??云主机低折扣年付还赠送90天?? 广告位招租 - 15元/月全站展示
??伍彩集团官网直营彩票 ??言情小说??
??私有威屁恩(独享/安全/稳定/高速/低价) ??Google Facebook Youtube 科学上网
广告位招租 - 15元/月全站展示 广告位招租 - 15元/月全站展示
关于网址的HTTP头引发的我们关于安全问题的思考

转载   佚名   2012-05-25   浏览量:20168


在实际渗透中我们可以获得很多信息从HTTP 头中.
从以上HTTP 头我们可以登记Nginx 版本为1.0.10 PHP 版本为5.2.17p1
我们可以得知服务器时间,并且有使用分发.
虽然这不能直接造成服务器沦陷,但在黑客入侵他是一些很有效的信息!
你可以通过//serverheader.com/header/form.html 在简单的获取HTTP 信息.
那仅仅是造成自己危险这么简单吗?
也许我们该更猥琐一些嘿嘿.
如果我们把HTTP 头server 处改为: ‘; DROPTABLE servertypes; –
这显然不是一个标准的http.srever ,那这是什么?
首先看DROP TABLE 是啥意思是sql 语句中删除数据表的意思.
也就是说,删除servertypes表.
这会造成什么?
比如蜘蛛读取你的服务器头信息的时候并且他存在servertypes 并且没有过滤数据, 那会造
成什么.嘿嘿不说了你们都懂了吧.
当然这只是一个笑话,蜘蛛没有这么笨.
这可以说一种被动性注入,拓展性思维,我们还能想到?
如果在一个大型网络架构中,通常运维需要进行监控,在很多情况下开发监控系统的同学安全
意识比较薄弱,那会造成什么?
HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Wed, 25 Apr 2012 11:51:39 GMT
Content-Type: text/html
Vary: Accept-Encoding
X-Powered-By: PHP/5.2.17p1
Cache-Control: no-store, no-cache, must-revalidate
Set-Cookie: TPn_sid=8MQ9st; expires=Wed, 02-May-2012 11:51:39 GMT; path=/; httponly
X-Cache: MISS from 2vs.3
X-Cache: MISS from ce.3
Transfer-Encoding: chunked
Via: 1.1 2vs.3:83 (squid), 1.1 ce.3:83 (squid)
最后我们如何修改HTTP 下面有几篇文章,虽然是英文的但是简单易懂,相信大家不用我翻
译了吧.
Apache: //httpd.apache.org/docs/2.0/mod/mod_headers.html
IIS7://technet.microsoft.com/en-us/library/cc753133(v=ws.10).aspx
NginX://blog.secaserver.com/2012/03/customize-server-header-nginx/
DiS9 TeAm [Joe Lynch]

转载自://www.jb51.net/hack/45111.html



关于私有云(云计算))安全问题的讲解
注:本文中的观点仅代表个人意见,如有不妥之处还请海涵。今天我们来详细说说私有云的安全。
黑客都是天才:网络中10种不同类型的黑客分析
黑客都不是一般的人.天才.我们看一下都有哪些类型
关于网址的HTTP头引发的我们关于安全问题的思考
本文主要介绍了HTTP头所引发的问题.我们来剖析一下.了解清楚
关于私有云 云计算 安全问题的讲解
注:本文中的观点仅代表个人意见,如有不妥之处还请海涵。今天我们来详细说说私有云的安全。
微软紧急安全公告 当心SQL攻击爆发
就在前不久微软给出了修复IE危急安全漏洞的补丁,今天,微软又发布了新的安全公告,提醒广大用户在SQL服务器数据库软件中存在一个严重的漏洞——存在于一个名为“sp_replwritetovarbin”的储存程序中,该漏洞会影响到MicrosoftSQLServer2000和SQLSe