密码保护:流程规范 – 研发高压线

密码保护:流程规范 – 研发高压线
目的 为规范研发人员工作操作,严格执行力,维护良好的线上环境。 内容 1. 禁止一切未经授权的线上数据库、环境的操作行为(包括不限于导数据、批量刷新、修改业务数据等) 任何人员未经授权不得对生产环境进行如停止服务器运行、批量修改、删除线上数据等高危操作 任何人员均不得响应未经授权的刷新、修改数据库、导数据的请求 2. 禁止在非授权时间擅自发布 非授权时间擅自...

密码保护:网络 – 知识库 – 日常操作管理

密码保护:网络 – 知识库  – 日常操作管理
1.F5地址管理: 流程为:创建VLAN-关联物理接口-配置IP地址(物理地址和浮动地址) 根据需求(每条专线、内网接口)创建VLAN:Network-VLANs,同时关联到物理接口上,“untag=access”,“tag=trunk”; 配置IP地址:Network-Self IPs,为每一个VLAN配置IP地址,对于两台F5组成的HA组来说,每个VLAN需要两个物理IP(每台F5一个)和一个浮动IP,实际对外访问时使用浮动IP。注意F5...

密码保护:日常规范 – 设备上下架规范

密码保护:日常规范 – 设备上下架规范
机房设备上架标准流程 V0.1   2016年5月 一、目标 为规范机房设备上架流程、设备摆放、设备管理以及保障日程运维、紧急情况处理等工作,特制订本流程。 二、涉及对象 涉及设备:所有需要进入机房并且安装的设备,也包括需要跨机柜迁移的设备。 涉及人员:设备管理员、网络管理员、机房设施管理员、财产管理员(设备管理员包括:系统管理员、网络管理员、安全设备管理员等人...

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS
请注意,本文主要说明攻击思路。 CRLF注入这个漏洞我碰到的真是特别少,有印象的是总共碰到过两次,那两次还都无法实际利用,可能过滤了换行的参数吧。不过这次也算是巧合SN发现了几处CRLF注入,这里我挑选了一处比较有意思的来说说,如下图。   http://xxxx.SN.com/cxxxxxxxxs?sid=16xxxxxx8&tid=1612xxxxxxxxx0614&ap=NDQzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...

32个触发事件XSS语句的总结

32个触发事件XSS语句的总结
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert(bem)">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV onmouseleave="alert(bem)" style="BACKGROUND-COLOR: red">123456</DIV> 3、onmousewheel:当鼠标在选区滚轮时执行代码 <DIV onmousewheel="alert(bem)" style...

一个有趣的 XSS 漏洞 1

一个有趣的 XSS 漏洞 1
说实话能找到这篇文字也是巧合,曾经的大牛:Mramydnei,现在已不知何处,曾经的法克论坛,现在已经烟消云散。 文章作者:Mramydnei 来源:法克论坛 (已关闭,别闹,博主我曾经还是核心元老呢) 本博主自认为,我博客应该是网上保存的最完整的带来源带图带作者的博客文章了。 最近认识了个新基友,天天找我搞 XSS,搞了三天,感觉这一套程序还是很...

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免
起因是这样的,前几天在SN网购物,然后无意发现一枚SN某分站绕WAF实现反射XSS,然后就顺手提交到他们的安全平台了。一个反射XSS么,我个人也没觉得这个能给很多分,或者有多大危害,结果他们确实也忽略了,不过忽略的理由奇葩到极限了。忽略理由请看上文的结尾部分。 然后就有了此文,一顿找反射XSS,因为不能开扫描器,结果找着找着,发现了一个通杀SN所有分站的一个反射XS...

Windows 2008中配置Rsync同步Linux文件

Windows 2008中配置Rsync同步Linux文件
因为需要对某些源代码检查的需要,这里需要把Linux服务器中的源码同步到本地,因为服务器中的设置我并不知道,而运维的人只给了一个linux的 rsyncd.conf配置文件,就让我同步,无奈自己的服务器是windows的。 研究了好一会。 最终实现的命令是: rsync -avz [email protected]::xxxxxx /cygdrive/d/wenjianjia/   --port=28950 # 端口 -vzrtopg --progress # 显示同步过...

python 暴力破解某http登陆接口

python 暴力破解某http登陆接口
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 # -*- coding: utf-8 -*- # 利用python 写的多线程爆破后台用户名+密码(自备字典),比较实用,即使是在信息安全这么重视的今天,还是有人不加验证码或者异常访问限制之...

绕SN WAF实现反射XSS 记载XSS平台code(一)

绕SN WAF实现反射XSS  记载XSS平台code(一)
某日在逛SN的线上商城,发现一个URL,然后就随手看了一下,如下图。 SN某分站 (点击看大图) 仔细看了一下,里面明显有两个参数有问题啊。 orderId  和 vendorCode  似乎提交什么值,他们俩就会在网页中显示什么值。那么是不是可以构造一个反射XSS的URL了?如下图: URL中含有JS代码报错(点击可看大图) 哎呦,居然出错了,估计应该内部有拦截吧,然后测试了一下img图片的标签...