簡要描述:
深夜測試了下,環境google+手工
sina在google中顯示的非主營業務很多,不同業務所使用的指令碼語言,環境也不同,導致了很多細小的安全問題,感覺是否是對於漏洞認知上沒有乙個標準?一點看法,見諒 :)
詳細說明:
資訊洩漏類:
php error:
'%3e%3cscript%3ealert()%3c/script%3e
phpinfo:
index of
tomcat管理頁面
邏輯類:
匿名傳送
jump:
上面只是問題的分類,檢測的覆蓋面有限,望自查,比如通過就可以對應出新浪遊戲的cgi位址。
問題都不大,也侷限於能力和精力,希望sina自查下,隱患在大場景下就可能不僅僅只是隱患那麼簡單了 :)
漏洞證明:
資訊洩漏類:
php error:
'%3e%3cscript%3ealert()%3c/script%3e
phpinfo:
index of
tomcat管理頁面
邏輯類:
匿名傳送
jump:
上面只是問題的分類,檢測的覆蓋面有限,望自查,比如通過就可以對應出新浪遊戲的cgi位址。
問題都不大,也侷限於能力和精力,希望sina自查下,隱患在大場景下就可能不僅僅只是隱患那麼簡單了 :)
修復方案:
資訊洩漏類:
php error:
'%3e%3cscript%3ealert()%3c/script%3e
phpinfo:
index of
tomcat管理頁面
邏輯類:
匿名傳送
jump:
上面只是問題的分類,檢測的覆蓋面有限,望自查,比如通過就可以對應出新浪遊戲的cgi位址。
問題都不大,也侷限於能力和精力,希望sina自查下,隱患在大場景下就可能不僅僅只是隱患那麼簡單了 :)
作者 冷焰@烏雲
常見的一些簡單安全問題(筆試經歷)
1 簡述dos與ddos的區別 dos 是denial of service的簡稱,即拒絕服務,不是 dos作業系統 造成dos的 攻擊行為 被稱為dos攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的dos攻擊有計算機網路頻寬攻擊和 連通性攻擊。ddos 分布式拒絕服務 ddos dist...
JAVA 執行緒的建立和一些安全問題
建立執行緒的目的?建立執行緒的目的是為了開啟一條執行路徑去執行指定的 和其他 實現同時執行,而執行的指定 就是這個執行路徑任務。一般多執行緒至少也要兩個執行緒,主線程和自定義的執行緒,主線程的任務定義在主函式中。如何建立乙個執行緒?就暫時我知道的四種方式來建立乙個執行緒 建立執行緒方法一 繼承thr...
關於mysql的一些安全細節問題
mysql的安全主要三個層次 1 網路層次,如果對乙個集群建立乙個區域網,減少裸露在網際網路上面積會減少攻擊面!2 對操作系同級別,1如果你的一些埠沒有用就別開啟了 2 對登入使用者嚴格把守,對data檔案的訪問許可權嚴格限制,最好是單獨的見乙個使用者組來作為宿主!3 資料庫級別,這是最後的一道防線...