C語言中的指針機制使得它靈活高效，但由於指針操作不當產生的動態內存錯誤也有很多，比如內存泄漏(Memory Leakage)、內存的重復釋放、空指針解引用(NullPointer Dereferenc ...

漏洞簡介： 該漏洞為DNS 放大攻擊，是 DDoS 攻擊，攻擊者利用 DNS 服務器中的漏洞將小查詢轉換為可能破壞目標服務器的更大負載。 在 NXNSAttack 的情況下，遠程攻擊者可以通過向易受攻擊的解析器發送 DNS 查詢來放大網絡流量，而要查詢的權威域名服務器由攻擊者所控制。攻擊者 ...

一、文件包含漏洞簡介 1、原理 服務器執行PHP文件時，可以通過文件包含函數加載另一個文件中的PHP代碼，並且當PHP來執行，這可以給開發者節省大量的時間。而這也導致客戶端可以調用一個惡意文件，造成文件包含漏洞。 2、文件包含漏洞利用的前提條件 1）web 應用采用 include 等文件 ...

“對於網絡安全來說，一切的外部輸入均是不可信的”。但是CSV文件注入漏洞確時常被疏忽，究其原因，可能是因為我們腦海里的第一印象是把CSV文件當作了普通的文本文件，未能引起警惕。 一、漏洞定義 攻擊者通過在CSV文件中構造惡意的命令或函數，使得正常用戶在使用Excel打開這個CSV文件后 ...

NETGEAR 系列路由器命令執行漏洞簡析 2016年12月7日，國外網站exploit-db上爆出一個關於NETGEAR R7000路由器的命令注入漏洞。一時間，各路人馬開始忙碌起來。廠商忙於聲明和修復，有些人忙於利用，而我們則在復現的過程中尋找漏洞的本質。 一.漏洞簡介 1. ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Dynamic Code Evaluation: Code Injection（動態腳本注入） 和 Password Management: Hardcoded Password（密碼硬編碼） 的漏洞進行總結，如下： 1.1、產生原因 ...

一、SSRF漏洞定義 SSRF(Server-Side Request Forgery:服務請求偽造)是一種由攻擊者構造請求，從而讓服務端發起請求的一種安全漏洞。它將一個可以發起網絡請求的服務當作跳板來攻擊其他內部服務。SSRF的攻擊目標一般是與外部隔離的內網資源 ...

在對項目進行安全掃描時，發現一些密碼硬編碼問題，本文主要三個方面：1）什么是密碼硬編碼；2）密碼硬編碼的危害；3）密碼硬編碼的解決方案。 一 什么是密碼硬編碼 將密碼以明文的形式直接寫到代碼中，就是密碼硬編碼。 下邊示例中，將用戶名和密碼直接寫到代碼中，就是硬編碼 ...