web-server — Information Security Squad
Как создать PHP Web Shell и Backdoor с помощью Weevely

Как создать PHP Web Shell и Backdoor с помощью Weevely

On

Сегодня мы собираемся создать простой PHP шелл и бэкдор с помощью Weevely. Weevely — это веб-оболочка командной строки, динамически расширяемая по сети во время выполнения, предназначенная для удаленного администрирования сервера и тестирования на проникновение. Его терминал выполняет произвольный удаленный код через небольшой…

Как получить root шелл на веб-сервере (Backdoor Image)

Как получить root шелл на веб-сервере (Backdoor Image)

On

Взломать сервер непросто, так много способов сделать это, но сейчас мы собираемся загрузить шелл, загрузив обратный бэкдор на веб-сервер. Есть так много способов и сайтов, которые позволяют загружать изображения аватаров и позволяют редактировать профиль. Давайте начнем! Для этого урока я буду использовать…

DVWA — Уязвимое веб-приложение

DVWA — Уязвимое веб-приложение

On

Damn Vulnerable Web Application (DVWA) — это веб-приложение PHP / MySQL, которое чертовски уязвимо. Его основная цель — помочь специалистам по безопасности проверить свои навыки и инструменты в правовой среде, помочь веб-разработчикам лучше понять процессы обеспечения безопасности веб-приложений и помочь студентам и…

Как настроить балансировщик нагрузки в Nginx с минимальным подключением

Как настроить балансировщик нагрузки в Nginx с минимальным подключением

On

Настройка балансировки нагрузки в Nginx с минимальным подключением Балансировщик нагрузки на сервер эффективно распределяют сетевой или прикладной трафик на нескольких серверах. Всякий раз, когда производительность сервера страдает из-за чрезмерного трафика или перестает отвечать на запросы, балансировщик нагрузки автоматически переключает запросы на другой…

Как реализовать защиту по SSL в Apache Tomcat👨⚕️

Как реализовать защиту по SSL в Apache Tomcat👨⚕️

On

Одной из важных задач защиты Tomcat является настройка SSL-сертификата, потому что веб-приложение доступно через HTTPS. Есть много способов добиться этого. Вы можете ограничить SSL при балансировке нагрузки Внедрить SSL на уровне CDN Используйте веб-серверы, такие как Apache, Nginx и т. д., И…

Как отключить SSlv2, SSLv3 и TLSv1 в Apache.

Как отключить SSlv2, SSLv3 и TLSv1 в Apache.

On

В продолжении темы о безопасности веэб-сервера Apache, а если быть точнее, то об усилении безопасности статьи Как защитить cookie в Apache. SSLv2 подвержен атакам DROWN, POODLE и FREAK. SSLv3 подвержен атаке POODLE. TLSv1 с использованием шифров в режиме CBC подвержен атаке POODLE….

Как защитить cookie с HttpOnly и Secure flag в Apache

Как защитить cookie с HttpOnly и Secure flag в Apache

On

Еще немного об улучшении безопасности вэб приложений. Знаете ли вы, что вы можете уменьшить наиболее распространенную атаку XSS, используя флаг HttpOnly и Secure с вашим файлом cookie? XSS опасен. Рассматривая увеличение количества атак XSS на ежедневной основе, вы должны защитить свои веб-приложения….

Защитить Nginx от Clickjacking с помощью X-FRAME-OPTIONS

Защитить Nginx от Clickjacking с помощью X-FRAME-OPTIONS

On

Clickjacking — это хорошо известные уязвимости веб-приложений. В этой статье я расскажу о том, как сделать то же самое на веб-сервере Nginx. X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe. Это предотвратит…

Как перечислить каталоги веб-серверов с помощью Nmap на Kali Linux

Как перечислить каталоги веб-серверов с помощью Nmap на Kali Linux

On

В этом уроке мы будем использовать Nmap на Kali Linux для сканирования и перечисления каталогов веб-серверов из популярных веб-приложений и серверов. Для этой цели мы будем использовать скрипт Nmap http-enum.nse. Первым шагом в тестировании на проникновение веб-приложений является сканирование каталогов веб-серверов для…

XXE Инъекционные атаки — Уязвимость XML External Entity с примерами

XXE Инъекционные атаки — Уязвимость XML External Entity с примерами

On

Введение XXE инъекции ли внешние уязвимости XML — это особый тип атаки на стороне сервера или SSRF-атаки, связанный с злоупотреблением функциями в XML-синтаксических парсерах. Функции через которые эти атаки идут, широко доступны, но редко используются, и когда они запускаются, могут вызывать атаку…

5e7fa976b0640d40