漏洞之眼 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

推荐系统之眼

当然，这里的后台服务其实就是我这篇文章的主角，我们称为推荐之眼。在后台，我们还可以看到计算/推荐引擎的工作状态是不是正常。这个主要针对计算/推荐引擎模块。

6652 0

工具| 诸神之眼nmap定制化之并发处理

本期nmap定制化之并发处理介绍就到这里，我们下期见。

3.2K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

工具| 诸神之眼nmap定制化之NSE进阶

下期预告 NSE漏洞审计和渗透脚本的demo NSE的并发处理

1.3K7 0

逻辑漏洞之支付漏洞

支付漏洞乌云案例之顺丰宝业务逻辑漏洞案例说明顺丰宝存在支付逻辑漏洞，可以允许用户1元变1亿元。这个漏洞在其他网站很难存在，原因是页面交互都使用了对字段做签名。...乌云案例之读览天下支付逻辑漏洞案例说明通过替换支付订单号的方式，来完成花小钱买大东西。...乌云案例之天翼云盘通支付逻辑漏洞案例说明天翼云-云盘通设计缺陷，可提交负人民币的订单。利用过程 1 选择套餐如图： ? 2 提交订单然后我们抓包，将购买年限改成负数 ?...乌云案例之药房网订单提交逻辑漏洞案例说明药房网订单提交存在逻辑漏洞可对企业造成经济损失利用过程 1 生成订单 ? 2 使用Burp截断数据包，修改运费为一元 ? ? 3 提交数据包 ?...乌云案例之淘美网绕过支付案例说明淘美网重置处存在逻辑漏洞，可绕过支付直接充值成功经过测试发现支付成功后流程走至如下链接： http://www.3need.com/index.php?

3.1K0 0

工具| 诸神之眼之邮件发送nmap的扫描报告

VPS上的Nmap还在扫描工作着，而你已经把它忘了忙着其他事情。突然，一封邮件发来，向你汇报本次扫描完毕，和具体的扫描报告。是不是觉得很方便？借助Nmap的库文...

1.3K4 0

逻辑漏洞之越权漏洞

前言上一篇文章中，对逻辑漏洞进行了简单的描述，这篇文章简单的说一说逻辑漏洞中的越权漏洞。参考文献《黑客攻防技术宝典Web实战篇第二版》什么是越权漏洞？...顾名思义，越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说，就是用户A可以通过某种方式查看到用户B的个人信息，或者可以查看管理员C的一些相关信息。...分类越权漏洞主要分为水平越权和垂直越权。下面来说一说他们的区别。水平越权：就是攻击者尝试访问与他相同权限的用户的一些资源。

1.6K2 0

逻辑漏洞之越权、支付漏洞

逻辑漏洞因为程序本身逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，造成的一系列漏洞 Web安全渗透三大核心方向输入输出 OWASP早期比较侧重的典型的web漏洞：注入、跨站、上传、...代码执行等属于输入输出登录体系、权限认证近年来，越权漏洞、逻辑绕过、接口安全等逐渐增多，这些属于登录体系和权限认证业务逻辑漏洞分类 1、登录体系安全暴力破解用弱密码字典，或者社工生成针对性的字典去爆破密码...支付漏洞 ? 1、抓包改价格在支付当中，购买商品一般分为三步骤：订购、确认信息、付款。...如何检测最简单的方式，通过定位鉴权参数，然后替换为其他账户鉴权参数的方法来发现越权漏洞。水平越权定义水平越权，就是权限类型不变，权限ID改变。...可以这么理解：技术部的员工干了人事部部长的事………… 越权漏洞修复方案 1、基础安全架构，完善用户权限体系。

2.9K5 3

元宇宙之眼！Meta机械仿生眼专利曝光，还要装在仿生人体内

Meta下一步，元宇宙之眼？一项2021年12月批准的「机械眼球100」（mechanical eyeball 100）文件称，这个金属球体是一个类似于人眼的机器眼，有两个相交于中心点的旋转轴。...从专利提交时间可以看，这项仿生眼专利是在2019年6月11日提交，2021年12月7日得到审批。这项专利详细介绍了一种高性能和逼真机械仿生眼的设计。...这只仿生眼将配备传感器，以帮它「看见」真实的世界，并且可以通过机器学习进行训练和改进。机器学习可能基于人类眼球运动数据，然后将这种能力映射到机械眼上。...要知道，Meta这只仿生眼也可以提供更多的实际应用。仿生眼可以被用作更精确地追踪人眼运动的工具，来观测它在屏幕上以及图像上停留的时间。...比如，广告中经常会用眼动追踪技术观察用户对广告的喜爱程度。另外，眼动追踪技术也可以被用于构建Facebook的AR/VR应用程序。

8772 0

永恒之蓝漏洞入侵_永恒之蓝漏洞探测

一、基础知识介绍： 1.何为永恒之蓝？...永恒之蓝（Eternal Blue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。...由上图可以看出：Active：active （exited）说明此时数据库已经打开 5.进行msfdb 数据库初始化，配置数据库相关信息：msfdb init 此时就可以进行永恒之蓝漏洞扫描...，（永恒之蓝利用的是ms17_010漏洞，因此到这一步之后的任务就是在kali 里寻找ms17_010漏洞，并且利用该漏洞进行攻击，获得windows 7 的管理员权限） 6.启动msf：msfconsole...administrators //查看windows 7本地管理员由上图可以看出来，的确将hack添加到windows 7 中，这样可以方便下次继续访问自此，利用永恒之蓝漏洞攻击一台主机就结束了

1.6K3 0

十大漏洞之逻辑漏洞

在十大漏洞中，逻辑漏洞被称为“不安全的对象引用，和功能级访问控制缺失”。现如今，越权和逻辑漏洞占用比例比较高，包括任意查询用户信息，重置任意用户密码，验证码爆破等。...逻辑漏洞：常见的逻辑漏洞：交易支付，密码修改，密码找回，越权修改，越权查询，，突破限制等各种逻辑漏洞不安全的对象引用指的是平行权限的访问控制缺失 A,B同为普通用户，他们之间彼此之间的个人资料应该相互保密的...密码找回漏洞：大纲如下图所示：一般都是通过验证问题，验证邮箱，验证手机号码，等操作进行找回。...token=2&username=test&password=tst 支付漏洞：攻击者通过修改交易金额、交易数量等从而利用漏洞，如Burp修改交易金额、使交易数量为负数或无限大等。...1234567 拦截数据包，查看参数值，发现当我们把用户修改成别人的，然后可以修改成功，这个时候越权漏洞就产生了。

1.4K2 0

业务逻辑漏洞探索之越权漏洞

A: 本期斗哥带来越权漏洞和大家探讨探讨。什么是越权呢？越权，顾名思义，就是超出了权限或权力范围。...多数WEB应用都具备权限划分和控制，但是如果权限控制功能设计存在缺陷，那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据，这就是我们通常说的越权漏洞。...我们一般将越权漏洞分为三种：水平越权、垂直越权和权限框架缺陷。以下是越权漏洞的几种攻击场景。 ? 水平越权水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源，怎么理解呢？...举个栗子： ①某航空公司存在水平越权漏洞，提交订单后抓取数据包。 ?...修复意见好啦，上面就是斗哥近期整理的一点越权漏洞栗子，越权漏洞可大可小，那我们要怎么控制呢？ 1.采用成熟的权限管理框架，如spring security。

2.8K3 0

雷达水位监测系统：水利监测的智慧之眼

雷达水位监测系统：水利监测的智慧之眼【BF-LDSW】在水利领域，水位监测是保障水安全、合理调配水资源以及预防洪涝灾害的重要基础工作。

2951 0

工具| 诸神之眼nmap定制化之初识篇

Nmap是学习网络安全必备的一款工具，有着强大的信息收集能力，有本书甚至因此称它为“诸神之眼” 。...未来几期将会向大家介绍的文章主题如下： ●NSE的异常处理 ●Nmap中的库文件和编写方式 ●利用Nmap自有库文件实现将扫描结果保存在数据库 ●NSE漏洞审计和渗透脚本的demo ●NSE的并发处理

1.6K8 0

系统之眼！Linux系统性能监控工具Glances

glances是一个基于python语言开发，可以为linux或者UNIX性能提供监视和分析性能数据的功能。glances在用户的终端上显示重要的系统信息，并动...

2.7K2 0

WEB 漏洞之逻辑越权漏洞详解

2 内容速览越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。...该漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限才能访问到的页面或数据。...在实际的代码审计中，这种漏洞往往很难通过工具进行自动化监测，因此在实际应用中危害很大。...漏洞产生原理：代码逻辑问题代码接受前台传输的数据，选择性的显示用户对应权限的页面内容，并没有真实的对用户对应的权限进行严格的规定数据库问题不同权限的用户都存在在数据库的一个表中，用类似于usertype...验证用户是否具备操作数据的权限直接对象引用的加密资源 ID，防止攻击者枚举 ID，敏感数据特殊化处理永远不要相信来自用户的输入，对于可控参数进行严格的检查与过滤演示案例： Pikachu-本地越权演示（漏洞成因

1.9K2 0

.NET Core之只是多看了你一眼

技术学习是一件系统性的事情，如果拒绝学习，那么自己就会落后以至于被替代。.NET也是一样，当开源、跨平台成为主流的时候，如果再故步自封，等待.NET的就是死路一...

1.1K1 0

什么是眼图，眼图测试知多少？

分享一篇优秀的文章，来自知乎ID：是德科技 Keysight Technologies 很多工程师都知道高速信号需要测量眼图。那眼图代表着什么? 示波器眼图怎么调出来？该如何分析眼图的好与坏？...以及从眼图各种形状上，我们能知道哪些信息呢？现代的眼图分析软件又有哪些新的功能？今天是德科技示给大家一一解答关于眼图测试的问题并介绍眼图模板和快速眼图测试的方法，不要错过啦！...---- 什么是眼图？眼图（Eye Diagram）是用余辉方式累积叠加显示采集到的串行信号的比特位的结果，叠加后的图形形状看起来和眼睛很像，故名眼图。...---- 问题：为什么眼图测试的必测参数之一是眼高？上图是一个典型的眼图测试各指标的示意图。...有串扰和没有串扰的受扰信号眼图。有串扰和没有串扰的受扰信号眼图。串扰会导致眼图闭合，从而降低设计裕量并可能造成设计的性能达不到技术指标。

2.7K3 0

RPA之眼：AI-OCR，Fax-OCR概述

OCR是英文“Optical Character Recognition/Reader”的简称，光学字符识别。从名字我们不难看出，OCR就是读取手写和印刷文字，...

5.5K2 0

漏洞扫描之Nessus

Shadow Brokers Scan 影子经纪人扫描 Spectre and Metdown 比较新的熔毁和幽灵漏洞 WannaCry Ransonware 永恒之蓝 Web Applicant Tests...Web应用扫描可以看到Nessus是一款针对系统及其应用程序的漏洞检测工具，并且漏洞范围非常广，更新非常及时，在Web方面的扫描与专业的Web扫描器还是有一定的差距的我们可以选择已有的这些模版，也可以选择高级扫描...询问是否扫描web应用程序，Nessus 自己肯定是有自知之明的，所以这里默认就是 OFF，这里我也推荐大家不要选择，把Web扫描留给后面专业的Web漏洞扫描器 Windows ?...主要是一些特定的漏洞的，可以选择CVE中的CVE-XXXX 保存之后可以看到我们制定的扫描 ?...，不过服务器对于外网是有边界防火墙存在的，这样的话可能这个漏洞在外网就利用不了，此时我们可能会适当调整漏洞评级！

8.7K3 3

漏洞赏金之CORS

它允许浏览器向跨源(协议 + 域名 + 端口)服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制漏洞赏金之CORS 1080P超清版公众号平台本身会对素材进行二次压缩

7302 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭