Apache 作为Web应用的载体，一旦出现安全问题，那么运行在其上的Web应用的安全也无法得到保障，所以，研究Apache的漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施。 Apache HTTP Server（以下简称Apache）是Apache软件 ...

CRLF是“回车+换行”（\r\n，%0d%0a）的简称。 HTTP协议中，HTTP Header之间以一个CRLF分隔，Header与Body以两个CRLF分隔。URL重定向通常通过响应头中的Location进行参数指定，当未对跳转参数做判断时，可能导致CRLF Injection攻击 ...

一、组件介绍 1.1 基本信息 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，遵循Apache 2开源协议发布，使用面向对象的开发结构和MVC模式，融合了Struts的思想和 ...

Struts2漏洞利用实例 如果存在struts2漏洞的站，administrator权限，但是无法加管理组，内网，shell访问500. 1.struts2 漏洞原理：struts2是一个框架，他在处理action的时候，调用底层的getter/setter来处 ...

　　Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 利用条件：webmin <= 1.910 原因：官网 SourceForge代码中存在漏洞，github代码中无漏洞，为后门植入，不得不佩服这些老外 ...

转：https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html 新浪某站CRLF Injection导致的安全问题 PHITHON 2014 六月 30 06:45 阅读：3714 ...

命令执行漏洞（Command Injection） Command Injection，即命令注入，是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。 命令介绍： 级别：Low 工具：burpsuite 源码审计：直接拼接输入指令，无任何防护 测试：burp抓 ...

nginx CRLF(换行回车)注入漏洞复现 一、漏洞描述 CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来 ...