2018年第44周微信公众号精选安全技术文章总览

洞见网安 2018-11-5

0x1 Apache最新解析漏洞：CVE-2017-15715复现

蘑菇安全小组 2018-11-02T12:15:37 ©

本文详细分析了Apache服务器中存在的CVE-2017-15715解析漏洞。该漏洞利用了Apache配置文件中的功能，通过上传带有换行符的PHP文件并利用HTTP请求中的特殊字符，可以直接解析PHP内容。文章首先介绍了漏洞的基本原理和影响版本，然后通过三种不同的利用方法展示了如何绕过安全限制。第一种方法是在代码层采用黑名单策略，第二种方法是在Apache配置文件中禁止访问特定目录，第三种方法是在配置文件中禁用PHP文件的解析。文章还讨论了如何通过修改上传的文件名和内容来利用该漏洞，以及如何检测和修复该漏洞。

Apache漏洞文件解析漏洞 Web应用安全服务器安全代码审计漏洞复现 PHP安全

0x2 黑客寻找网站真实IP手段大揭秘！

ISEC安全e站 2018-11-02T10:10:13 安胜ISEC实验室

Get新技巧啦！网站真实ip的查找技巧来袭~

0x3 恶意垃圾邮件附件中新出现的文件类型概览

信息安全最新论文技术交流 2018-11-01T10:22:37

研究人员发现最近的垃圾邮件攻击活动中出现了一些之前很少用到的文件类型。

0x4 浅析：企业常遇到的四种网络注入攻击

亚信安全 2018-10-30T18:30:23 © 你信任的

本文探讨了企业常常遇到的四种网络注入攻击：SQL注入、命令注入、XML外部实体注入（XXE）和跨站脚本（XSS）。其中，SQL注入通过向应用程序发送恶意SQL语句来利用未过滤的输入；命令注入则允许攻击者在服务器上执行恶意Shell命令；XXE攻击利用了XML解析器处理外部实体的方式，使攻击者能够读取敏感文件或执行远程代码；XSS攻击则是通过在用户浏览器中注入恶意脚本来实现的。这四种攻击类型都有可能导致敏感信息泄露、数据篡改乃至系统控制权丧失。为了防范这些攻击，本文建议开发者应采取诸如输入验证、使用白名单、输出编码以及定期进行安全更新和培训等措施。此外，还强调了采用纵深防御策略的重要性，包括停用不必要的服务端口和服务组件，以及持续监控和测试应用安全性。

SQL注入命令注入 XML外部实体注入跨站脚本网络安全防范措施

0x5 关于文件上传绕过的姿势（一）

Linux网络安全 2018-10-29T17:33:39 ©

敏感内容

网络安全文件上传漏洞 Web应用安全前端安全后端安全漏洞利用渗透测试代码审计防御策略实战技巧

0x6 X.Org服务器提权和文件覆盖漏洞曝光，OpenBSD和Linux系统受影响

ISEC安全e站 2018-10-29T14:41:31 ISEC安全e站

X.Org Server软件包存在严重漏洞，黑客可利用该漏洞或通过SSH提升权限执行恶意代码，并覆盖由root等特权用户拥有的任意文件。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。