- 博客(1168)
- 收藏
- 关注
RSS订阅原创 深入理解MD5算法:原理、应用与安全
MD5算法是一种广泛使用的哈希函数,用于生成128位(32个十六进制数字)的消息摘要。它接受任意长度的输入,并输出固定长度的哈希值,通常用于验证数据完整性、数字签名、密码存储等领域。MD5算法以其简洁高效的设计和快速计算速度而闻名,但近年来由于其存在一些安全性弱点,逐渐被更安全的哈希算法所取代。
2024-07-26 13:15:00
282
原创 深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring Boot中JWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。
2024-07-26 12:00:00
509
原创 深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效。
2024-07-26 11:00:00
565
原创 深入Kubernetes高级特性:自动化、安全与监控
最近无意间获得一份阿里大佬写的刷题笔记,一下子打通了我的任督二脉,进大厂原来没那么难。这是大佬写的,7701页的BAT大佬写的刷题笔记,让我offer拿到手软本文已收录于我的技术网站,有大厂完整面经,工作技术等经验分享。
2024-07-26 10:00:00
1115
原创 深度学习的数据安全:如何保护数据和模型的隐私和安全
深度学习技术在近年来迅速发展,已经应用于多个领域,包括图像识别、自然语言处理、语音识别等。然而,与其他技术不同,深度学习模型通常需要大量的数据进行训练,这使得数据安全和隐私保护成为了一个重要的问题。在这篇文章中,我们将讨论如何保护深度学习中的数据和模型隐私和安全,以及相关的算法和技术。
2024-07-26 09:00:00
645
原创 如何使用自定义Promptbooks优化您的安全工作流程
自定义Promptbooks是一系列自然语言提示,它们按照特定的顺序组织起来,以满足您独特的安全相关用例。这些Promptbooks类似于安全剧本,可以作为模板自动化重复的安全任务,如事件响应和调查。通过自定义Promptbooks,安全团队可以根据实际情况调整和优化工作流程,确保在面对安全威胁时能够迅速采取行动。创建自定义Promptbooks有两种主要方法:从现有的Copilot forSecurity会话中创建,或者从Promptbook库中复制和修改现有的Promptbooks。
2024-07-25 13:00:00
526
原创 如何使用 NMAP 命令进行网络扫描
Mapper”)是一个免费的开源(许可)实用程序,用于网络发现和安全审计。许多系统和网络管理员还发现它对网络清单、管理服务升级计划以及监控主机或服务正常运行时间等任务很有用。Nmap以新颖的方式使用原始 IP数据包来确定网络上可用的主机、这些主机提供的服务(应用程序名称和版本)、它们运行的操作系统(和操作系统版本)、数据包过滤器/防火墙的类型正在使用,以及许多其他特性。它旨在快速扫描大型网络,但对单个主机也能正常工作。Nmap。
2024-07-25 12:00:00
653
原创 如何设计一个安全的对外接口,总结了这几点,网络安全高级架构进阶之数据传输与序列化
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-25 11:00:00
750
原创 如何破校园网
前端做的不是很好,前端UI布局写的较差,后端接口也不太严谨,能够透露出些信息容易被利用,在找漏洞的过程中发现一个反射型的xss,用处不是很大毕竟要受害者点击才能执行恶意代码,我找到的这些东西和思路都总结在下面。1.前端的错误提示不要给的太明显,可以写成这样 “账号或者密码错误”。2.对账号密码的加密,虽然可以通过JS逆向出来但也可以增加安全性。3.对前端错误次数做限制再加上验证码,虽然可以破解但也可以增加安全性。4.当你拿到账号时登录后请先修改强密码,防止弱口令登录。
2024-07-25 10:00:00
785
原创 如何解决win11“无法枚举容器中的对象,访问被拒绝”、“右键新建只有文件夹,没有其他选项”的问题。
如果出现 无法枚举容器中的对象,就找到那个错误的容器,就是出错的那个文件夹,修改Users的权限为全部控制即可,这个无法枚举容器中的对象错误就会消失,同时这个容器文件夹里面 右键新建,也不会只出现一个文件夹选项了。看了这么多,如果解决问题了,就点个免费的赞吧!让我也开心开心。
2024-07-25 09:00:00
760
原创 如何更安全地进行三方计算?
当将MPC/ZKP等密码学技术运用到具体的场景中时,需要先将待计算的任务转化为密码学角度的输入形式,称为“电路”,一般包括算术电路和布尔电路。算术电路由加法和乘法组成,适用于处理计算中的线性部分(如矩阵乘法),而布尔电路由AND、XOR等二进制门组成,适用于处理计算中的非线性部分(如Relu、MaxPooling、batchnorm、截断等)。在机器学习等应用中,非线性部分的代价往往较高,因而本文先集中讨论布尔电路。
2024-07-24 13:00:00
650
原创 如何安全地设置MySQL数据库的IP白名单
设置MySQL数据库的IP白名单是一种关键的安全措施,可以确保只有来自特定IP地址的请求被允许访问数据库服务器。这里是如何安全地配置这些设置的分步指南。
2024-07-24 12:00:00
625
原创 日志分析技能不足:安全团队缺乏足够的技能来分析和理解日志内容
总结当前面临的主要问题与挑战展望未来可能的发展方向和解决之道持续优化和改进日志分析方法以满足不断变化的需求。
2024-07-24 11:00:00
720
原创 日积月累之安全增强型 Linux
Linux)是一种强制访问控制(MAC)安全机制,它在Linux操作系统中提供了额外的安全层。SELinux是由美国国家安全局(NSA)开发的,旨在提供对进程、文件和日志的访问控制策略。SELinux通过定义一系列的安全策略来控制应用程序和用户对系统资源的访问。这些策略定义了哪些用户和程序可以访问系统上的资源,以及它们可以执行哪些操作。
2024-07-24 10:00:00
904
原创 让Ansible更安全:使用Vault进行加密
管理目标节点时,有些操作需要使用密码才允许访问,但Ansible是一个自动化配置管理工具,在自动化操作的阶段中要求交互式输入密码的行为应该是一件让人败兴的事。通常,实现非交互式的方案有:(1).将敏感数据写入文件(比如写入变量文件),然后读取,这种方案不安全;(2).定义敏感数据对应的环境变量,缺点是有些客户端工具不一定支持这种方式,且这种方案不够方便;(3).使用命令行选项,但缺点是不安全,且Ansible不支持这种功能;(4).expect类工具,缺点是不方便。
2024-07-24 09:00:00
1499
原创 潜伏三年,核弹级危机一触即发,亚信安全深度分析XZ Utils后门事件
XZ Utils是一个高压缩比的数据压缩格式,广泛应用于各种Linux发行版中。在XZUtils的5.6.0和5.6.1版本中,被研究人员发现存在恶意后门代码,这个后门代码可以被攻击者利用,通过SSH未经授权地访问系统。这个恶意后门代码被嵌入在XZUtils的两个测试文件中:tests/files/bad-3-corrupt_lzma2.xz和tests/files/good-
2024-07-23 13:00:00
874
原创 前端自动刷新Token与超时安全退出攻略
因为http请求是无状态的,是一次性的,请求之间没有任何关系,服务端无法知道请求者的身份,所以需要鉴权,来验证当前用户是否有访问系统的权限。以oauth2.0授权码模式为例:!每次请求资源服务器时都会在请求头中添加 Authorization: Bearer access_token资源服务器会先判断token是否有效,如果无效或过期则响应 401此时用户处于操作状态,应该自动刷新token保证用户的行为正常进行。
2024-07-23 12:00:00
1092
原创 前端知识笔记(五)———前端密钥怎么存储,才最安全?
前端密钥存储安全是非常重要的,具体原因如下:保护敏感数据:密钥用于保护敏感数据的安全性。如果密钥泄露,攻击者可能能够访问和篡改敏感数据,导致数据泄露、数据被篡改或系统被入侵。防止恶意使用:在前端存储密钥的情况下,攻击者可以更轻易地获取密钥。一旦攻击者获得密钥,他们可能会使用该密钥进行恶意操作,例如伪造请求、未经授权的访问或数据篡改。遵守安全性和合规性要求:许多行业和法规要求对敏感数据采取特定的安全措施,包括密钥的安全存储和管理。不遵守这些要求可能导致法律责任和声誉损害。
2024-07-23 11:00:00
623
原创 前端密钥怎么存储,以及临时存储一些数据,如何存储才最安全?
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-23 10:00:00
1570
原创 前端代码常见的安全缺陷(一)
目录1、使用不安全的target blank问题描述:修复建议:2、Javascript 代码劫持问题描述:修复建议:示例:3、跨站请求伪造问题描述:修复建议:4、遗留的调试代码问题描述:修复建议:5、HTML页面中包含硬编码域名问题描述:修复建议:6、密码管理:null 密码问题描述:修复建议7、易受攻击的框架问题描述:修复建议:8、请求头部未设置httpOnly属性问题描述:修复建议:在使用标签中使用target属性,当值设置为“_blank”攻击者会针对API进行恶意行为的攻击,有可能导致钓鱼安全漏洞
2024-07-22 13:00:00
674
原创 前端安全——最新:lodash原型漏洞从发现到修复全过程
人生的精彩就在于你永远不知道惊喜和意外谁先来,又是一个平平无奇的早晨,我收到了一份意外的惊喜——前端某项目出现lodash依赖原型污染漏洞。咋一听,很新奇。再仔细一看,呕吼,更加好奇了~然后就是了解和修补漏洞之旅。最后的最后,却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。
2024-07-22 12:00:00
576
原创 前端安全之XSS,CSRF,网络劫持
原理:获取用户的Cookie2. 攻击场景评论区或者搜索框(可以输入的地方)URL上拼接js代码3. 类型1、Server论坛发帖、商品评价、用户私信等等这些用户保存数据的地方攻击者将恶意代码提交到目标网站的数据库中,用户开打该网站评论、内容的时候就会被攻击,用户浏览器收到html代码后,混入其中的恶意代码就会被执行比如获取用户的cookie信息,然后发送给攻击者的服务器。在实际开发中,开发人员要增强安全意识,为用户的信息安全保驾护航。这其实就涉及XSS的防御,要对2、Server。
2024-07-22 10:00:00
564
原创 能否在一台电脑上安全地登录多个Facebook账号?
在一台电脑上安全地登录多个Facebook账号只需使用像VMLogin这种防关联指纹浏览器就可以进一步提高账号的安全性和方便性,轻松地管理多个Facebook账号,同时还能保护账号的隐私性和防止账号关联的风险。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-07-21 13:00:00
760
原创 内网穿透的应用-Linux JumpServer堡垒机:安全远程访问解决方案
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问jump server 管理界面.
2024-07-21 12:00:00
677
原创 内网安全之-NTLM协议详解
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-21 11:00:00
537
原创 内网安全-信息收集-内网资源探测-扫描内网存活主机
在渗透测试中可以根据目标主机的情况,上传工具进行主机存活探测,也可以借助内网代理或路由转发对目标主机所处的局域网发起探测。测试人员可以根据当前渗透环境,选用ICMP、NetBIOS、UDP、ARP、SNMP、SMB等多种网络协议。按照协议类型,下面介绍使用常见工具来发现内网存活主机的方法。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-07-21 10:00:00
745
原创 内网安全实战防御技术和防御产品
*点击星标,**业界流传一句话:不知攻,焉能防。正因为此,本书的安全内网防御方法主要建立在了解攻击者攻击基础上,再相应的提出防御措施。然而懂了攻击就一定会防御吗?答案当然是否定的。如何有效进行内网安全防御,还需要我们多阶梯、多纬度的结合企业内网实际环境进行考虑,针对不同攻击思路该如何部署有效的防御体系,而这需要内网安全管理员们持续不断的付出努力。!致力于网络安全的普及和培训。
2024-07-20 13:00:00
654
原创 内网安全:隧道技术详解_第125天-内网安全-隧道技术&smb&icmp&正反向连接&防火墙出入规则上线
Block)协议是一种在计算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发,用于在局域网中的计算机之间共享文件和资源,445端口运行打印机共享:SMB协议支持打印机的共享,允许用户在网络中使用共享打印机进行打印操作。通过SMB协议,用户可以连接到其他计算机上的共享打印机,并发送打印任务进行打印。文件共享:SMB协议允许计算机之间共享文件和目录。通过SMB协议,用户可以在网络中访问其他计算机上的共享文件夹,并进行文件的读取、写入和管理操作。
2024-07-20 12:00:00
589
原创 内网安全:隧道技术详解
Block)协议是一种在计算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发,用于在局域网中的计算机之间共享文件和资源,445端口运行打印机共享:SMB协议支持打印机的共享,允许用户在网络中使用共享打印机进行打印操作。通过SMB协议,用户可以连接到其他计算机上的共享打印机,并发送打印任务进行打印。文件共享:SMB协议允许计算机之间共享文件和目录。通过SMB协议,用户可以在网络中访问其他计算机上的共享文件夹,并进行文件的读取、写入和管理操作。
2024-07-20 11:00:00
1024
原创 内网安全:内网穿透详解
区别于代理技术,隧道技术,三种技术都有解决通讯的问题,但是侧重不一样代理技术可以把外网攻击机带进内网进行渗透隧道技术解决了因为防火墙限制流量不出网的问题内网穿透解决和内网主机建立连接的问题,可以远程访问内网的服务器要根据不同使用场景来选择使用。
2024-07-20 10:00:00
565
原创 内网安全:代理技术详解
背景:拿下内网的一个主机权限并且上线到MSF/CS上,IP:192.168.x.*使用控制192.168.x.*的Meterpreter启动路由,MSF相当于进入到该网段中开启节点,支持代理来的转发流量攻击机A(外网,军火库)配置代理到MSF上CS代理建立:有手就行在192.168.x.*的会话上开启SOCKS代理在攻击机A上配置代理装置建立通讯的最大意义就是:可以实现攻击机与内网主机的通讯,有了通讯才能横向移动要根据防火墙因地制宜的选择方式。
2024-07-20 09:00:00
876
原创 流媒体的安全谁来保障
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-17 13:00:00
721
原创 浏览器弹出“您与此网站的建立的连接不安全”怎么办——三步消除此提示
您的网站是否会弹出下面这样的弹窗?应该怎么消除?!如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。(免费证书下载:登录JoySSL官网,创建一个账号,注册时填写注册号230916即可领取永久免费使用权限。如果您已经安装了SSL证书,那一定要检查一下证书是否过期,是否配置正确网站名,或者不是知名机构签发的。
2024-07-17 12:00:00
824
原创 零信任安全模型:构建未来数字世界的安全基石
零信任是一种网络安全理念,核心思想是“永不信任,始终验证”🔐。不同于传统安全模型的“信任但验证”,零信任模型认为,无论请求来源于网络的哪个部分,都不应默认信任,而是需要通过严格的身份验证和授权流程来获得访问权限。零信任模型强调对用户、设备、应用程序和数据流进行持续的安全检查,以确保网络内外的交互都达到最高安全标准。零信任模型不仅仅是一种技术或工具的集合,它是一种全新的安全理念,要求企业在每一次访问决策中都不预设信任,而是基于严格验证🔍。
2024-07-17 10:00:00
837
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人