023年度国家信息安全漏洞库技术支撑单位名单,棱镜七彩荣获中国信息安全测评中心颁发的“国家信息安全漏洞库(CNNVD)技术支撑单位等级(一级)证书”,成为CNNVD最高级别的技术支撑单位之一。图CNNVD一级技术支撑单位证书CNNVD技术支撑单位计划旨在通过整合业......
- XXE漏洞
XXE漏洞xmlexternalentityinjection外部实体注入$xml=simplexml_load_string($data);//运行xml语句危害:可以读取磁盘上的文件<?xmlversion="1.0"encoding="utf-8"?><!doctypenote[<!ENTITYxxeSYSTEM"file://E://in.txt">]><login......
- XXE漏洞--xml基础知识
一、XML基础知识可以用于配置文件、交换数据要求:XML文档必须有根元素XML文档必须有关闭标签XML标签对大小写敏感XML元素必须被正确嵌套XML属性必须加引号DTD(DocumentTypeDefinition)文档类型定义自动校验格式内容,元素ELEMENT校验实体ENTITY定义字符或值,相当于全局变......