一、Ansible 插件 之 【统计任务处理时间】 在做性能优化之前首先需要做的是收集一些统计数据,这样才能为后面做的性能优化提供数据支持,对比优化前后的结果。非常不错的是,在 github 发现一个 Ansible 任务计时插件“ansible-profile”,安装这个插
OSSEC是一款开源的系统监控平台。它集成了HIDS(主机入侵检测)、日志监控、安全事件管理(SIM)、安全信息和事件管理(SIEM)于一身,结构简单、功能强大的开源解决方案。 主要优点 满足合规性 OSSEC可以帮助你满足诸如PCI、HIPAA之类的监管要求。它通过对
浅析XSS与CSRF 在 Web 安全方面,XSS 与 CSRF 可以说是老生常谈了。 XSS XSS,即 cross site script,跨站脚本攻击,缩写原本为 CSS,但为了和层叠样式表(Cascading Style Sheet)区分,改为 XSS。 XSS 攻击是指攻击者在网站上注入恶
Microsoft Windows .Reg文件对话框消息欺骗 0day 概述   扩展名为.reg的文件是Windows注册表中使用的注册文件。这些文件可以包含hives、密钥和值。.reg文件可以在文本编辑器中新建,也可以由Windows注册表在备份注册表时生成。
一、SQL注入概念   1、sql注入是一种将sql代码添加到输入参数中   2、传递到sql服务器解析并执行的一种攻击手法   举例:某个网站的用户名为name=‘admin’。执行时为select name from users where name=‘admin’
第二讲  网络分层的真实含义是什么 为什么网络要分层呀?   二层设备、三层设备、四层 LB 和七层 LB 中层,不同的层次之间有不同的沟通方式,这个叫作协议。(同一层次之间有他们各自的沟通方式),复杂的程序都要分层。   理解计算机网络中的概念,一个很好的角度是,想象
校赛被打击到自闭,决心好好学习。 web部分题目. 1、web2     地址 http://123.206.87.240:8002/web2/ 既然是第一个题我们应该采取查看源码的方式进行,右键之发现没有办法查看源码。遂使用命令view-source查看源码,源码中包
1.google hacking intext:搜索正文内容 intitile:网页标题中的内容 inurl:url中的关键字 site:目标站点下 filetype:文件类型 cache:缓存 link:链接到该URL的页面&#
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来
0x00、XXE漏洞攻击实例 攻击思路: 1. 引用外部实体远程文件读取 2. Blind XXE 3. Dos   0x01、外部实体引用,有回显 实验操作平台:bWAPP平台上的XXE题目 题目: 进行抓包,点击Any bugs?按钮,抓包如下: 可以看到xxe-1.php页面以POST方式
0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 X
  0x01 什么是xpath XPath 即为 XML 路径语言,是 W3C XSLT 标准的主要元素,它是一种用来确定 XML(标准通用标记语言的子集)文档中某部分位置的语言。 XPath 基于 XML 的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的
XML注入指在请求的XML中插入攻击利用代码。根据不同的场景,可能会形成以下的漏洞形式: (1)XEE ----xml entity xpansion(xml实体膨胀,用于dos)           具体介绍:http://www.cnblogs.com/lcamry/p/57