自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

曹世宏的博客

记录一些学习资料

  • 博客(13)
  • 论坛 (1)
  • 收藏
  • 关注

原创 OS命令注入学习笔记

OS命令注入调用OS命令引起的安全隐患:Web开发所使用的编程语言中,大多数都能通过Shell执行OS(操作系统)命令。通过Shell执行OS命令时,或者开发中用到的某个方法其内部利用了Shell时,就有可能出现OS命令被任意执行的情况。这种现象被称为OS命令注入。安全隐患产生的原因:内部调用OS命令的函数以及系统调用(System Call)中,多数都通过Shell来启动命令。Shell...

2019-09-22 14:41:35 3385

原创 文件处理相关问题

文件处理相关问题概述:在有些Web应用中,外界能够通过传入参数的形式来指定服务器中的文件名。比如由外界参数来指定模板文件的情况。这样的Web应用可能会招致以下攻击。非法访问Web服务器内的文件(目录遍历)调用OS命令(OS命令注入)目录遍历漏洞:Web应用中允许外界以参数的形式来指定服务器上的文件名时,如果没有对文件名进行充分的校验 ,就可能会造成意料之外的问题,比如文件被浏览、篡...

2019-09-22 14:41:05 359

原创 Cookie输出相关的安全隐患

Cookie输出相关问题Cookie的使用不当:Web应用中需要存储包含多个网页的信息时,一般会使用PHP或Servlet容器等提供的会话管理机制。通常情况下,会话管理机制仅将会话ID保存至Cookie,而将数据本身保存在Web服务器的内存或者文件、数据库中。如果在Cookie中保存了不该保存的数据,就有可能会产生安全隐患。不该保存在Cookie中的数据:**外界无法更改会话变量,而应用的...

2019-09-22 14:40:35 416

原创 重定向相关的安全隐患

重定向相关的安全隐患隐患来源:Web应用中有时会重定向至外界指定的URL。典型的案例为,在登录页面的参数中指定URL,登录成功后再重定向至该URL。比如:使用以下URL登录Googe后,就会重定向到continue=指定的URL(此处为Gmail)。https://www.goole.com/accounts/ServiceLogin?continue=https://mail.goole...

2019-09-22 14:40:04 1586

原创 SQL注入学习笔记

SQL注入基础SQL注入介绍:SQL注入漏洞是由于SQL语句的调用方法不完善而产生的安全隐患。一旦应用中存在SQL注入漏洞,就可能造成如下影响。值得注意的是,以下影响中攻击者都能够直接对服务器实施主动攻击,而不需要用户参与。数据库内的信息全部被外界窃取数据库中的内容被篡改登录认证绕过(应用程序登录不需要用户名和密码)其他,例如服务器上的文件被读取或修改、服务器上的程序被执行等。S...

2019-09-22 14:39:33 462 1

原创 CSRF攻击学习笔记

CSRF攻击简介关键处理中引入的安全隐患:Web应用中,用户登录后执行的操作中有些处理一旦完成就无法撤销。比如用户使用信用卡支付、从用户的银行账号转账、发送邮件、更改密码或邮箱地址等都是关键处理的典型案例。关键处理中如果存在安全隐患,就会产生名为**跨站请求伪造(Cross-Site Request Forgeries,简称CSRF)**的漏洞。CSRF介绍:在执行关键处理前,需要确认该...

2019-09-22 14:39:09 337

原创 XSS基础学习笔记

XSS基础XSS概念:通常情况下,在Web应用的网页中,有些部分的显示内容会根据外届输入值而发生变化(会反弹恶意代码),而如果生成这些HTML的程序中存在问题,就会滋生名为跨站脚本(Cross-Site Scripting)的安全隐患。由于它和知名的CSS(层叠样式表)缩写冲突,所以经常缩写为XSS。XSS的风险:Web应用若存在XSS漏洞,就会有如下风险:用户的浏览器中运行攻击者的恶...

2019-09-22 14:38:14 1312

原创 NAT穿越(NAT-T)原理

IPSec NAT 穿越简介IPSec NAT穿越的场景:本质上解决ESP协议无法提供转换端口,插入UDP 4500端口有以下两种场景,需要进行进行NAT穿越。场景一、FW既做IPSEC网关,又做NAT转换此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的nat。IPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...

2019-09-16 11:34:55 16367

原创 IPsec各种场景配置示例

IPSec VPN配置流程图:IPSec VPN配置流程图先配置IKE安全提议配置IKE对等体,调用IKE提议配置需要保护的感兴趣流配置IPSec 的安全提议配置IPSec策略在接口调用IPSec策略IPSEC VPN各场景配置示例采用IKEV1-主模式实验 : 图:IPsec VPN拓扑图配置思路:第一步: 阶段一协商IKE SA(ISAKMP SA) 1. ...

2019-09-16 11:34:15 10047 2

原创 L2TP基本原理

L2TP VPN简介L2TP基本概念:L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。目的:L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。无论出差员工是通过传统拨号方式接入Int...

2019-09-16 11:33:57 25828 2

原创 Effient技术原理

VPN部署现状问题企业广泛部署VPN时的问题:总部不能集中管理VPN。每个分支需要配置IPSec VPN,工作量大,对维护人员有一定的技术要去。每一个分支需要重复配置:DNS域名、DNS服务器地址、WINS服务器地址等网络资源。ACL推送,设定了允许分支子网访问的总部子网范围需要重复配置分支设备升级。Efficient VPN简化企业VPN部署:总部集中管理VPN配置...

2019-09-16 11:32:50 1189

原创 DSVNP基础原理

GRE over IPSec的缺陷GRE over IPSec的缺陷:图:企业典型的Hub-Spoke组网(配置DSVNP之前)如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点:IPSec隧道集中在Hub点,所有流量都穿越Hub点。所有流量通过总部封装和解封装时,会引入额外的网络延时。每增加一个新的Sopke点,Hub点都必须被配置。若Spo...

2019-09-16 11:22:13 8787 9

原创 博客地址: https://cshihong.github.io/

博客地址:https://cshihong.github.io/

2019-09-12 10:59:07 1019 1

空空如也

曹世宏的博客的留言板

发表于 2020-01-02 最后回复 2020-07-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除