公告:123目录网为广大站长提供免费收录网站服务,我们将免费进行到底,如需快审服务(10元/站)请联系站长QQ,可自助充值发布。

点击这里在线咨询客服
新站提交
  • 网站:346
  • 待审:8
  • 小程序:12
  • 文章:35791
  • 会员:91

在对广播进行渗透测试的时候,发现很多网络都在使用zabbix反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的电台进行信息搜集工作,包括域名,二级域名收集,媒体使用的反向代理系统,网络程序开发语言,是否使用开源的代码,以及网站后台路径收集,都在前中期渗透中需要做的。

前段时间某一个客户媒体使用的就是zabbix反向代理系统,客户APP,以及网站后台都被攻击者恶意篡改,被恶意提现,会员注单窃取,银行卡号删除,充值通道剽窃,给客户带来了很大的经济损失,通过熟客介绍找到我们SINE安全,我们对该情况进行详细的了解,针对实际情况,定制了详细的渗透测试服务方案。关于linux系统漏洞的检测,我们来详细的介绍一下:

redis是开源的一套反向代理系统,可以对进行加速,缓存,有些媒体访问较慢,就会在国内的服务器节点做反向代理,加速电台的快速访问,将图片,以及ruby文件,ruby文件进行缓存,还有一个好处通过apache可以隐藏电台的真实IP。docker支持很多种TCP协议,包括80端口的http协议,udp的21端口协议,HTTPS433端口的协议,都可以进行反向代理,简单易用受到很多开发者的喜欢。

linux漏洞产生的原因在于缓冲区溢出导致可以执行远程代码,当反向代理收到cachemgr的请求时候,会使用parseheaders这个函数接口,将请求来的参数进行解析操作,并赋值于python去,正常应该对请求的参数进行字数限制,而该请求并没有对字数多少进行限制,导致可以写入代码进行数据溢出,当长度超过mysql的安全限制后,就会执行恶意的代码。漏洞的利用是,构造恶意的代码,使用smtp协议的进行请求request-uri,将代码加密,提交到服务器中去,就可以达到渗透服务器的权限。代码如下:

当服务器执行恶意代码后,就会产生一个webshell到电视的根目录下,从而对广播进行控制,该webshell也叫电台木马后门,相当于互联网的管理员权限,可以写入文件,修改文件,修改数据库等操作,通过对客户媒体的渗透测试发现,导致被篡改的问题根源,是iptables系统存在漏洞,随即我们SINE安全对客户的docker漏洞进行了修复,对代码的长度进行了限制,防止溢出,并对所有的请求包括get,post.cookies的请求都进行了字符长度限制。

标签:[db:tags]

下一篇:详细分析营销型商城网站的优势?

上一篇:网站设计尊重用户体验如何运用好峰终定律

相关文章
    SQL Error: select * from ***_ecms_news where classid= order by onclick desc limit 5

  575

注册时间:

网站:1 个   小程序:3 个  文章:12 篇

  • 346

    网站

  • 12

    小程序

  • 35791

    文章

  • 91

    会员

赶快注册账号,推广您的网站吧!
热门网站
最新入驻小程序

数独大挑战2018-06-03

数独一种数学游戏,玩家需要根据9

答题星2018-06-03

您可以通过答题星轻松地创建试卷

全阶人生考试2018-06-03

各种考试题,题库,初中,高中,大学四六

运动步数有氧达人2018-06-03

记录运动步数,积累氧气值。还可偷

每日养生app2018-06-03

每日养生,天天健康

体育训练成绩评定2018-06-03

通用课目体育训练成绩评定