网络安全

LSN（Log Sequence Number）是InnoDB存储引擎中用来跟踪日志写入顺序的一个数值，它用于确保事务的持久性和数据库的恢复操作，是数据库内部非常重要的一个机制，LSN的主要功能包括：1、记录日志顺序：LSN值随着日志的写入而递增，每一个新的日志条目都会有一个新的LSN值，2、数据恢复：在系统崩……

1、华为：华为的VSCAN1000系列漏洞扫描器主要用于发现和评估网络设备、Web应用、数据库等存在的安全漏洞，并提供相应解决建议，它支持智能主机服务发现、智能化爬虫和SQL注入状态检测等技术，适用于政府、电力、企业、教育、医疗等多个行业，2、盛邦安全：盛邦安全在漏洞检测方面拥有全面的主被动检测能力，包括主机漏……

令牌漏洞类别描述攻击方法防御措施 JWT（JSON Web Token） 是一种用户身份凭证，用于身份验证和访问控制，其结构包括header、payload和signature，空签名绕过JWT身份认证：将原有JWT的header的alg属性修改为“none”，payload的sub属性修改为administr……

漏洞解密1、Shiro-550反序列化漏洞漏洞原理：在调试cookie加密过程中，开发者将AES用于加密的密钥硬编码了，这导致攻击者可以拿到密钥后精心构造恶意payload替换cookie，最终通过后台解密时进行反序列化，造成攻击，利用过程：需要勾选RememberMe选项，然后跟进rememberIdenti……

青岛漏洞涉及多个领域，以下是对一些具体案例的详细分析：1、软件安全漏洞：悦库企业网盘SQL注入漏洞：该漏洞允许攻击者通过SQL注入获取数据库敏感信息，厂商已发布漏洞修复程序，金斗云HKMP智慧商业软件任意文件下载漏洞：未经身份验证的攻击者可通过该漏洞下载系统重要文件，导致网站处于极度不安全状态，金斗云HKMP智……

1、Swagger-UI跨站脚本（XSS）漏洞漏洞描述：Swagger-UI库中存在多个可能导致账户接管的Web安全漏洞，这些漏洞的根本原因是使用了过时版本的DomPurify，这是一个用于HTML、数学和SVG的XML清理程序库，影响范围：该漏洞影响了所有使用受影响版本Swagger-UI的系统，修复建议：更……

标准概述1、标准名称：《信息安全技术—网络安全漏洞分类分级指南》（GB/T 30279-2020），2、实施日期：2021年6月1日，3、主管部门和归口单位：中华人民共和国国家标准化管理委员会，全国信息安全标准化技术委员会（SAC/TC260），4、主要起草单位：包括中国信息安全测评中心、北京中测安华科技有限公……

1、CVE： - 全称：Common Vulnerabilities and Exposures - 简介：CVE是一个公开披露的网络安全漏洞列表，广泛用于IT人员和安全研究人员查阅漏洞的详细信息， - 特点：每个漏洞都有一个唯一的CVE编号作为标识符， - 网址：[https://cve.mitre.org……

漏洞组合1、概述：漏洞组合是指将多个安全漏洞利用结合在一起，以实现更复杂、更具破坏性的攻击，这种攻击方式通常涉及多个软件或系统漏洞的串联利用，目的是绕过单一防御机制，获取更高的权限或造成更大的危害，2、漏洞组合示例：漏洞类型受影响的软件/系统描述 RCE（远程命令执行） Adobe Reader 通过PDF文件……

运行漏洞1、概述： - 运行漏洞，通常指的是在软件或系统运行过程中，由于各种原因导致的安全漏洞，这些漏洞可能被攻击者利用，从而对系统造成损害，2、形成原因：代码层过滤不严：PHP中的system、exec等函数，如果用户能控制这些函数的参数，并且开发人员没有进行严格的过滤，就可能将恶意系统命令拼接到正常命令中……