Java 0day Jre远程代码执行分析测试(2)
测试了一下,这里记录一下结果:1、使用网上的poc,在java6u23,java6b13, java7u6下分别测试。(为什么要测试java6u13,原因是SunToolkit.getField方法在...
admin
任意文件上传漏洞的安全分析与防御
任意文件上传漏洞,在网站上传代码里出现的最多,该网站漏洞大多数都会绕过上传的限制,直接上传网站木马后门,导致可以上传asp,php,jsp等的木马脚本执行文件。攻击者可以利用此漏洞进一...
discuz 3.4 漏洞 SQL注入与请求伪造攻击利用与修复
2018年12月9日,国内某安全组织,对discuz X3.4版本的漏洞进行了公开,这次漏洞影响范围较大,具体漏洞是discuz 的用户前段SQL注入与请求伪造漏洞,也俗称SSRF...
渗透测试服务 对客户网站squid系统的漏洞检测与利用
在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜...
discuz漏洞修复方案与网站安全防护加固
近期我们SINE安全在对discuz x3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取...
如何防御ddos攻击和cc攻击 教学篇
DDOS攻击如果能成功,损失一样大,根本目的是影响服务器对外提供服务。纯网络层ddos攻击简单暴力,直接把出口堵死,只能联动运营商黑洞引流,自损ip。相当于一个商场,有4个入口(对外ip...
网站安全防护措施有哪些?
网站安全防护遵循木桶原理,这一观点在安全界得到一致认同,因此,整个应用的安全状态不取决于某个业务点或功能点,需要从根本上解决安全问题。公司安全防护包括两个方面:横向改进战略和纵向深入战略。横行精化策略...
图片上传漏洞绕过云防火墙的一些案例分享
这是一个把图片转base64的图片上传类型,具体实施绕过内容如下:根据抓包看到图片是以base64进行提交的,留意了下数据包,看到可根据更改upload_0字段内容提交任意文件浏览HTML页面,成功被...
网站漏洞应急响应具体做哪些?
网站应急响应怎么做比较成功,安全事件有一个整体的生命周期,我们通过主动发现或者被动报警获取到安全事件的产生,然后通过上报安全主管研判应急人员根据这个应急决策,对安全事件进行应急...
对某客户网站的SQL注入与逻辑漏洞的渗透测试过程
天气越来越凉爽,在对客户网站代码进行渗透测试,漏洞测试的同时我们SINE安全渗透技术要对客户的网站源代码进行全方位的安全检测与审计,只有真正的了解网站,才能更好的去渗透测试,发现网站存在...