C语言中的指针机制使得它灵活高效，但由于指针操作不当产生的动态内存错误也有很多，比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(NullPointer Dereferenc ...

漏洞简介： 该漏洞为DNS 放大攻击，是 DDoS 攻击，攻击者利用 DNS 服务器中的漏洞将小查询转换为可能破坏目标服务器的更大负载。 在 NXNSAttack 的情况下，远程攻击者可以通过向易受攻击的解析器发送 DNS 查询来放大网络流量，而要查询的权威域名服务器由攻击者所控制。攻击者 ...

一、文件包含漏洞简介 1、原理 服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这可以给开发者节省大量的时间。而这也导致客户端可以调用一个恶意文件，造成文件包含漏洞。 2、文件包含漏洞利用的前提条件 1）web 应用采用 include 等文件 ...

“对于网络安全来说，一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽，究其原因，可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件，未能引起警惕。 一、漏洞定义 攻击者通过在CSV文件中构造恶意的命令或函数，使得正常用户在使用Excel打开这个CSV文件后 ...

NETGEAR 系列路由器命令执行漏洞简析 2016年12月7日，国外网站exploit-db上爆出一个关于NETGEAR R7000路由器的命令注入漏洞。一时间，各路人马开始忙碌起来。厂商忙于声明和修复，有些人忙于利用，而我们则在复现的过程中寻找漏洞的本质。 一.漏洞简介 1. ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Dynamic Code Evaluation: Code Injection（动态脚本注入） 和 Password Management: Hardcoded Password（密码硬编码） 的漏洞进行总结，如下： 1.1、产生原因 ...

一、SSRF漏洞定义 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造请求，从而让服务端发起请求的一种安全漏洞。它将一个可以发起网络请求的服务当作跳板来攻击其他内部服务。SSRF的攻击目标一般是与外部隔离的内网资源 ...

在对项目进行安全扫描时，发现一些密码硬编码问题，本文主要三个方面：1）什么是密码硬编码；2）密码硬编码的危害；3）密码硬编码的解决方案。 一 什么是密码硬编码 将密码以明文的形式直接写到代码中，就是密码硬编码。 下边示例中，将用户名和密码直接写到代码中，就是硬编码 ...