XSS Hack:获取浏览器记住的明文密码
0x01. XSS获取明文密码的多种方式 我已经感受到Web潮流带来的巨大革新,尤其是最近HTML5越来越火。浏览器们在客户端瓜分着这个Web OS,只要是对用户体验好的功能,浏览器之间就会互相学习,然后去实现,但是实现总是存在一些差异,有些差异是用户体验上的 … 阅读全文
nginx优化之Linux内核参数的优化
由于默认的Linux内核参数考虑的是最通用的场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,使得Nginx可以拥有更高的性能。 在优化内核时,可以做的事件很多,不过,我们通常会根据业务特点来进行调整,当Nginx作为静 … 阅读全文
Struts2 方法调用远程代码执行漏洞(S2-032)
概要 2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。 漏洞详情 贡献者 Root 共获得 0 … 阅读全文
Redis 未授权访问配合 SSH key 文件利用分析
Redis 未授权访问配合 SSH key 文件利用分析 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis 未授权访问的问题是一直存在的问题,知道创宇安全研究 … 阅读全文