腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
返回腾讯云官网
LuckySec网络安全
专栏成员
举报
143
文章
400178
阅读量
36
订阅数
订阅专栏
申请加入专栏
全部文章(143)
网络安全(101)
安全(89)
https(50)
http(31)
网站(27)
php(19)
html(13)
tcp/ip(13)
windows(13)
oracle(11)
腾讯云测试服务(11)
github(10)
访问管理(10)
验证码(8)
java(7)
编程算法(7)
shell(7)
hexo(7)
sql(6)
git(6)
文件存储(6)
短信(6)
javascript(5)
数据库(5)
linux(5)
phpmyadmin(4)
api(4)
apache(4)
容器镜像服务(4)
腾讯云开发者社区(4)
bash(3)
xml(3)
css(3)
access(3)
打包(3)
爬虫(3)
防火墙(3)
漏洞扫描服务(3)
python(2)
json(2)
云数据库 SQL Server(2)
搜索引擎(2)
bash 指令(2)
容器(2)
存储(2)
开源(2)
asp(2)
grep(2)
iis(2)
网站建设(2)
root(2)
txt(2)
云镜(主机安全)(1)
(1)
vbscript(1)
vue.js(1)
android(1)
云数据库 Redis®(1)
web.py(1)
ide(1)
jar(1)
tomcat(1)
unix(1)
ubuntu(1)
windows server(1)
nginx(1)
spring(1)
命令行工具(1)
域名注册(1)
SSL 证书(1)
移动应用安全(1)
渲染(1)
webpack(1)
缓存(1)
wordpress(1)
正则表达式(1)
gui(1)
dns(1)
npm(1)
cdn(1)
spring cloud(1)
数据分析(1)
虚拟化(1)
account(1)
app(1)
config(1)
csv(1)
dp(1)
for循环(1)
google(1)
hash(1)
security(1)
system(1)
测试(1)
代理(1)
工具(1)
脚本(1)
客户端(1)
域名(1)
远程桌面(1)
主机(1)
搜索文章
搜索
搜索
关闭
APP 测试 - Postern 绕过客户端检测抓包
app
测试
代理
工具
客户端
Postern 是一个基于 V** 的 Android 全局代理工具,并且可将 V** 流量进行二次转发。支持的代理协议有:SSH,Shadowsocks,SOCKS5,HTTPS/HTTP CONNECT,gfw.press。
LuckySec
2023-03-24
8.6K
0
暴力破解漏洞
安全
网络安全
验证码
暴力破解的产生是由于服务器端没有做合理的限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名、密码、验证码等。暴力破解的关键在于字典的大小,暴力破解需要一个庞大的字典,如4位数字的验证码,那么暴力破解的范围就是0000~9999。该漏洞常存在于应用系统的登录模块中,攻击者可以通过事先准备的字典或者社工生成的字典,对特定目标口令进行大量登录尝试,直至暴力破解成功。
LuckySec
2023-01-30
1.3K
0
用户名枚举漏洞
网络安全
安全
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
LuckySec
2023-01-30
4.5K
0
密码字段通过 GET 方法传输
安全
网络安全
php
http
网站
密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。
LuckySec
2023-01-30
843
0
HTTP Strict-Transport-Security 缺失
安全
网站
http
https
网络安全
Web 服务器对于 HTTP 请求的响应头缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。HTTP Strict Transport Security(通常简称为 HSTS)是一个安全功能,它告诉浏览器只能通过 HTTPS 访问当前资源,而不是 HTTP。当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。
LuckySec
2022-12-01
5.6K
0
会话 Cookie 未设置 Secure 属性
安全
网站
https
http
网络安全
Web 应用程序设置了不含 Secure 属性的会话 Cookie,这意味着 Cookie 信息在传递的过程中容易被监听捕获造成信息泄露。标记为 Secure 的 Cookie 只会通过被 HTTPS 协议加密过的请求发送给服务端进行会话验证,它永远不会使用不安全的 HTTP 发送传输(本地主机除外),这意味着中间人攻击者无法轻松访问它。此外,在不安全的站点(在 URL 中带有 http://)无法使用 Secure 属性设置的 Cookie 值。
LuckySec
2022-12-01
4.5K
0
HTTP X-XSS-Protection 缺失
安全
http
https
网站
网络安全
Web 服务器对于 HTTP 请求的响应头缺少 X-XSS-Protection,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-XSS-Protection 响应头是 Internet Explorer、Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面。
LuckySec
2022-12-01
3.7K
0
会话 Cookie 未设置 HttpOnly 属性
安全
javascript
存储
网络安全
Web 应用程序设置了不含 HttpOnly 属性的会话 Cookie,因此注入站点的恶意脚本可能访问并窃取 Cookie 值。任何存储在会话令牌中的信息都可能会被窃取,它们可能被用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 Cookie,此类 Cookie 仅作用于服务器。例如,持久化服务器端会话的 Cookie 不需要对 JavaScript 操作,而应具有 HttpOnly 属性。会话 Cookie 设置 HttpOnly 属性,此预防措施有助于缓解跨站点脚本(XSS)攻击。
LuckySec
2022-12-01
3.3K
0
HTTP X-Content-Type-Options 缺失
安全
http
https
网站
javascript
Web 服务器对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型,有些资源的 Content-Type 是错的或者未定义,这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。
LuckySec
2022-12-01
6.8K
0
HTTP X-Frame-Options 缺失
安全
http
https
网站
网络安全
Web 服务器对于 HTTP 请求的响应头缺少 X-Frame-Options,这意味着此网站存在遭受点击劫持攻击的风险。X-Frame-Options 响应头可被用于指示允许一个页面可否在 frame、iframe、embed 或者 object 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。
LuckySec
2022-12-01
2.5K
0
Weblogic Console弱口令后台getShell
安全
网络安全
shell
访问管理
网站
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Weblogic Console控制台由于管理员配置疏忽没有更改默认密码,或者存在账号弱口令漏洞,攻击者可在获取到账号密码的前提下登录管理后台,通过控制台“部署”功能模块部署恶意war包,进而getShell获取服务器管理权限。
LuckySec
2022-11-18
2.6K
0
网站域名迁移引流教程
php
搜索引擎
网站
按照视频教程获取免费的虚拟主机,选择中国香港或者国外的虚拟主机可以免去繁琐的备案流程。
LuckySec
2022-11-18
2.5K
0
Weblogic WLS组件远程代码执行漏洞(CVE-2017-10271)
网络安全
安全
oracle
网站
xml
- Weblogic WLS组件远程代码执行漏洞(CVE-2017-10271) -
LuckySec
2022-11-18
1.4K
0
Weblogic反序列化远程代码执行漏洞(CVE-2019-2729)
安全
网络安全
oracle
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Weblogic Server自带的wls9_async_response.war组件及wls-wsat组件中,该漏洞绕过了Weblogic用于修复CVE-2019-2725的补丁,未经授权的攻击者可以发送精心构造的恶意HTTP请求,实现远程代码执行,从而获取服务器权限。
LuckySec
2022-11-18
2.4K
0
Weblogic JNDI远程代码执行漏洞(CVE-2021-2109)
安全
oracle
网络安全
tcp/ip
- Weblogic JNDI远程代码执行漏洞(CVE-2021-2109) -
LuckySec
2022-11-18
1.1K
0
Weblogic WLS组件IIOP协议远程代码执行漏洞 (CVE-2020-2551)
安全
网络安全
oracle
- Weblogic WLS组件IIOP协议远程代码执行漏洞 (CVE-2020-2551) -
LuckySec
2022-11-18
725
0
WebLogic Console权限认证绕过漏洞(CVE-2020-14750)
安全
网络安全
oracle
网站
- WebLogic Console权限认证绕过漏洞(CVE-2020-14750) -
LuckySec
2022-11-18
2.4K
0
Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)
安全
网络安全
oracle
文件存储
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Weblogic Server自带的wls9_async_response.war组件及wls-wsat组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意HTTP请求,实现远程代码执行,从而获取服务器权限。
LuckySec
2022-11-18
1.5K
0
Weblogic Coherence组件远程代码执行漏洞(CVE-2020-2555)
oracle
网络安全
安全
- Weblogic Coherence组件远程代码执行漏洞(CVE-2020-2555) -
LuckySec
2022-11-18
523
0
Weblogic WLS Core Components反序列化代码执行漏洞(CVE-2018-2628)
安全
网络安全
oracle
- Weblogic WLS Core Components反序列化命令执行漏洞(CVE-2018-2628) -
LuckySec
2022-11-18
302
0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
