淺談SPF配置不當導致的任意郵件偽造漏洞
1.1前提 最開始從其他師傅那里見到這個漏洞,參照一些師傅的博客學習了一下SPF記錄的相關安全問題,今天來聊聊吧,首先要介紹一個協議和兩個記錄。 SMTP協議是簡單的郵件傳輸協議,目前郵件還是使用這個協議通信,但是它本身並沒有很好的安全措施。SMTP協議本身沒有機制鑒別寄件人的真正 ...
相關推薦
nginx 配置不當導致目錄遍歷下載漏洞
今天做百度杯的時候發現一個題很有意思。 點進題目,發現了一個js重定向到login.php,抓包發現請求的header中cookie=0,做過這種類似的題目,o==false,在請求頭里面將co ...
sentry SSRF
,原理是由於sentry默認開啟source code scrapping ,導致可以從外部進行bli ...
NFS配置不當導致的那些事兒
NFS(Network File System):是FreeBSD支持的文件系統中的一種,它允許網絡中的計算機之間通過TCP/IP網絡共享資源; NFS配置:(聲明:以下NFS實驗是在RedHat7上完成) 首先安裝NFS(我的機子是最小化的系統,需要自己安裝 ...
CORS與JSONP配置不當所導致的信息泄露
CORS CORS作用 CORS(跨域資源共享)是用來實現跨域資源訪問的,比如a.com和b.com 2個站,a.com要訪問b.com的資源,正常情況下是訪問不了的。但是有cors就可以利用ajax來訪問b.com的內容了,並且在一定配置下a.com甚至可以利用b.com下的cookie ...
Sentry Blind SSRF
測試腳本: 修復方案: 在sentry的設置中關閉"scrap source code"或" source code scrapping" 保證配置文件中的黑名單不為空:/sentry/conf/server.py ...
Springboot之actuator配置不當的漏洞利用
Http 方法 路徑 描述 get /autoconfig 提供了一份自動配置報告,記錄哪些自動配置條件通過了,哪些沒通過 get ...
nginx配置不當導致的目錄遍歷下載漏洞-“百度杯”CTF比賽 2017 二月場
題目:http://98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.com/login.php 題目內容: 網站 ...