我发现了一个有以下错误的网站:
Notice: Undefined index: welcome in /var/www/html/blah/index.php on line 14
这是个弱点吗?
浏览 0提问于2018-04-13得票数 -1
回答已采纳
我正在使用Java中的漏洞扫描器来检查允许使用弱密码套件连接的网站。因此,例如,我会尝试使用56位"SSL_DHE_RSA_WITH_DES_CBC_SHA“(或其他弱密码)连接,如果我得到200 OK,该网站是脆弱的。到目前为止,我的处境如下:
1- HttpURLConnection在默认密码中一直运行良好,但是如果我试图使用"System.setProperty()“来设置弱密码,我要么得到”密码不支持的异常“(对于大多数密码套件),要么在我试图连接()时得到”拒绝连接“异常。我知道拒绝连接是我对那些不接受弱密码的网站的回答,但是我如何得到实际的http响应头(带有拒绝代
浏览 5提问于2011-02-23得票数 0
我昨晚安装了django侦探,今天里面有很多奇怪的帖子请求。
好像有人想在我的网站上发布这样的东西:
/wp-admin/admin-post.phpnd_stats_value_import_settings=home[nd_stats_option_value]https://dodgylookingsite.com/pret
请不要访问这个链接,因为我认为它可能是托管恶意软件!!
这是什么意思?我怎样才能防止这种情况发生呢?
谢谢
浏览 0提问于2019-08-07得票数 0
回答已采纳
1回答
我的网站上有很多请求,如下所示:
example.com/page/no-text-1154169030774935240
这是黑客企图还是搜索引擎?
编辑:我的问题是关于请求。末尾的字符串用于标识符,该标识符将加载适当的页。有人或什么东西正在传递非文本-0-9字符串。我想知道它是黑客企图还是搜索引擎试图索引该网站?
谢谢
浏览 0提问于2011-08-03得票数 0
我正在测试一个显示会话固定行为的ASP.NET应用程序.应用程序正在使用基于cookie的会话。基本上:
当您登陆该页面时,不会创建任何会话cookie。
登录后创建ASP.NET_SessionId cookie
在注销和重复登录时,cookie值保持不变(没有cookie值重新生成)
我能够手动执行会话固定攻击:
我在那页上着陆了
我手动创建了一个具有一定价值的ASP.NET_SessionId cookie (针对攻击者)
我打开了一个新的浏览器会话并设置了完全相同的cookie (针对受害者)
我在这个新的浏览器会话中以受害者身份登录。
在攻击者的浏览器会话中,我现在能够以受害者身份浏
浏览 0提问于2015-02-26得票数 3
回答已采纳
哪些漏洞很常见,足以成为CVE?它是否只与“申请”S有关,或者网站也被接受?一个不受欢迎的网站(或本地服务)中的漏洞是否足够普遍?
浏览 0提问于2013-04-02得票数 10
回答已采纳
1回答
我想知道是否有一种方法可以检查网页及其所有资源(脚本、图像、样式)的完整性。我想,浏览器可以生成一个网站的哈希值和它的所有资源,以检查网站的某些方面是否发生了变化。 任何现代浏览器都能做到这一点吗?如果没有,是否有应用程序或扩展程序自动执行此操作? 或者,有没有其他更好的方法来检查网站的某些方面是否发生了变化?
浏览 29提问于2020-07-21得票数 2
1回答
阿帕奇POI是一个用于处理office文档的Java库。
与处理不受信任的文档相关的风险是什么?例如,允许用户上载使用POI处理的文档的网站。
我在文档解析中意识到的一个潜在风险是,文档可以引用本地资源,解析器可以在服务器上本地解析这一点。我想知道这是否对POI有风险。
浏览 0提问于2014-06-19得票数 2
我对web开发(Python)还比较陌生,但碰巧我对PHP有一个问题。
有人试图通过.../engine/engine.php网址访问我的网站,这个网站是用Python构建的。
我的问题是:对于PHP构建的网站,通常可以通过这样的URL访问哪些网站?这样的访问意味着什么(例如,这种访问是否可以由托管平台触发(我认为这是不可能的,因为应用程序的buildpack是Python))?
浏览 1提问于2017-05-26得票数 1
回答已采纳
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
我们的一个客户想让我们为我们网站的定制版本托管一小块Javascript。它托管在站点的子域(customer.example.com)上,但使用与主站点(example.com)相同的cookie域。
我们是否应该同意这样做对安全的影响?
浏览 0提问于2013-09-19得票数 1
我有一个静态网页网站,我需要对此进行调查。我的意思是,该网站没有数据库,它没有领域提交用户的输入,除了向第三方支付服务,完全由他们管理。
我以前确实做过web应用程序,发现了一些漏洞,比如XSS、CSRF、IDOR和DoS。然而,这些都是web应用程序,其中的内容被反射回页面,一个用户被“登录”。
从我的头顶上,我能想到:
暴露/保护不当的管理面板
目录遍历
主机帐户/管理控件上的弱管理凭据
除了这些问题之外,我很难在静态站点上查找其他漏洞,其中用户输入没有收集或反映,没有“帐户”的概念,等等……该网站确实在Apache上使用PHP7,但与许多使用OAuth、社交媒体登录、将内容返回到页面等现
浏览 0提问于2020-02-19得票数 2
我是Google Analytics的新手,用它来满足我的好奇心,即我的流量非常低的网站是从哪里被查看的,以及他们正在查看的页面是什么。根据我对我所看到的东西的理解,我经常会看到一些看起来不可能的结果。我每天早上所做的就是检查它是从哪些城市被查看的,然后看看每个城市都查看了哪些页面。今天早上的结果说明了假设的问题。该网站分别来自俄勒冈州的尤金和奥地利的维也纳。两者都显示了在相同的时间内查看的完全相同的页面。在没有将它们的使用联系在一起的情况下,这似乎是不可能的。不知何故,它必须是相同的用法,但我不知道它们是如何联系起来的。有谁能开导我吗?我在谷歌上搜索了一段时间,试图找到答案,但没有成功。
浏览 0提问于2012-06-13得票数 1
回答已采纳
1回答
我正在尝试创建一个为Android优化的网站,其中将有一个使用手机相机拍照的选项。我想在用户使用摄像头的网站上添加一些细节,这样他将来就可以很容易地找到它。我希望这是有意义的。
你知道这是不是有可能呢?在网站中编码是可能的吗?我做了一些研究,但没有发现任何信息。
浏览 0提问于2013-04-29得票数 0
1回答
我是一个白帽初学者,我发现了两个网站,在新生代,其中有DHE和RSA出口。我怎样才能证明这些网站是不安全和易受攻击的?
浏览 0提问于2017-04-12得票数 1
2回答
我以前从来没有接触过XSS,但我刚刚收到一位访问者的评论,说我的网站有XSS漏洞。
他很友好地为我提供了一个字符串,该字符串激活了一个显示用户cookie的提示框。我有很多代码在这个网站和网络应用程序,我如何找到并修复它?我该从哪里开始呢?
浏览 0提问于2013-06-18得票数 0
每当我检查我的日志文件时,其中大多数条目都与更改的客户端ip类似。
[Fri Nov 18 04:03:25 2016] [-:error] [pid 32060] [client 65.95.116.2XX] [host www.mydomain.net] script '/is/htdocs/www/mydomain.net/wp-login.php' not found or unable to stat
我不明白这一点,因为wp-login.php是一个wordpress文件,我的网站不是构建在Wordpress上的。客户是否经常检查我的网站是否建立在WP上,还是有一群
浏览 0提问于2016-11-18得票数 2
回答已采纳
在我的WordPress网站上,最常见的两个不存在的页面如下:
/408.shtml (3500次)
/403.shtml (470次)
我使用重定向插件跟踪404个请求,这些是最常见的请求,第二个最常见的请求仅被请求50次。
为什么要请求这些页面?我推测这些是仅基于URL的HTTP错误代码,但我从未见过由我的网站返回的403或408 HTTP错误。如果这些HTTP错误被返回,这些页面会被请求,还是站点只返回一个空白页和错误代码?
有趣的是,绝大多数/408.shtml请求来自同一个用户代理,"Mozilla/5.0 (WindowsNT6.1;WOW64;rv:40.0) Gecko
浏览 0提问于2019-04-02得票数 1
回答已采纳
2回答
最近,我检查了日志,发现了一些对服务器的奇怪请求。例如
GET /path/Microsoft.XMLHTTP HTTP/1.0
GET /path2/Scripting.FileSystemObject HTTP/1.0
进一步的检查似乎指向了某个机器人在做网站存档。一个网络档案机器人会以命令的形式执行这样的请求来存档我们的站点吗?
例如,如果来自互联网档案馆或某个库进行归档,这些归档机器人实际上会执行这样的请求吗?我想他们只是在搜索或者抓取整个网站,而不是调用这样的命令。
更新:
经过进一步的调查,我发现存档机器人可能深入分析了页面上的javascript,并抓住了包含Scripting.
浏览 0提问于2015-10-23得票数 2
回答已采纳
1回答
我正在IIS下运行我的网站,asp.net是我的语言。
当我发现像php://input这样的东西时,在我的网站上遇到的错误通过电子邮件发送给我。
我的问题是,php://input是做什么的?php查询可以在IIS服务器上执行吗?
谢谢你的回答和时间
浏览 3提问于2015-03-23得票数 1
回答已采纳
目前,我阻止了通过htaccess访问我的wp,并且使用functions.php创建了一个函数,以防止在用户是Admin的情况下访问管理面板。
如果有人知道管理帐户的用户名和密码,是否可以更改我的网站外观以及删除帖子/评论等?
如果可能的话,他们怎么可能呢?
浏览 0提问于2018-10-18得票数 0
回答已采纳
我正在帮助我的一个学院测试他的网站是否完全是SQLi的。这看起来很有希望,但我正在努力确保,而且我碰巧知道他正在使用pg_escape_string来净化他的POST输入。
这可能是一个愚蠢的问题,但我想知道,是否有办法为SQLMap指定转义方法?
此外,只要我在这里,我想征求意见,哪一种是最好的逃避方法(PostgreSQL组合)是足够的,还是应该使用其他的?
浏览 0提问于2016-09-15得票数 0
我在Windows 2003上运行IIS
我有进程w3wp.exe运行在50-80%的CPU.运行iisapp.vbs后,我发现进程连接到AppPoolX,其中单个web应用程序名为X正在运行。
我确实回收了这个AppPool,并且这个过程保持了一段时间,直到我通过结束了进程树,同时为这个AppPool创建了新的进程。
我有PerfMon在这个AppPool上运行的屏幕截图
📷
或直接链接在这里
我确实检查了IIS日志,没有看到任何攻击或任何正常请求的页面。如果你需要其他信息,请不要犹豫,因为我真的需要帮助!
我从哪里开始调试或寻找问题。90%相同的网站在最大CPU低于5%的情况下平稳运行,而
浏览 0提问于2010-07-19得票数 2
一个随机的人发送了一条消息说我们的网站上有一个漏洞。他们指示我们在我们的网站上的一个具体的网址,这显然是不正确的。
我们还没有点击链接,我已经检查了服务器最近更新的文件,我没有做。我发现的唯一一件事是一个空的文本文件,它是一个长而疯狂的文件名:
MJ12_43CC245DB24A2F895E300CD7F1BAE3E5.txt
这个人发送给我们的链接是这样的(为了隐私而改变了细节)。
浏览 5提问于2014-08-19得票数 0
回答已采纳
今天,我发现我的网站感染了木马:JS/BlacoleRef.BV,服务器是一个来自托管公司的共享服务器。
这样的特洛伊木马是如何在get服务器上运行的?
浏览 0提问于2012-07-13得票数 5
回答已采纳
上周三,我管理的各种WordPress网站被黑客入侵,它们被一个伟哥链接感染(恶意软件是如此原创)。
我注意到在wp-include目录中有一个名为utils.php的文件(wp/js/tinymce/utils/utils.php),这也是对我的get_footer函数的通用template.php的补充。
这一黑客攻击似乎只会影响谷歌网站的搜索结果,而不是通过输入URL直接查看该网站,即你的缓存网站会显示出恶意软件的混乱和排名下降,同时你会想为什么,因为该网站看上去很好,当你看到。
我的主机(TSO主机)已经清理了网站,甚至不需要问,但我不知道感染是如何在第一时间发生的。
所以我的问题是,
浏览 1提问于2012-12-03得票数 6
这是我第一次在网站上发现漏洞。
一个客户只是想从拍卖网站上抓取一些数据。
在收集客户数据时,我注意到,如果有什么东西卖出去了,你需要购买年度订阅,看看它卖了多少钱,词汇表,商品信息等。
但我发现它的售价仍然是由JavaScript注入的,而不是显示出来的,这是一个要求客户付费的功能。
我只是想从那些经常测试漏洞的人那里得到一些建议,告诉他们如何处理公司的漏洞。
提前感谢..
浏览 0提问于2021-02-24得票数 0
2回答
我参与了基于ASP.NET MVC和ASP.NET WebAPI的基于测试的开发,使用NMock单元测试,但是我编写的大多数单元测试都围绕着测试功能。
从单元测试的角度看 :
是否有任何框架来测试控制器(或任何其他组件)上的访问点操作的漏洞。
从自动化/手动QA测试的角度来看
是否有任何(更喜欢开源的)工具来测试建立在ASP.NET MVC、手动或自动基础上的网站的漏洞,这些漏洞可以用于质量保证?
浏览 4提问于2013-05-12得票数 9
假设我们有一个合法的网站A和一个恶意网站B。
我正确地假设恶意站点B使用CSRF目标站点A,它需要专门为此目的创建?
这意味着这样的网站不能对其他网站C、D等发起CSRF攻击。
或者,攻击者是否可以创建一个网站,对用户目前在浏览器中打开的任何其他网站进行CSRF攻击?
浏览 0提问于2017-02-23得票数 0
回答已采纳
我正在寻找关于一般/常见IT漏洞(一般信息)的更新和全面指南。
我不希望你为我做这份工作,我只是想指出我的正确方向:一本书或网站的推荐将是很棒的。
谷歌搜索引擎提供了丰富的信息,但我不知道什么信息是有价值的。
浏览 0提问于2010-11-19得票数 23
回答已采纳
我正在使用flvtbo youtube转换器,我必须启用javascript。
我看到一个来自"multiadblock.com“的广告,它试图引诱我下载一个铬扩展名,但我当然没有继续
在浏览之后,我注意到没有这样的扩展。
flvto甚至把我转到他们的网站上。它甚至没有加载(因为我禁用了javascript :p)
然而。我确实启用了javascript,让flvto弹出恶意广告。
关于这个网站到底包含了什么。显然这个网站是恶意的。
浏览 0提问于2021-02-28得票数 -4
我们有Ubuntu14.04 Apache服务器,在共享的托管环境中托管数千个网站,偶尔也会有一个或另一个网站引起DDOS攻击者的注意。
问题:
什么是检测和禁止太活跃的IP地址的最好的apache模块或方法?
需求:
不要禁止Googlebot和其他合法的搜索引擎。
如果Googlebot正在索引多个客户端网站(在不同的域),我们不希望计算来自该IP (范围)的总点击量,我们需要在每个域上计数(当然,总点击次数也最多)。
浏览 5提问于2015-05-13得票数 0
回答已采纳
只有静态内容的站点有什么样的攻击面: HTML、图像、CSS?这样的网站如何才能被成功渗透?
浏览 0提问于2014-06-21得票数 4
回答已采纳
我用https://hackertarget.com/wordpress-security-scan/检查了一个Wordpress实例,它告诉我Wordpress版本是4.7.9,我应该更新。是的,当前版本为4.9.2,但根据本页:
https://codex.wordpress.org/WordPress_版本
所有分支从3.7。最近更新(1月16日)。那么,这不意味着所有这些版本都应该和最新的4.9.2一样安全吗?
我希望有很好的论据,说服网站管理员升级他们的wordpress。我个人总是想要安装最新的版本,但我想知道什么是真正的线程,指出它的懒惰的网站管理员。
例如,我如何告诉仍在运行4
浏览 0提问于2018-01-19得票数 1
回答已采纳
1回答
由于对Apache的字节范围实现(CVE-2011-3192,请看这里)有一个有效的漏洞,我想禁用它,直到我的发行版(Debian,Ubuntu)提供了正式的补丁。这些网站都是“正常”网站,没有大量下载。除了无法恢复的下载之外,禁用该功能还有什么缺点吗?
PS.:通过启用mod_headers并使用以下行取消range标头,我将禁用该功能:
RequestHeader unset Range
浏览 0提问于2011-08-25得票数 4
回答已采纳
首先,为我对网络开发的惨痛知识表示歉意。
我一直在为我的创业开发一个简单的网站,并遇到了一些安全问题。了解我有限的知识以及与wordpress和人为错误相关的所有可能的漏洞,我想在外部服务器/服务上实现简单的后端操作。
这将是理想的,因为我的增值公司将在我的数据库和算法处理它。因此,我希望我能将这些问题与任何与wordpress相关的问题脱钩。
对于如何尽可能安全地实现这一点,我有什么想法/建议,或者我可能遇到的任何问题?
(谢谢;)
浏览 0提问于2019-01-31得票数 0
1回答
是否可以为任何漏洞分配CVE编号?
对于像这样的漏洞:
http://seclists.org/fulldisclosure/2016/Apr/92
能给它分配一个CVE号码吗?(现在似乎没有CVE id了)
网站中的漏洞(比如Google.com),而不是库中的漏洞呢?
浏览 0提问于2016-05-09得票数 -3
吉布森研究公司(GRC)的网站提供以下网页,并提供下载Truecrypt 7.1a的链接。
https://www.grc.com/misc/truecrypt/truecrypt.htm
我的问题是,这些下载是否值得信任?是否有办法确定下载的程序是否已从最初的7.1a版本中修改?
他们提供了一个链接到另一个网站与所有Truecrypt 7.1a文件的哈希,但我们如何知道我们是否也可以信任这个网站?
我不认为这与询问你能信任司机下载网站吗?是一样的,因为Truecrypt背后的历史是非常独特的,软件的原始开发人员删除了到7.1a版本的链接,现在只提供一个下载到不加密卷的被削减版本的软件。GRC
浏览 0提问于2016-10-29得票数 0
回答已采纳
7回答
我需要看看我正在测试的网站是否容易受到这和这等网站上的多个谷歌呆子的攻击。传统上,人们通过搜索Google中的"Index of /“+c99.php”来使用'dork‘,并获得一堆结果。
我如何能够搜索所有的书呆子为我的具体网站迅速和容易?有可能吗?
编辑:为了澄清,我可以访问,并使用一些商业付费应用程序做网页应用程序扫描。然而,我有问题的网站使用WAF和限制我的连接,这大大减慢了事情。因此,我更多的是寻找一个查询谷歌的程序,而不是扫描网站。
浏览 0提问于2013-10-07得票数 14
回答已采纳
我正在考虑购买一台imac,并考虑使用这台机器的双重用途。我想用它作为一个家庭电脑,但也主机一个或两个个人网站使用OSX。
通过使用我的计算机作为服务器,通过我的网站的恶意攻击是否允许有人访问存储在我的硬盘上的本地文件?简单地使用专用机器或服务是否更安全?
注:我希望一个关于网站安全的问题是恰当的,很抱歉这不是一个明确的编码问题。
浏览 3提问于2013-08-09得票数 0
回答已采纳
我的网站有一个搜索栏,当我在搜索中输入某些东西时,它会一直发送奇怪的错误信息。这是页面。。如果我输入这个"<><>“,它会给我一条消息:
已禁用
您没有权限访问此服务器上的/searchmusic.php。
我已经尝试联系我的主机提供商,但他们没有帮助。我认为这可能是apache的问题,但我不确定。如果有人知道如何修复这个错误,任何帮助都将不胜感激。
浏览 0提问于2012-03-07得票数 1
回答已采纳
我有一个vb.net网站,在网站上,我也有一个WordPress博客网站。我得到了未知的URL在我的日志文件,不存在于网站。我登录到谷歌网站管理员工具,没有错误报告。
我的网站是http://example.com (vb.net)和http://example.com/blog (WordPress)
所有网址如下:
example.com/dxyylc/md5.php
example.com/xmlrpc.php
example.com/wp-login.php?action=register
example.com/plus/backup.php
example.com/plus/top
浏览 0提问于2017-07-05得票数 3
我想扫描我自己的网站的漏洞使用Vega和w3af从卡利linux。我假设这些工具执行主动攻击,而不是被动攻击。这是正确的吗?
如果它们确实对站点执行主动攻击以查找漏洞,那么有效负载是否是恶意的?在检查SQL注入时,我会伤害数据库吗?
浏览 0提问于2014-07-25得票数 0
回答已采纳
2回答
我有一个网站和mysql数据库表中的条目被删除或更改了值。
我很快就找到了那个黑客,但他只做了一些小小的改动。
我在网站上有一些表格。他有可能注射过吗?
怎么弄清楚他是怎么做到的?首先要测试的东西是什么?
浏览 0提问于2010-09-26得票数 0
昨天晚上,一位潜在的客户让我访问了他的FTP,检查了一个小型的web软件,看看我是否能执行他想要的更改,我在代码中找到了下面的一行
$query = mysql_query("SELECT * FROM request WHERE MD5(CONCAT(id, code)) = '{$_GET['r']}' LIMIT 1");
我读过,mysql_query不支持多个查询,这就是为什么我不能删除我自己创建的一个测试表的原因。
我确实成功地使用了旧的技巧' or 1 = 1 --,但是软件界面只列出了查询的一个结果,这意味着我无法获得所有
浏览 0提问于2015-04-09得票数 1
我正在开发一个大型的社区/论坛网站,我想将我的代码上传到GitHub上,以便至少对其进行某种版本控制(因为除了.rar文件之外,我没有其他任何东西可作为备份,甚至是SVN),让其他人为该项目做出贡献,或许还可以利用它让我未来的潜在雇主将我的一些代码视为某种课程。
但我现在想知道的是,我以前没见过有人提过这个问题,那就是它的安全性。发布网站代码不是一个巨大的安全漏洞吗?就像给潜在的黑客或任何想要发现任何可能的漏洞的人提供一样,即使考虑到关键文件没有上传(数据库密码、身份验证脚本等)。
当然,有数以百万计的项目上传到GitHub,没有人会发现我的只是‘偶然’。但是,如果他们寻找它,它确实会在那里。
浏览 0提问于2012-11-24得票数 10
回答已采纳
2回答
假设一个网站有两个漏洞:
信息披露
反射XSS
它们本身的影响在特定的网站上是有限的,但是当它们被链接在一起时,其影响就太高了(例如将钱转移到另一个帐户)。
怎样才是最合适的方法来展示这些弱点?
关于集思广益,我想说至少有三种选择:
只是有这两个漏洞,而不考虑链式影响。
将这两个漏洞合并为一个具有很大影响的漏洞。
有三个漏洞,最初的两个加上两个链接时受影响的关键功能。
第一个选项看起来不合适,第三个选项,列出一个额外的漏洞可能是多余的。第二个选项看起来不算太糟,但如果两个漏洞本身就很重要,那么这两个漏洞都有自己的位置可能更合适。
浏览 0提问于2019-12-11得票数 2
1回答
我已经创建了一个功能,发布网站,在Visual Studio到MOSS -此功能包含一个母版页,一些页面模板,一些网站栏(分组以匹配每个页面模板)和一些自定义列表模板等。
现在我已经升级了我的特性中的代码--我想要基于我的自定义列表模板创建一个ListInstance。当我升级了SharePoint (使用WSPBuilder)后,如果我创建了一个新的网站集,那么ListInstance和默认数据是可见的,但是现有的网站集不能获得ListInstance和数据。是否可以在升级时更新现有网站集以包含ListInstance?
浏览 1提问于2009-12-14得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
