- 综合排序
- 最热优先
- 最新优先
- 来自专栏iSharkFly
Confluence 7 编辑文件
你可用使用你喜欢的桌面应用编辑保存到 Confluence 上面的任何文件。当你使用你的桌面应用编辑完成后,编辑内容将会自动重新保存回 Confluence 上。 你可用编辑 Office 文档,Photoshop 文件,Keynote 幻灯片 —— Confluence 上保存的任何文件,只要在你的计算机中安装有相应的程序你都可以进行编辑。 要对页面中的文件进行编辑,你需要在特定的空间中具有 添加附件(Add Attachments)权限。 这个特性在 Confluence 6.11 的后续版本才可以使用。 如果你还是使用比较老的 Confluence 版本的话,你任然可以使用 编辑微软 Office 文件或者手动上传你的文件。 请查看 管理文件 页面中的指南。
1.3K00发布于 2020-08-31 - 来自专栏Mirror的技术成长
web安全——文件上传
文件上传本身不是漏洞,但如果文件上传功能的限制出现纰漏,允许了不合法且影响网站安全的文件的上传 可以将不合法且影响网站安全稳定性的文件等内容上传的均为“文件上传漏洞” 黑方将文件上传后可通过手段执行以及上传的脚本文件 而文件上传功能是大多web应用均具备的功能(例如图片、附件、头像等)正常的将文件上传是合法的。 uploads/"; 6 $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 7 _SESSION[ 'session_token' ], 'index.php' ); 4 5 6 // File information 7 而在安全领域下有一个名词:绕过(过狗) 通过Burp代理进行访问后拦击数据包并修改后释放上传 ?
95430发布于 2020-11-13 - 来自专栏蘑菇先生的技术笔记
Windows Phones 7 文件操作
Windows Phones 文件操作,自己重新测试了一遍,通过,给大家参考使用。 + filename; private const string settingname = "sname"; ///
/// 创建文件夹 { MessageBox.Show("不存在"); } } } //删除文件夹 { file.DeleteDirectory(foldername); } } //创建文件 private void button7_Click(object sender, RoutedEventArgs e) { using (IsolatedStorageFile 75460发布于 2018-05-21 - 来自专栏写代码和思考
Android开发(7) 文件下载
代码的最后一行使用 con.getInputStream,拿到一个输入流对象,通过这个流对象我们就可以读取到这个文件的内容了。下面要做的,就是读取这个流,将流写入我们的本地文件。 我们常常会把文件下载到手机的存储卡里,所以还会用到获得存储卡路径的方法: 获得存储卡路径,构成 保存文件的目标路径 String dirName = ""; 我们拼接字符串出一个准备存放下载文件的文件夹。并先判断文件夹是是否存在,如果不存在,则新建一个文件夹。 做完了上面的准备后,基本就能实现下载了。 f.exists()) { f.mkdir(); } 下载的操作 //准备拼接新的文件名(保存在存储卡后的文件名) String newFilename = _urlStr.substring 这个过程中下载文件的进度。
77700发布于 2020-03-16 - 来自专栏有趣的django
7.Flask文件上传
1.1.上传文件和访问上次的文件 upload_file_demo.py from flask import Flask,request,render_template import os from werkzeug.utils import secure_filename from flask import send_from_directory app = Flask(__name__) #新建images文件夹 ,为了安全,不过对中文的文件名显示有问题 filename = secure_filename(avatar.filename) avatar.save(os.path.join (UPLOAD_PATH,filename)) print(desc) return '文件上传成功' #访问上传的文件 #浏览器访问:http://127.0.0.1 ,为了安全,不过对中文的文件名显示有问题 filename = secure_filename(avatar.filename) avatar.save(
53820发布于 2018-08-01 - 来自专栏XBD
CentOS7密码安全设置
设置连续输错 5 次口令,账号锁定 5 分钟,先检查 PAM 模块版本,搜索 pam_tally2 是否存在
83510编辑于 2024-08-07 - 来自专栏咻一咻
CentOS Linux 7安全基线检查
操作时建议做好记录或备份 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在/etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7- 14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查 | 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 | 身份鉴别 描述 确保密码到期警告天数为28或更多 加固建议 在/etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置 描述 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户 /sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
3.1K20发布于 2020-05-29 - 来自专栏啄木鸟软件测试
安全测试工具(连载7)
它是网络管理员必用的软件之一,以及用以评估网络系统安全。本书介绍的nmap版本为V7.40。 nmap的三大功能。 l探测一组主机是否在线。 l扫描 主机端口,嗅探所提供的网络服务。 是最清楚的帮助文档 -p 指定端口,如“1-65535、1433、135、22、80”等 -O 启用远程操作系统检测,存在误报 -A 全面系统检测、启用脚本检测、扫描等 -oN/-oX/-oG 将报告写入文件 on 127.0.0.1 Discovered open port 8005/tcp on 127.0.0.1 Discovered open port 5521/tcp on 127.0.0.1 案例7:
1.2K40发布于 2019-12-12 - 来自专栏运维前线
CentOS 7 安全加固、检测、审计
key # if specified --rwo , display only warnings [root@linuxprobe ~]# rkhunter --check --sk Lynis 安全审计工具 可以使用带有默认配置的AIDE,但是如果要自定义设置,请按如下所示更改配置文件。设置规则写在26-84行附近,参考它们。 日志文件[/var/log/aide/aide.log]每次都更新,如果没有区别,它将用零字节更新,因此如果你想保存日志文件,它需要创建一个shell脚本或发送结果通过电子邮件或其他。 ,这一软件采用的技术核心就是对每个要监控的文件产生一个数字签名,保留下来。 当文件现在的数字签名与保留的数字签名不一致时,那么现在这个文件必定被改动过了。
2.4K30发布于 2019-05-26 - 来自专栏用户7881870的专栏
文件系统安全-基于ntfs文件系统的安全设置
NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族的限制级专用的文件系统。 NTFS取代了老式的FAT文件系统。NTFS 提供长文件名、数据保护和恢复,并通过目录和文件许可实现安全性。NTFS 支持大硬盘和在多个硬盘上存储文件。 第五步:将D盘格式化为ntfs文件系统。 第六步:在D盘中创建一个test.txt文件,在里面添加内容为123456。 第七步:右键test文件,点击属性,进入属性界面。 第十三步:打开本地磁盘D,点击test文件,可以访问。 第十四步:切换用户到test2。 第十五步:打开本地磁盘D,点击test文件,无权访问。
95530发布于 2021-05-18 - 来自专栏网络安全615
WEB安全基础 - - -文件上传(文件上传绕过)
: 绕过方法: 绕过文件内容检测 方法: 常见图片类型的文件幻数如下: 文件加载检测 1. 第五步,使用中国蚁剑密码连接 连接成功 点开目录列表,找到了文件上传成功的文件 绕过服务端检测 服务端的代码通常检测三个点:MIME类型、文件内容、文件后缀 绕过MIME类型检测 GIF 图形 .gif image/gif 7. JPEG 图形 .jpeg,.jpg image/jpeg 8. au 声音文件 .au audio/basic 9. 绕过文件内容检测 一般通过检测文件内容来判断上传文件是否合法 方法: 1. 通过检测上传文件内容开始处的文件幻数来判断。 2. 文件加载检测 一般是调用API或函数对文件进行加载测试。 gif 文件幻数检测就要在文件开头写上下面的值: Value = 47 49 46 38 39 61 要绕过 png 文件幻数检测就要在文件开头写上下面的值: Value
5.3K20编辑于 2022-11-19 - 来自专栏全栈工程师修炼之路
安全之文件解析漏洞
注意:本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。 0x01 IIS 5.x/6.0解析漏洞 其中IIS 6.0解析利用方法有两种,目录解析后缀解析; (1) 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS当作asp文件来解析并执行。 /xx.asp/xx.jpg (2) 第二种,在IIS6.0下,分号后面的不被解析,IIS6.0 都会把此类后缀文件成功解析为 asp 文件 wooyun.asp;.jpg { /xx.asp;.jpg IIS 7.5/ Nginx <8.03畸形解析漏洞 nginx是一款高性能的web服务器,使用非常广泛其不仅经常被用作反向代理,也可以非常好的支持PHP的运行,Nginx解析漏洞这个伟大的漏洞是我国安全组织
1.7K10发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
安全之文件解析漏洞
注意:本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。 0x01 IIS 5.x/6.0解析漏洞 其中IIS 6.0解析利用方法有两种,目录解析后缀解析; (1) 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS当作asp文件来解析并执行。 /xx.asp/xx.jpg (2) 第二种,在IIS6.0下,分号后面的不被解析,IIS6.0 都会把此类后缀文件成功解析为 asp 文件 wooyun.asp;.jpg { /xx.asp;.jpg IIS 7.5/ Nginx <8.03畸形解析漏洞 nginx是一款高性能的web服务器,使用非常广泛其不仅经常被用作反向代理,也可以非常好的支持PHP的运行,Nginx解析漏洞这个伟大的漏洞是我国安全组织
76120编辑于 2022-09-29 - 来自专栏性能与架构
web安全 - 文件上传漏洞
文件上传本身是互联网中最为常见的一种功能需求,所以文件上传漏洞攻击是非常常见,并且是危害极大的 常见安全问题 1) 上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片 ,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈 常见的攻击方式就是攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力 案例 攻击者利用这些功能上传一个网页木马 防御 这个漏洞有两个必要条件 一是可以上传木马 二是存放上传文件的目录具备执行脚本的权限 那么首先要做的就是过滤上传的文件,但即使做了各种安全过滤,限制木马上传,实际还是会有各种绕过过滤的攻击方法 ,也因为文件服务器不能执行脚本而没有办法实施攻击 ?
1.6K70发布于 2018-04-03 - 来自专栏小白安全
文件包含漏洞-懒人安全
一.漏洞描述 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件是使用硬编码的,那么一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件 二.漏洞分类 0x01本地文件包含:可以包含本地文件,在条件允许时甚至能执行代码 上传图片马,然后包含 读敏感文件,读PHP文件 包含日志文件GetShell 包含/proc : include():执行到include时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行 require():只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本 元素允许你包含动态文件和静态,而include说明标签仅仅是把一个文件内容当成静态追加到主文件中去。 0x03 asp文件包含漏洞 asp似乎无法包含远程文件(iis安全设置),只能包含本地文件,语法如下: <!
1.8K80发布于 2018-04-16 - 来自专栏信安之路
代码安全之上传文件
客户端JS验证 原理介绍 通过JS验证上传文件类型是最不安全的做法,因为这个方式是最容易被绕过的。我们先来看下JS实现文件检测的代码如下: ? 服务端文件扩展名检测 扩展验证测试代码 ? 默认上传后的文件保存的名字是以获取到名字。 如:上传一个.htaccess文件,内容为AddTypeapplication/x-httpd-php .jpg,上传的jpg文件就可以当作php来解析 7 使用00截断,绕过后缀验证获取webshell (php<5.3.4+关闭GPC) 8 超长文件名截断上传(windows 258byte | linux 4096byte) 服务端文件内容检测 检测文件头 文件头简介 不同的图片文件都有不同文件头, 安全建议 1 使用白名单限制可以上传的文件扩展 2 验证文件内容,使用正则匹配恶意代码限制上传 3 对上传后的文件统一随机命名,不允许用户控制扩展名 4 修复服务器可能存在的解析漏洞 5 严格限制可以修改服务器配置的文件上传如
1.8K00发布于 2018-08-08 - 来自专栏信安之路
代码安全之文件包含
漏洞成因 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 PHP文件包含漏洞代码 ? 以上代码保存为 http://www.test.com/index.php 本地文件包含 包含系统文件 windows ? linux 普通权限: ? root权限: ? 下面是该文件的内容: ? file=phar://test.rar/test.txt 远程文件包含 利用方式 包含远程服务器文件 利用条件 需要allow_url_fopen=On并且 allow_url_include=On /boot.ini/………[…]………… 防御措施 1 尽量不要用户控制文件包含的参数 2 开启open_basedir函数,将其设置为指定目录,则只有该目录的文件允许被访问。
89400发布于 2018-08-08 - 来自专栏网络安全615
WEB安全基础 - - -文件上传
目录 一,文件上传简介 二,文件上传漏洞简介 三,文件上传漏洞出现的原因 四,Webshell简介 五,Webshell基本原理 六,Webshell管理工具 中国菜刀 蚁剑-AntSword 冰蝎-Behinder 哥斯拉-Godzilla 一,文件上传简介 将客户端数据以文件形式封装,通过网络协议发送到服务器端。 在服务器端解析数据,最终在服务端硬 盘上作为真实的文件保存。 二,文件上传漏洞简介 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。 文件上传限制被绕过 3. 开源编辑器的上传漏洞 4. 文件解析漏洞导致文件执行 5.
1.3K30编辑于 2022-11-19 - 来自专栏火丁笔记
如何安全的Include文件
似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。 正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。 > 码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示: <? > 突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量: <?php $debug = true; $config = array( 'foo' => '... 配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。 如何安全的Include文件?
62920编辑于 2021-12-14 - 来自专栏HACK学习
文件上传Bypass安全狗
再继续写的话就属于免杀的范畴了,过于模糊并且跑题了,并不是真正意义上的文件上传Bypass,那是写不完的。 上传文件时waf会检查哪里? 上传文件都可以上传什么格式的文件?还是允许上传任意类型? 上传的文件会不会被重命名或者二次渲染? 0x03.1 增大文件大小 测试发现 waf对于Content-Disposition字段的长度验证不是很准确,因为我们可以想到它进行拦截的规则肯定是基于正则,那么我们想办法让安全狗拦截的正则匹配不到即可 0x03.2 对文件名修改(卒) 我们在上传时候通常会把文件名后缀和解析漏洞,那么waf对于filename参数后的值的文件名后缀肯定是要正则去匹配的 这样正常上传肯定不行 那么绕过之前我们猜想,第一个它可能是对 结果对文件名进行修改全卒,在之前版本的某狗在filename= ;是可以进行绕过的,4.0版本文件名修改全卒 0x03.3 修改文件名后缀 经典的iis6.0解析漏洞尝试,拦截 ?
1.6K20发布于 2021-06-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号