- 博客(374)
- 收藏
- 关注
RSS订阅原创 Web安全测试工具AppScan简述_appscan 注入的值似乎已包含于响应中。
确认所有的解释器都明确的将不可信数据从命令语句或者查询语句中区分出来。最有效的方法:代码审查、代码分析工具、测试人员也可以通过创建攻击的方法来确认这些漏洞。对一些有权限控制要求的功能进行验证。用户密码没有加密显示或者存储、传输时是否被加密,银行卡号、手机号码等信息是否经过加密处理。跨站脚本有两种漏洞类型:存储式、反射式,这两种可能发生在服务器也可能发生在客户端。web安全测试的测试点很多,手工测试很难完整的找出所有切入点,对每个切入点进行全面的检查也会耗费大量测试人员的时间精力。
2024-07-22 14:34:05
526
原创 Go 不同于其他语言的九个特性_go 相比其他语言的特点
这有点像维护噩梦,因为如果我没有在每个函数结束时释放连接,未释放的数据库连接的数量会慢慢增长,直到池中没有更多可用连接,然后中断应用程序。现实情况是,程序经常需要释放、清理和拆除资源、文件、连接等,因此 Go 引入了defer关键字作为管理这些的有效方式。任何以defer开头的语句都会延迟对它的调用,直到周围的函数退出。这意味着您可以将清理/拆卸代码放在函数的顶部(很明显),知道一旦函数完成它就会如此。在上面的例子中,文件关闭方法被推迟了。
2024-07-22 13:16:00
1062
原创 小清新风车短教程:10步教你绘制一副插画_web前端网页制作绘制风车
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-07-21 15:02:15
965
原创 为什么数据库连接池不采用 IO 多路复用?
这是一个非常好的问题。IO多路复用被视为是非常好的性能助力器。但是一般我们在使用 DB 时,还是经常性采用c3p0等技术来与 DB 连接,哪怕整个程序已经变成以Netty为核心。这到底是为什么?首先纠正一个常见的误解。IO多路复用听上去好像是多个数据可以共享一个IO(socket连接),实际上并非如此。。在网络服务中,IO多路复用起的作用是**「一次性把多个连接的事件通知业务代码处理」**。至于这些事件的处理方式,到底是业务代码循环着处理、丢到队列里,还是交给线程池处理,由业务代码决定。
2024-07-21 14:32:59
587
原创 SQLYog使用教程_sqlyog下载
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
2024-07-21 14:05:56
1178
原创 蓝桥杯-网络安全比赛(3)基础学习- JavaScript的闭包(作用域)与this(全局
在网络安全比赛中,JavaScript闭包和this关键字的理解和运用对于涉及Web安全、逆向工程、恶意代码分析、甚至某些逻辑谜题的挑战可能会产生直接影响。
2024-07-20 18:09:10
1114
原创 神兵利器——15款网络安全开源软件工具_开源网络安全工具
对每位信息安全专家都有用的 15 款顶级开放工具。在网络安全领域,开源软件工具是关键资产,使组织能够加强对不断变化的威胁的防御。这些工具以透明度和社区原则为设计理念,使专业人员能够根据其独特需求分析、修改和定制解决方案。下面列出了 15 个开源工具,它们将成为任何有能力的信息安全专家不可或缺的助手。这些工具是网络安全武器库的重要组成部分,使您能够有效应对威胁并改善安全状况。总之,开放的网络安全工具是防御任何网络威胁的宝贵资源。它们结合了创新、透明度和可访问性,使用户和组织能够根据其独特需求定制技术。
2024-07-20 17:35:09
1189
原创 拼搏百天我要日站——扫描工具的基本使用_日站 扫端口
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。扫描僵尸主机192.168.1.140的端口130-150的状态。
2024-07-20 16:49:17
376
原创 基于功能安全的车载计算平台开发:软件层面_e-gas架构
常见的几种软件架构安全分析方法包括SW-FMEA、SW-FTA及SW-DFA。SW-FMEA以硬件组件和软件模块之间的接口或软件模块和软件模块之间的接口为分析对象,列举硬件组件接口或软件模块的失效模式,分析失效模式对后续软件模块或者软件需求的影响,尤其是与功能安全相关的影响。在明确失效模式和失效后果的基础上,去寻找造成硬件组件接口或软件模块的原因,并且对原因施加控制措施。****
2024-07-20 16:09:43
1022
原创 Java中对象的比较_java定义比较总结
在2.2中自定义类型equal方法比较的是两个变量的地址而不是大小,那要是硬要比较大小应该怎么做呢?我们可以覆写基类的equal方法@Override// 自己和自己比较// o如果是null对象,或者o不是Card的子类} // 注意基本类型可以直接比较,但引用类型最好调用其equal方法覆写的格式大同小异1. 如果两个变量都指向同一个变量那么返回true;2. 如果有传入的变量为null,那么返回false;
2024-07-20 13:04:26
259
原创 CSS宽高自适应设置_css怎么靠内容撑开高度
当子元素有浮动并且父元素没有高度的情况下父元素会出现高度塌陷hack1:给父元素添加声明(触发一个BFC)hack2: 在浮动元素下方添加空div,并给该元素添加hack3:万能清除浮动法和属性会使对象不可见,但该对象在网页所占的空间没有改变,等于留出了一块空白区域,而属性会使这个对象彻底消失不显示,也不再占用位置。1)、::after : 与content属性一起使用,定义在对象后的内容。语法:选择符::after{content:”文字”;
2024-07-20 12:05:48
1054
原创 一个小例子助你彻底理解协程
def display(num):time.sleep(1)print(num)for num in range(10):display(num)import asyncioasync def display(num):await asyncio.sleep(1)print(num)coroutines = [display(num) for num in range(10)]给大家的福利零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的
2024-06-25 08:02:41
294
原创 【网络安全】SSRF绕过实现窃取字节跳动LarkSuite元数据
2、文件转换:将用户可控内容转换为PDF等文件类型。3、文件上传:SVG文件如果在服务器端渲染可能导致SSRF。4、文件导入:例如Excel文档、Word文档、Zip文件等通常需要服务器端处理。修改XML文件(存在于Excel、Word中)可能导致文档在服务器端处理时出现XXE/SSRF漏洞。
2024-06-25 07:37:29
1189
原创 【工具使用】——Metasploit(MSF)使用详解(超详细)
show options #查看这个模块需要配置的信息exploitinfo: #查看这个漏洞的信息show payloads #该命令可以查看当前漏洞利用模块下可用的所有Payloadset RHOST 192.168.100.158 #设置RHOST,也就是要攻击主机的ipset LHOST 192.168.100.132 #设置LHOST,也就是我们主机的ip,用于接收从目标机弹回来的shell。
2024-06-25 07:04:09
1387
原创 【GNN for Communication】Privacy-Preserving Decentralized Inference With GNN in Wireless Networks 1(1)
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-06-25 06:10:24
982
原创 《算法和数据结构》从语言到算法的过渡篇_当语言学到什么程度可以开始学算法了
你可能听说过 数组、链表、队列、栈、堆、二叉树、图,没错,这些都是数据结构,但是你要问我什么是数据结构,我突然就一脸懵逼了。如果一定要给出一个官方的解释,那么它就是:计算机存储、组织数据的方式。相互之间存在一种或多种特定关系的数据元素的集合。通常情况下,精心选择的数据结构可以带来更高的运行或者存储效率。往往同高效的检索算法和索引技术有关。是不是还不如说它是堆,是栈,是队列呢?
2024-06-25 05:43:46
1631
原创 [DS]Polar靶场web(一)
这样我们可以用回溯绕过,pre_match函数处理的字符长度有限,如果超过这个长度就会返回false也就是没有匹配到。直接上脚本。
2024-06-25 05:16:54
355
原创 Wireshark抓包分析IP协议_捕捉并分析ip数据包(1)
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」:此文章已录入专栏试验目的:抓包分析IP协议的传输过程和数据分片操作系统:Windows 10 企业版抓包工具:Wireshark 3.6.3。
2024-06-25 04:50:10
1225
1
原创 Web安全:报错注入原理分析,报错注入步骤,报错注入常用函数
适用情况:页面有数据库的报错信息报错信息必须是动态的、来自数据库的报错信息。网站写死的、自定义的报错提示不算。
2024-06-25 04:24:42
454
原创 VMware安装Kail_虚拟机kill安装
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
2024-06-25 03:57:43
603
原创 SQLi LABS Less 26a 联合注入+布尔盲注_sql靶场第26a
枚举出第一个字符后,按照此方法枚举其他字符,为提高效率,稍后使用脚本枚举。字符的ASCLL码肯定大于1,所以页面正常显示,确定payload可用;id=1’)anandd('0,页面异常(空)显示。id=1’)anandd('0,页面异常(空)显示。id=1’)anandd('1,页面正常显示。id=1’)anandd('1,页面正常显示。库名肯定大于1,所以页面正常显示,确定payload可用;由此可以确定,注入点为:单引号+括号的字符型注入。从1开始递增测试长度,稍后使用脚本测试。
2024-06-25 03:05:42
338
原创 Java循环语句详解(零基础小白入门教程6)_java循环语句知识点
在while,do-while循环中使用,注意continue关键字和循环变量的变化的位置。2、循环次数确定的情况下,优先选择for循环,循环次数不固定的建议while,do-while循环。for(表达式1:循环变量的初始化;while循环,先判断循环的条件,然后根据条件执行里面的循环体。//定义变量sum,用于表示1-10的和,这个结果,初始值是0。用法二:针对于循环语句,一个循环中,一旦执行了break语句,那么该循环就彻底的结束了。循环变量的初始值,结束值,循环次数,变量怎么变化(变量的步长)
2024-06-24 20:02:28
344
原创 JavaScript学习笔记(十一)Math 和 Date
console.log(time) // Tue Jan 01 2019 00:00:00 GMT+0800 (中国标准时间)console.log(time) // Sat Jan 05 2019 00:00:00 GMT+0800 (中国标准时间)console.log(time) // Sat Jan 05 2019 22:00:00 GMT+0800 (中国标准时间)console.log(time) // Sat Jan 05 2019 22:33:00 GMT+0800 (中国标准时间)
2024-06-24 19:40:51
655
原创 IDEA配置Maven教程(非常详细)从零基础入门到精通,看完这一篇就够了_idea maven配置教程
本文介绍在IDEA中配置Maven。
2024-06-24 19:17:25
8244
1
原创 Hadoop Web 控制台安全认证_关闭hadoop web管理页面
Hadoop 2.x 版本,默认情况下,可以通过访问HDFS页面,查看Namenode和Datanode状态,以及HDFS的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。
2024-06-24 18:48:28
1109
原创 Go-保留关键字和预定义标识符_go 预定义标识符
除了以上介绍的这些关键字,Go 语言还有 36 个预定义标识符:预定义标识符| append |boolbytecomplexcomplex64complex128| uint16 || copy |falsefloat32float64| imag |intint8int16uint32int32int64iotanil| panic |uint64trueuintuint8uintptr。
2024-06-24 18:25:15
943
原创 DVWA-XSS(DOM)Low Medium High低中高级别_就tm你叫韩毅啊
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。地址栏中 default 参数的值可以修改,这是本关的突破口,我们直接在地址栏把 default 的值修改为 text,修改的参数值会插入到页面中,如果插入可执行代码,就能在页面中执行。
2024-06-24 17:55:27
1072
原创 CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问
【代码】CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问。
2024-06-24 17:28:10
434
原创 CTFshow web(php文件上传155-158)_ctfshow155(1)
web156或者直接把[]换成{}也是可以的其实不就多过滤了{}这个而已嘛,直接短标签木马上去就好了嘛其他都和最初155一样web156还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2024-06-24 17:00:58
463
原创 CentOS 基本操作_centos操作工具
进入vi之后,是处于「命令行模式(command mode)」,您要切换到「插入模式(Insert mode)」才能够输入文字。在「命令行模式(command mode)」下按一下字母「i」就可以进入「插入模式(Insert mode)」,「ESC」键转到「命令行模式(command mode)在「命令行模式(command mode)」下,按一下「:」冒号键进入「Last line mode」,例如:: w filename (输入 「w filename」将文章以指定的文件名filename保存)
2024-06-24 16:28:39
524
原创 AWS SAP-C02教程6--安全_aws sap c02题库
AWS Config主要是配置管理,OpsWorks也有更新补丁功能,是Puppet 或 Chef迁移到AWS云上使用,但是AWS如果不强调Puppet 或 Chef迁移,补丁修复建议都是使用Systems Manager(https://docs.aws.amazon.com/zh_cn/opsworks/latest/userguide/workingsecurity-updates.html)。答案解析:在S3桶属性中,使用AWS KMS管理的加密密钥(SSE-KMS)将默认加密更改为服务器端加密。
2024-06-24 16:02:57
877
原创 Airflow【部署 01】调度和监控工作流工具Airflow官网Quick Start实操(一篇学会部署Airflow)
Airflow™是一个由社区创建的平台,以编程方式编写,调度和监控工作流。这个快速入门指南将帮助您在本地机器上引导一个独立的Airflow实例。如果您按照下面的说明安装,Airflow的安装是很简单的。使用约束文件来实现可重复的安装,因此建议使用pip和约束文件。,但如果您喜欢,可以设置一个不同的位置。AIRFLOW_HOME环境变量用于通知Airflow所需的位置。设置环境变量的这一步应该在安装Airflow之前完成,以便安装过程知道在哪里存储必要的文件。Airflow需要一个主目录,默认使用。
2024-06-24 15:37:15
526
原创 2024陇剑杯答题笔记(更新中)(1)
可能是开机自启,所以检查/root/lib/systemd/system/和/etc/systemd/system/,在/root/lib/systemd/system/中找到了redis.service文件。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。所以答案为/lib/systemd/system/redis.service,转换格式为。
2024-06-24 15:08:18
1086
原创 2024年江西省中职组“网络空间安全”赛项模块B——SQL注入测试_中职2024江西b模块
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2024-06-24 14:41:46
445
原创 19项网络与数据安全新国标全文公开免费下载_gb t 42574 下载
*注:**标准原文来源于国家标准全文公开系统及网络(https://openstd.samr.gov.cn/),如有侵权,请联系修改或删除。左右滑动查看更多左右滑动查看更多左右滑动查看更多左右滑动查看更多左右滑动查看更多左右滑动查看更多(征求意见稿)左右滑动查看更多左右滑动查看更多(征求意见稿)左右滑动查看更多(征求意见稿)左右滑动查看更多。
2024-06-24 14:15:14
506
原创 02-Spring Security 安全框架应用(学一个)(1)
创建配置文件在resources目录下创建application.yml文件,并指定服务端口server:port: 8080创建项目启动类args);运行启动类访问测试第一步:检查控制输出,是否自动生成了一个密码,例如:第二步:打开浏览器输入http://localhost:8080,然后呈现登录页面,例如:在登录窗口中输入用户名user(系统默认),密码(服务启动时,控制台默认输出的密码),然后点击Sign in进行登录,登录成功默认会出现,如下界面:定义登录成功页面。
2024-06-24 13:45:51
1111
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人