我正在使用flvtbo youtube转换器,我必须启用javascript。
我看到一个来自"multiadblock.com“的广告,它试图引诱我下载一个铬扩展名,但我当然没有继续
在浏览之后,我注意到没有这样的扩展。
flvto甚至把我转到他们的网站上。它甚至没有加载(因为我禁用了javascript :p)
然而。我确实启用了javascript,让flvto弹出恶意广告。
关于这个网站到底包含了什么。显然这个网站是恶意的。
浏览 0提问于2021-02-28得票数 -4
有一个网站,举办编码比赛的编码和安置。他们颁发证书,以赢得编码考试,或至少进入决赛轮。
我没有参加那次比赛,但我的朋友参加了。他把证书和它的链接贴在LinkedIn上。
我和用户在同一个编码平台上,点击证书链接并导航到证书页面,然后我在证书中看到了我的名字,而不是那个家伙。
嗯,我很快就进入了浏览器的匿名模式,制作了一个假的虚拟帐户,复制并粘贴了那个url,然后再次砰地一声,证书上显示了那个假名。
是那个编码平台上的错误吗??有了这个我就有资格得到赏金了吗?
它的严重性是什么,知道它是编码和招聘平台?
在技术术语中,我应该如何称呼这个漏洞?
注意:当我从我的编码平台帐户登录,然后单击该链接,然
浏览 0提问于2019-11-11得票数 0
回答已采纳
假设我们有一个合法的网站A和一个恶意网站B。
我正确地假设恶意站点B使用CSRF目标站点A,它需要专门为此目的创建?
这意味着这样的网站不能对其他网站C、D等发起CSRF攻击。
或者,攻击者是否可以创建一个网站,对用户目前在浏览器中打开的任何其他网站进行CSRF攻击?
浏览 0提问于2017-02-23得票数 0
回答已采纳
我已经下载了我的网站/数据库,并在Centos 7服务器本地重新创建它。我想给它一个很好的锤击,以便找到和修复任何漏洞。有人能推荐一款能帮我完成这个功能的软件吗?开源就太棒了!
浏览 0提问于2016-09-27得票数 -5
我创建爬虫只是为了实践,我每隔几千个网站就会得到这样的东西:
什么样的恶意软件/脚本可以以这种方式在我的PC上执行,有什么方法可以直接保护我自己不受代码的影响?
浏览 0提问于2012-08-14得票数 1
回答已采纳
哪些漏洞很常见,足以成为CVE?它是否只与“申请”S有关,或者网站也被接受?一个不受欢迎的网站(或本地服务)中的漏洞是否足够普遍?
浏览 0提问于2013-04-02得票数 10
回答已采纳
作为我工作的一部分,我定期测试web应用程序的漏洞。当涉及到SQL注入时,我的方法是从手动浏览网站开始,然后将我怀疑与数据库交互的参数发送到SQLMap。
现在,我想知道这是否是寻找SQL注入的正确方式?SQLMap是否能够找到大多数类型的SQL注入,或者我是否应该求助于手动测试?
浏览 0提问于2016-05-16得票数 8
这就是问题所在。我正在主持大约20个Wordpress网站在一个主机。当我从病毒中清除一个网站时(.ico文件将代码注入到index.php中),另一个已经清理过的网站被再次注入(在几个小时或几天内)。
对所有sql基进行备份和删除所有文件的解决方案-对我不起作用-因为在一些网站中,我的小自定义脚本(没什么,只是在html中做了很小的修改,非常肯定我没有错误地创建漏洞)。
所以我的问题是:
是否有可能在cPanel中分离主目录,这样每个网站都会彼此分离?
如果不是,将文件管理器中的权限更改为例如544将停止编辑文件?
关于如何永远删除这个黑客和所有后门,还有其他解决方案吗?
浏览 0提问于2018-08-26得票数 0
http://stegosploit.info/
我考虑让用户将他们的图像直接上传到AWS S3,以节省成本(而不是通过传统的服务器并使用mozjpeg重新编码),但理论上这将根据我所读到的内容打开stegosploit漏洞。
我不明白的部分是:利用漏洞是否需要在<script></script>中加载图像(网站管理员必须在该漏洞中),还是图像本身包含<script></script> (网站用户可以为该漏洞上传图像)?
浏览 0提问于2016-06-07得票数 1
回答已采纳
1回答
阿帕奇POI是一个用于处理office文档的Java库。
与处理不受信任的文档相关的风险是什么?例如,允许用户上载使用POI处理的文档的网站。
我在文档解析中意识到的一个潜在风险是,文档可以引用本地资源,解析器可以在服务器上本地解析这一点。我想知道这是否对POI有风险。
浏览 0提问于2014-06-19得票数 2
我正在寻找关于一般/常见IT漏洞(一般信息)的更新和全面指南。
我不希望你为我做这份工作,我只是想指出我的正确方向:一本书或网站的推荐将是很棒的。
谷歌搜索引擎提供了丰富的信息,但我不知道什么信息是有价值的。
浏览 0提问于2010-11-19得票数 23
回答已采纳
2回答
窗体身份验证(限制区域)
、、、、
我正在用MySQL开发一个使用asp.net mvc的网站,我需要为用户创建一个简单的限制区域,用于更新网站中的一些信息。因此,我已经在mvc应用程序中创建了一个名为"Admin“的区域,并且我知道如何使用Forms身份验证和Autorize属性来保护它!它工作得很好,但是在我的区域的每个控制器中,我必须设置Autorize属性来保护它们。有没有办法保护Web.config中的所有区域?我该怎么做呢?
谢谢
干杯
浏览 0提问于2010-06-11得票数 1
回答已采纳
我正在帮助我的一个学院测试他的网站是否完全是SQLi的。这看起来很有希望,但我正在努力确保,而且我碰巧知道他正在使用pg_escape_string来净化他的POST输入。
这可能是一个愚蠢的问题,但我想知道,是否有办法为SQLMap指定转义方法?
此外,只要我在这里,我想征求意见,哪一种是最好的逃避方法(PostgreSQL组合)是足够的,还是应该使用其他的?
浏览 0提问于2016-09-15得票数 0
3回答
我必须开发一个ASP.NET web应用程序并将其发布到Windows Azure中,这样它才能在IIS7下运行。我没有任何开发这类应用程序的经验。我经常听到这样的说法:“站点X被入侵是因为它以一种非常愚蠢的方式在做Y”。我有点偏执,我可能也在以一种非常愚蠢的方式做Y(和Z),而且我的应用程序很快就被黑客入侵了。
有没有一个很好的指导方针来保护好ASP.NET网站?
浏览 3提问于2011-07-18得票数 2
回答已采纳
吉布森研究公司(GRC)的网站提供以下网页,并提供下载Truecrypt 7.1a的链接。
https://www.grc.com/misc/truecrypt/truecrypt.htm
我的问题是,这些下载是否值得信任?是否有办法确定下载的程序是否已从最初的7.1a版本中修改?
他们提供了一个链接到另一个网站与所有Truecrypt 7.1a文件的哈希,但我们如何知道我们是否也可以信任这个网站?
我不认为这与询问你能信任司机下载网站吗?是一样的,因为Truecrypt背后的历史是非常独特的,软件的原始开发人员删除了到7.1a版本的链接,现在只提供一个下载到不加密卷的被削减版本的软件。GRC
浏览 0提问于2016-10-29得票数 0
回答已采纳
1回答
是否可以为任何漏洞分配CVE编号?
对于像这样的漏洞:
http://seclists.org/fulldisclosure/2016/Apr/92
能给它分配一个CVE号码吗?(现在似乎没有CVE id了)
网站中的漏洞(比如Google.com),而不是库中的漏洞呢?
浏览 0提问于2016-05-09得票数 -3
我调查了一种情况,即托管在IIS服务器上的300+网站被黑客攻击。经过调查,我找到了一个包含恶意ASP-经典代码的文本文件。该文件名为dz.asp;.txt,我刚刚意识到IIS愉快地执行了这个文件,没有抱怨。
所以我的问题是:这种行为正常吗?难道IIS不应该把这个文件当作.txt文件而不是.asp吗?
浏览 0提问于2012-08-26得票数 2
回答已采纳
我发现了一个有以下错误的网站:
Notice: Undefined index: welcome in /var/www/html/blah/index.php on line 14
这是个弱点吗?
浏览 0提问于2018-04-13得票数 -1
回答已采纳
2回答
我们有一个告诉朋友的功能,在我们的网站上,我们提出了一个表格给用户的收件人电子邮件和个人信息。个人信息被添加到我们的电子邮件模板中。这封邮件是代表我们的网站发送的。我们的表格看起来像这样
📷
我们应该做什么检查,以确保恶意的人不能黑它,并利用它自己/其他东西的宣传?
最近,我们遇到了一个类似邮件欺诈的案例,恶意用户可以在输入框中插入一些html代码,以便输入个人信息。收到的电子邮件包含一个全新的电子邮件模板(和我们的模板在底部)和HTTP链接到其他网站。
请补充以下各点
重新检查URL和不发送URL
?
浏览 0提问于2017-02-23得票数 0
1回答
我有一个小django网站,允许文件上传托管在pythonanywhere。这些文件被上传到aws s3。
现在的问题是,即使html中存在download属性,浏览器仍然呈现文件而不是下载文件。
<a download href="{{file_url}}">Download</a>
浏览 4提问于2021-01-19得票数 0
2回答
在我的网站上,我可以让用户将文件上传到服务器上,并能够在一个名为"public uploads“的目录中查看所有上传的文件,在这个目录中,用户可以查看其他用户上传的所有文件。这是Apache目录页面,上面写着"Index of /uploads“。它是一种文件共享中心,人们可以在这里下载和共享其他人的文件。
这会有任何安全问题吗?比如说,用户可以上传恶意的PHP脚本,然后从客户端执行它吗?
我如何解决这些问题,它们应该存在吗?
浏览 3提问于2015-04-04得票数 0
3回答
所以我在谷歌上搜索这个问题,找不到任何明确的例子,因为几乎所有相关的故事都是关于用户登录的网站等。
所以我的场景是这样的,asp.net MVC3网站,没有用户登录,什么都没有。我确实有一些表格,但是,接触和一些计算功能。
我使用Nhibernate,并将我的Smtp服务器凭证放在代码本身中,而不是web.config中。我还有一个自定义的错误页面和post方法,它们都有HttpPost属性。
作为最后一个特性,我有一个AJAX/json get方法,它可以获取标题列表(这个控制器方法有AcceptVerbs(HttpVerbs.Get)属性)。
我是不是遗漏了一些大的安全漏洞(sql注入,跨
浏览 2提问于2012-05-18得票数 0
回答已采纳
2回答
我之所以想知道这一点,是因为像许多其他网站一样,我们也有用户提交的图片。
我看到我的朋友会给我发一条即时消息,上面写着"“,这让我相信他们的电脑上有一些恶意软件,因为在与他们交谈后,他们会立即注销。
当然,我不会点击这个链接,但它确实有一个带有图像扩展名的URL。
这就引出了这个问题,图像会是恶意的吗?
浏览 0提问于2010-08-09得票数 0
回答已采纳
我正在尝试创建一个编程挑战,这将要求开发人员侵入我创建的MVC站点。这个想法显然是为了教他们如何防止这些类型的攻击。
我目前的想法是在站点中构建多个漏洞-但第二个漏洞需要完成第一个漏洞,等等。所以我认为第一个漏洞可能是sql注入攻击,第二个漏洞需要修改后的GET请求,等等。
利用最终的漏洞将揭示一条特定的信息,这证明您已经完成了整个挑战。
它不会部署在公共网站上--它只是我公司开发人员的一个学习工具。我并不是在寻找MVC特定的漏洞--我只是简单地使用MVC,因为它允许我使用“原始”HTML。
对我可以使用的不同漏洞有什么想法吗?
浏览 1提问于2010-05-19得票数 0
回答已采纳
1回答
我正在检查一个网站中的反射XSS,并注意到该网站使用HTML转义的概念,因此基本上任何特殊/无效字符都是转义的。注射并不是那么容易。
示例:'转换为',>转换为>
我有两个问题:
1)是否有可能绕过这类过滤器?
2)我还注意到,当您在筛选器逃离所使用的有效负载后拦截响应时,网站允许对响应进行篡改。(基本上,它允许用户替换对原始有效负载的响应中看到的有效负载的转义版本,从而执行弹出以获取主机名、cookie、域等)。虽然我想这不是确切的XSS的工作方式,我仍然能够获得一些有关网站的信息。
浏览 0提问于2018-01-02得票数 -1
7回答
我需要看看我正在测试的网站是否容易受到这和这等网站上的多个谷歌呆子的攻击。传统上,人们通过搜索Google中的"Index of /“+c99.php”来使用'dork‘,并获得一堆结果。
我如何能够搜索所有的书呆子为我的具体网站迅速和容易?有可能吗?
编辑:为了澄清,我可以访问,并使用一些商业付费应用程序做网页应用程序扫描。然而,我有问题的网站使用WAF和限制我的连接,这大大减慢了事情。因此,我更多的是寻找一个查询谷歌的程序,而不是扫描网站。
浏览 0提问于2013-10-07得票数 14
回答已采纳
2回答
假设一个网站有两个漏洞:
信息披露
反射XSS
它们本身的影响在特定的网站上是有限的,但是当它们被链接在一起时,其影响就太高了(例如将钱转移到另一个帐户)。
怎样才是最合适的方法来展示这些弱点?
关于集思广益,我想说至少有三种选择:
只是有这两个漏洞,而不考虑链式影响。
将这两个漏洞合并为一个具有很大影响的漏洞。
有三个漏洞,最初的两个加上两个链接时受影响的关键功能。
第一个选项看起来不合适,第三个选项,列出一个额外的漏洞可能是多余的。第二个选项看起来不算太糟,但如果两个漏洞本身就很重要,那么这两个漏洞都有自己的位置可能更合适。
浏览 0提问于2019-12-11得票数 2
3回答
阻止程序执行其他程序
、、、
背景:我想为我们学校写一个编程竞赛网站,我知道我需要防止提交的程序滥用文件IO。然而,我想要找出的是如何防止某人编写可以执行其他程序的程序。例如,有人可能提交一个Java程序,该程序使用Runtime或ProcessBuilder类在我们的服务器上做一些恶意的事情,破坏站点,或者扰乱另一个竞争对手。
在unix/linux和(仅供将来参考) windows服务器上,有哪些方法可以防御此问题?
浏览 0提问于2011-02-22得票数 3
回答已采纳
1回答
我正在创建一个电影上传网站,我想知道我上传的电影实际上是一部电影。我知道getimagesize()会测试图像,那么电影中是否有类似的测试呢?
我使用的是Apache2和PHP
浏览 0提问于2017-01-07得票数 0
回答已采纳
1回答
我已经创建了一个功能,发布网站,在Visual Studio到MOSS -此功能包含一个母版页,一些页面模板,一些网站栏(分组以匹配每个页面模板)和一些自定义列表模板等。
现在我已经升级了我的特性中的代码--我想要基于我的自定义列表模板创建一个ListInstance。当我升级了SharePoint (使用WSPBuilder)后,如果我创建了一个新的网站集,那么ListInstance和默认数据是可见的,但是现有的网站集不能获得ListInstance和数据。是否可以在升级时更新现有网站集以包含ListInstance?
浏览 1提问于2009-12-14得票数 2
回答已采纳
1回答
我的网站上有一个小程序。这是一个非常好的软件,但Java在启动时会显示恼人的警告。我如何证明它对访问者是安全的?有没有免费/便宜的服务?
浏览 1提问于2013-12-10得票数 0
我不确定这是不是一个信息安全或网站管理员的问题,而不是程序员,但我将看看我们如何处理。
我已经为一个特定的浏览器游戏建立了一个帮助网站的原型,我已经使帮助网站的布局简洁简洁,其馀的页面空间可以填充一个iframe,它将包含游戏本身,这样玩家也可以在我的网站上玩。
这样,玩家可以玩浏览器游戏,并可以访问所有的工具和信息,在我的帮助网站上的页面顶部。当然,帮助网站不与iframe内的游戏进行交互,其目的是提供与游戏相关的有用的参考和计算器。
我对iframes的安全性做了一些研究,以及因为同样的原产地政策,承载iframe的网站是如何不能干扰iframe的。我能想到的唯一的安全漏洞是玩家不确定真正
浏览 0提问于2015-02-12得票数 1
回答已采纳
我正在测试一个显示会话固定行为的ASP.NET应用程序.应用程序正在使用基于cookie的会话。基本上:
当您登陆该页面时,不会创建任何会话cookie。
登录后创建ASP.NET_SessionId cookie
在注销和重复登录时,cookie值保持不变(没有cookie值重新生成)
我能够手动执行会话固定攻击:
我在那页上着陆了
我手动创建了一个具有一定价值的ASP.NET_SessionId cookie (针对攻击者)
我打开了一个新的浏览器会话并设置了完全相同的cookie (针对受害者)
我在这个新的浏览器会话中以受害者身份登录。
在攻击者的浏览器会话中,我现在能够以受害者身份浏
浏览 0提问于2015-02-26得票数 3
回答已采纳
1回答
如何绕过jQuery验证
、、、
var FormFileUpload = function() {
return {
init: function() {
$('#fileupload').fileupload({
disableImageResize: false,
autoUpload: false,
disableImageResize: /Android(?!.*Chrome)|Opera/.test(window.navigator.userAgent),
maxFileSize: 5000000,
浏览 4提问于2017-05-24得票数 0
在一个网站(我们的一个)的页面上,我可以在url中输入以下代码:
javascript:createNewWindow('Something', 100, 100, 'Text')
有没有办法让人利用这一点?
function createNewWindow(url, widthIn, heightIn, title)
{
var strOptions='toolbar=0,location=0,directories=0,status=1,menubar=0,scrollbars=1,resizable=1,w
浏览 0提问于2008-10-22得票数 1
我知道CloudFlare可以保护您的应用程序免受SQL和XSS注入等攻击。但是操作系统和web服务器呢?
例如,如果我的网站托管在IIS/Windows上,CloudFlare是否也可以保护我的服务器免受操作系统漏洞和/或IIS漏洞的攻击?
浏览 2提问于2015-12-29得票数 0
可能重复: 你能不能只访问一个铬网站就能感染病毒?
我很难相信驱动下载实际上可以在没有用户帮助的情况下发生(例如,用户单击弹出窗口并下载程序)。
为了测试这一点,我已经安装了一个带有IE6的虚拟机(没有更新!),但是后来我被卡住了--当我查看诺顿排名前100的最脏网站时,它们看起来都很干净(点击他们的报告显示他们没有被感染)。随后浏览了一对夫妇证实了这一点。
有可能下载驱动程序吗?有没有这样做的网站的简单证据/例子?
浏览 0提问于2012-01-09得票数 0
1回答
我是一个内部开发团队的一员,该团队提供我们公司在世界各地的工厂使用的软件,用于生产和订单管理,并使站点能够通过广域网彼此共享数据。
我最近受命在4个月内完成以下目标:
编写一份报告,对我们的软件套件和基础设施中的安全弱点进行风险分析,并给出当前和建议的缓解措施。
这将是第一次对我们的系统进行这种分析,并且没有任何重要的安全经验,我不知道从哪里开始。
因此,我的问题是:我应该如何最好地分析企业软件系统及其周围的基础设施的风险和漏洞?
或者,换一种说法,我应该如何分解分析我们系统和基础设施安全的任务?
请注意,在另一个站点有一个单独的团队负责一般的网络安全。
是否有推荐的资源(网站、书籍等)供我参
浏览 0提问于2014-03-21得票数 1
回答已采纳
我刚开始每秒钟收到几封电子邮件,我想很可能有人想利用我的联系方式。我已经采取措施来保护我的网站,我只是好奇他们想做什么。
下面是一些例子:
..À¯
sample%40email.tst and sleep(7.738)
acunetix_wvs_invalid_filename
\";cat /etc/passwd;\"
../../../../../../../../../../windows/win.ini\0.tst
/../..//../..//../..//../..//../..//etc/passwd\0.tst
\";print(md5(acunet
浏览 0提问于2013-11-26得票数 7
回答已采纳
2回答
我一直在想,使用参数化SQL,SQL注入是否仍然是日常正常网站的一个潜在威胁。(ASP.NET - '@0')。
如果它仍然是一个威胁,饼干将如何覆盖或绕过这些参数?
浏览 4提问于2016-05-02得票数 0
回答已采纳
我正在尝试获得一个符合pci标准的网站。
如果你访问(虚拟ip):http:someipaddress/ZNYTMHXO.ashx
然后,用户可以正确地看到我在web配置中声明的页面中的html:
但是,如果您使用相同的url,但在查询字符串中使用?aspxerrorpath=/ : http:someipaddress/ZNYTMHXO.ashx?aspxerrorpath=/
然后,页面在'/‘应用程序中显示一个服务器错误。运行时错误。
pci扫描失败。
为什么这个变量会导致问题?
抱歉,我应该声明ZNYTMHXO.ashx并不存在。404重定向在查询字符串中不存在asperror
浏览 0提问于2013-04-12得票数 1
回答已采纳
一些web应用程序安全扫描器(如Skipfish )报告了漏洞“使用的通用MIME”。在我的例子中,这个漏洞是针对http://my_网站/字体/方框-webfont.ttf这样的资源报告的,响应返回的内容类型报头是application/octet。
是否有可能利用这种漏洞,还是仅仅是假阳性呢?
浏览 0提问于2017-08-12得票数 1
6回答
如何保护窗体免受脚本注入攻击。这是最常用的攻击形式之一,攻击者试图通过表单字段插入JS脚本。这种情况下的验证必须检查表单域中的特殊字符。在互联网/jquery等网站上寻找建议和建议,以获得允许的字符和字符掩码验证JS代码。
浏览 2提问于2010-02-16得票数 1
回答已采纳
1回答
假设您有一个需要SSL的网站,并且您有一个由Verisign其他受信任的机构颁发的通配符证书的生产服务器。您还希望使用SSL在开发人员的机器上本地运行它。
您是在开发人员的机器上使用真正的证书,还是宁愿创建一个自签名证书?为什么?专业人士?犯人?
就我个人而言,我会创建一个通配符自签名证书,原因有几点:
我想要服务器和浏览器之间的信息加密,由自签名的证书提供给我。我不需要向自己证明我是我自己。
如果生产证书被泄露并被替换为新的证书,这将不会以任何方式影响到我的开发人员的机器。
如果我使用真正的证书,然后被新的证书所取代,我可能需要几天时间才能得到新证书的副本--尤其是在一个大型机构
浏览 2提问于2014-03-01得票数 5
我需要测试一个网站,我发现一个脆弱的文件上传。只检查文件扩展名是.jpg、.png还是.pdf。我可以通过上传一个名为script.php.jpg的文件来绕过这个问题。我知道上传的文件存储在/uploads中。
我怎样才能执行那个脚本?在浏览器中键入http://example.com/uploads/script.php.jpg时,脚本不会执行。我知道服务器可以执行php代码,服务器有文件漏洞。
浏览 0提问于2018-06-24得票数 1
1回答
有没有办法(或一个cPanel插件),可以不断扫描网站的漏洞/恶意软件/漏洞从WHM或cPanel?
浏览 1提问于2013-03-29得票数 0
我管理几十个网站的主机。从大约一个星期以来,我在index.php文件中的12个不同网站中找到了这段代码:
<script type="text/javascript" src="http://superiot.ru/**.js"></script> // The name of the actual javascript file differs
<!-- some hash here-->
有些网站是在不同的服务器上,有些不是。我只是想知道是否有其他人也看到了这一点。
使用更多信息编辑:
所有服务器都是centOS
浏览 0提问于2010-10-01得票数 0
2回答
我有一个网站和mysql数据库表中的条目被删除或更改了值。
我很快就找到了那个黑客,但他只做了一些小小的改动。
我在网站上有一些表格。他有可能注射过吗?
怎么弄清楚他是怎么做到的?首先要测试的东西是什么?
浏览 0提问于2010-09-26得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
