代理服務(wù)器漏洞精品文章

• 

  Kubernetes儀表盤和外部IP代理漏洞及應(yīng)對(duì)之策

  ...的Kubernetes儀表盤不使用任何自定義TLS證書。 Kubernetes API服務(wù)器外部IP地址代理漏洞 下面讓我們來探討Kubernetes公告所描述的第二個(gè)漏洞。 Kubernetes API服務(wù)器使用節(jié)點(diǎn)、node或服務(wù)代理API，將請(qǐng)求代理到pod或節(jié)點(diǎn)。通過直接修改podIP...

  everfly 2019-07-01 16:59 評(píng)論0 收藏0
• 

  通過Web安全工具Burp suite找出網(wǎng)站中的XSS漏洞實(shí)戰(zhàn)(二)

  ...用Web安全工具Burp suite進(jìn)行XSS漏洞挖掘部分，分為了設(shè)置代理，漏洞掃描，漏洞驗(yàn)證三個(gè)部分，其中permeate滲透測(cè)試系統(tǒng)的搭建可以參考第一篇文章。 二、操作概要 下載工具 設(shè)置代理 漏洞掃描 漏洞驗(yàn)證 三、下載工具 3.1 安裝JD...

  klinson 2019-07-01 10:47 評(píng)論0 收藏0
• 

  Kubernetes首個(gè)嚴(yán)重安全漏洞發(fā)現(xiàn)者，談發(fā)現(xiàn)過程及原理機(jī)制

  ...嚴(yán)重性9.8分（滿分10分），惡意用戶可以使用Kubernetes API服務(wù)器連接到后端服務(wù)器以發(fā)送任意請(qǐng)求，并通過API服務(wù)器的TLS憑證進(jìn)行身份驗(yàn)證。這一安全漏洞的嚴(yán)重性更在于它可以遠(yuǎn)程執(zhí)行，攻擊并不復(fù)雜，不需要用戶交互或特殊...

  darkerXi 2019-07-01 16:55 評(píng)論0 收藏0
• 

  Egor Homakov：我是如何再次黑掉GitHub的

  ...ferers有兩個(gè)向量：用戶點(diǎn)擊一個(gè)鏈接（需要交互）或用戶代理載入一些跨站資源，比如 我不能簡(jiǎn)單的注入（img src=http://attackersite.com），因?yàn)檫@會(huì)替換成camo-proxy URL，這樣就不能把Referer頭傳遞到攻擊者的主機(jī)。為了能夠繞過Camo-s ...

  Apollo 2019-06-21 16:23 評(píng)論0 收藏0
• 

  Burpsuite學(xué)習(xí)（1）

  ...您決定哪些內(nèi)容通過使用瀏覽器的目標(biāo)應(yīng)用，通過BurpProxy服務(wù)器進(jìn)行掃描。您可以實(shí)時(shí)主動(dòng)掃描設(shè)定live active scanning(積極掃描)和live passive（被動(dòng)掃描）兩種掃描模式。 Live Active Scanning：積極掃描。當(dāng)瀏覽時(shí)自動(dòng)發(fā)送漏洞利用代...

  zhichangterry 2019-08-16 10:51 評(píng)論0 收藏0
• 

  每周數(shù)百萬下載量!NPM包修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

  ...這些規(guī)則在企業(yè)系統(tǒng)中被廣泛使用。它們分布在本地網(wǎng)絡(luò)服務(wù)器和遠(yuǎn)程服務(wù)器上，通常通過HTTP而不是HTTPs不安全。 這個(gè)問題影響范圍很廣，因?yàn)镻roxy-Agent被用于Amazon Web Services Cloud Development Kit (CDK)、Mailgun SDK和谷歌的Firebase CLI...

  lifefriend_007 2021-09-09 11:37 評(píng)論0 收藏0
• 

  Node.js HTTP 模塊拒絕服務(wù)漏洞（已于 v0.8.26 及 v0.10.21 中被修復(fù)）

  ... 我們建議所有 Node.js v0.8 或 v0.10 運(yùn)行在生產(chǎn)環(huán)境的 HTTP 服務(wù)器盡快更新此版本。 v0.10.21 http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/ v0.8.26 http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/ 對(duì)此 N...

  SimpleTriangle 2019-06-21 16:20 評(píng)論0 收藏0
• 

  利用X-Forwarded-For偽造客戶端IP漏洞成因及防范

  ...方式就是使用request.getRemoteAddr()。這種方式能獲取到連接服務(wù)器的客戶端IP，在中間沒有代理的情況下，的確是最簡(jiǎn)單有效的方式。但是目前互聯(lián)網(wǎng)Web應(yīng)用很少會(huì)將應(yīng)用服務(wù)器直接對(duì)外提供服務(wù)，一般都會(huì)有一層Nginx做反向代理和...

  Yuqi 2019-07-25 14:45 評(píng)論0 收藏0
• 

  QQ郵箱是如何泄密的：JSON劫持漏洞攻防原理及演練

  ...且數(shù)組會(huì)生效。 下面就讓我們看看那些別有用心的人的服務(wù)器上的HTML頁。 注*這里我們可以看到使用 Json Object 而不是Json Array返回你的數(shù)據(jù)，可以在一定程度上預(yù)防這種漏洞。 ... Object.prototype.__defineSetter__(Id,function(obj){alert(...

  khlbat 2019-06-21 16:20 評(píng)論0 收藏0
• 

  Nginx修復(fù)漏洞打補(bǔ)丁過程

  ...x是由俄羅斯的程序設(shè)計(jì)師Igor Sysoev所開發(fā)的一款輕量級(jí)Web服務(wù)器/反向代理服務(wù)器及電子郵件（IMAP/POP3）代理服務(wù)器。 Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module組件存在內(nèi)存泄露漏洞，該漏洞源于程序沒有正確處理MP4...

  Pandaaa 2019-07-25 15:06 評(píng)論0 收藏0
• 

  在PHP應(yīng)用程序開發(fā)中不正當(dāng)使用mail()函數(shù)引發(fā)的血案

  ...為了在PHP中使用mail()函數(shù)，必須配置一個(gè)電子郵件程序或服務(wù)器。在php.ini配置文件中可以使用以下兩個(gè)選項(xiàng)： 1.配置PHP連接的SMTP服務(wù)器的主機(jī)名和端口 2.配置PHP用作郵件傳輸代理（MTA）的郵件程序文件路徑 當(dāng)PHP配置了第二個(gè)選...

  Galence 2019-06-27 16:25 評(píng)論0 收藏0
• 

  開源負(fù)載均衡器HAProxy嚴(yán)重安全漏洞 易受關(guān)鍵HTTP請(qǐng)求走私攻擊

  ...t-size:18px}} HAProxy是一個(gè)受歡迎的開源負(fù)載均衡器和代理服務(wù)器，目前披露了一個(gè)嚴(yán)重的安全漏洞，該漏洞可能被攻擊者濫用，可能會(huì)走私HTTP請(qǐng)求，導(dǎo)致未經(jīng)授權(quán)的訪問敏感數(shù)據(jù)和執(zhí)行任意命令，進(jìn)行一系列攻擊。 該整數(shù)溢...

  ThinkSNS 2021-09-13 10:29 評(píng)論0 收藏0
• 

  安全產(chǎn)品不“安全”?可致數(shù)據(jù)泄露的SNI漏洞影響Cisco、Fortinet等產(chǎn)品

  ...數(shù)據(jù)。 Mnemonics%20Labs研究人員在TLS%20Client%20Hello擴(kuò)展的服務(wù)器名稱指示%20(SNI)%20中發(fā)現(xiàn)了一個(gè)漏洞。并表示，利用此漏洞可能使攻擊者能夠繞過許多安全產(chǎn)品的安全協(xié)議，從而導(dǎo)致數(shù)據(jù)泄露。 這個(gè)問題廣泛影響來自不同安全...

  mo0n1andin 2021-08-31 09:44 評(píng)論0 收藏0