- 博客(2249)
- 资源 (91)
- 收藏
- 关注
RSS订阅
原创 七芒星实验室
Heptagram简介七芒星(Heptagram)实验室成立于2019年10月15日,团队的初衷是组建一个安全技术研究团队,实时跟踪国内外安全动态并进行安全技术的分享和研究,共同促进安全技术的发展和提高,目前Heptagram主要涉及以下几个安全方向:Web安全 移动安全 代码审计 漏洞挖掘 安全研发 内网渗透 逆向分析 APT攻防 应急响应 区块链安全Heptagram资讯截止目前为止,七芒星实验室已完成基本的知识文库整理,同时也会继续向前迈进,在web安全、移动安全、代码
2021-03-08 09:28:11
1492
4
原创 本博主声明
近期发现有不少人冒充我,在我的各个博客下面留言说“有事可以直接联系QQ”,我在这里郑重声明,我没有在博客中留下任何的联系方式,请各位读者自我留意,以防上当受骗~笔者觉得CSDN是一个技术分享和交流的平台,希望大家能够一起营造这种良好的技术交流氛围,一起进步,共促技术的进步与发展~与此同时,笔者在这里正式声明,暂时关闭“博客专栏”各个项目的展示,以及博客的更新,期限不限,但是每逢过节,笔者将...
2019-09-28 23:22:13
1263
2
原创 SourceMap安全性
前言由于现在构建工具盛行,前端部署的代码都是经过编译,压缩后的,所以SoueceMap就扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便定位问题。SourceMap关闭与开放问题虽然map文件提供了便利,但是在生产环境,为了安全,是建议关闭SourceMap的,因为通过.map文件和编译后代码可以很容易反编译出项目的源码,这样就相当于泄露了项目的代码。下面做个测试...
2019-08-18 13:33:37
5696
2
原创 人工智能课程推荐
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程!目录介绍:内容细节:....有想学习的可以点击上面的链接了解一波~...
2019-06-30 19:02:46
7743
2
原创 IT技术知识图谱
趁着有空,顺便整理了一下IT技术知识图谱,放到了GitHub上,欢迎各位star,后期会继续更新哦!https://github.com/Al1ex/Map-of-IT-Architects-Technical-KnowledgePS:无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样...
2019-04-04 11:17:05
1704
1
原创 网络服务与配置管理——————9、架构企业网络服务器
【实验目的】架构企业网络服务器【实验环境】Windows server 2012(边界服务器,有两张网卡,左网卡直连Internet,右网卡直连内部局域网) Windows 7(处于Internet中的客户机)【实验内容及步骤】(1)IP地址分配客户机Windows 7Windows server 2012 左网卡(与Internet直连)...
2018-04-08 23:59:00
2413
原创 网络服务与配置管理——————8、Linux下DNS配置
【实验目的】理解DNS的工作过程及其原理。 学会安装DNS服务器。 能够独立配置并管理一个DNS服务器。【实验环境】Ubuntu 14.04【实验内容及步骤】(1)在本地虚拟机中安装Ubuntu 14.04环境(2)在Ubuntu中安装bind(3)配置bind(4)建立正反向解析文件,并配置正向解析文件(st...
2018-04-08 23:51:36
1108
原创 网络服务与配置管理——————7、Linux下Apache、FTP配置
【实验目的】学会安装Apache服务器 能够通过Apache服务器搭建web站点 能够管理Apache服务器 学会安装vsftpd服务器软件 能够通过vsftpd程序来配置FTP的多种用户站点服务 学会查看FTP服务器日志文件【实验环境】Ubuntu 14.04 Windows 7(1)在Ubuntu14.04中安装Apache服务器(2)设...
2018-04-08 23:47:37
1476
原创 网络服务与配置管理——————6、Windows下V*N设置
VPN环境搭建配置并启用路由和远程访问选用远程访问设置地址分配范围:创建VPN用户:客户端创建VPN链接链接成功:DOS命令测试:可以发现确实现在可以连接到内网,而且此时的网络IP与本地主机IP地址不一样!可见VPN的功能的强大!服务器段查看:...
2018-04-08 23:38:18
826
原创 网络服务与配置管理——————5、Windows下路由设置
【实验目的】掌握如何配置路由和远程访问【实验环境】Windows server 2012 AWindows server 2012 BWin 7 AWin 7 B【实验内容及步骤】(1)配置Windows server 2012 A和Windows server B的路由服务路由远程访问控制台配置并启用路由和远程访问成功安装之后显示:(2) 配置IP地址增加服务器A与服务器...
2018-04-08 23:35:03
2049
1
原创 网络服务与配置管理——————4、Windows下的FTP服务配置
建立匿名访问FTP站点:添加FTP服务器组件添加FTP站点:测试:建立FTP1站点:支持写权限:查看设置的效果使用FileZilla软件远程测试:上传文件测试:服务器验证:ftp2站点权限设置:测试:匿...
2018-04-08 23:29:15
940
原创 网络服务与配置管理——————3、Windows下的IIS服务配置
【实验目的】学会安装IIS服务器组件 能通过IIS配置WWW服务【实验环境】服务器:WindowsServer 2012 客户机:Windows 7【实验内容及步骤】在服务器端开启服务器管理器——》创建角色——》安装WEB服务器(IIS):之后在客户端进行验证:创建web站点:添加虚拟目录:限制用户不可以...
2018-04-08 23:25:07
3261
原创 网络服务与配置管理——————2、Windows下的DNS服务
【实验目的】理解DHCP的工作原理 学会配置DHCP服务器 理解DNS的工作过程以及原理 学会安装DNS服务器 能够独立配置并管理一个DNS服务器【实验环境】装有Windows server 2012操作系统的计算机 VMware Workstation Pro 有两台以上主机的局域网在Windowsserver 2012上配置DNS服务器(1)...
2018-04-08 23:19:31
1682
原创 网络服务与配置管理——————1、Windows下的DHCP服务
【实验目的】 理解DHCP的工作原理 学会配置DHCP服务器 理解DNS的工作过程以及原理 学会安装DNS服务器 能够独立配置并管理一个DNS服务器【实验环境】装有Windows server 2012操作系统的计算机 VMware Workstation Pro 有两台以上主机的局域网一、在Windowsserver 2012上配置DH...
2018-04-08 23:15:27
2289
原创 Kali Linux安装pip2
随着pytho3的强袭崛起, Kali 2020的版本去除了pip2,由于很多之前的黑客工具都是由python2写的,需要通过pip2来安装相应的模块。Step 2:python执行get-pip.py。Step 4:使用pip2安装第三方库和包。Step 1:下载get-pip.py。Step 3:验证环境。
2023-06-12 22:34:06
623
原创 区块链共识机制
如果节点被选中成为出块者,它需要验证交易记录的合法性,然后将这些交易记录打包成一个新的区块,其他节点会对这个区块进行验证,如果验证通过,这个区块将会被添加到区块链上并且出块者可以获得一定数量的加密货币作为奖励,如果节点发布了不合法的交易记录或区块或者没有及时参与网络的验证和管理,它的权益将会被扣除一定数量的加密货币,最后系统会选择一个新的权益地址,继续下一个区块的出块和验证过程。验证人可以获得一定数量的加密货币作为奖励,同时也需要承担一定的责任和风险。
2023-06-09 17:40:30
834
6
原创 UWA_2.3.11_后台新建模板getshell
从上面的代码中可以看到在整个添加模板的过程中,允许新建php模板,同时未对模板中的内容进行任何的过滤处理,那么我们就可以直接上传一个携带恶意代码的后门文件来实现getshell操作~UWA 2.3.11后台允许自定义php模板文件,且在保存时未对PHP文件中的内容做合法性校验,导致攻击者在登陆后台的情况下可以写入一句话木马进去,之后getshell。UWA 2.X是如斯(AsThis)基于 PHP 和 MySQL 开发的通用建站系统,程序简洁、灵活而具备强大的扩展性,是轻松建站的首选利器。
2023-04-11 16:56:47
227
1
原创 CVE-2022-22718:Windows Print Spooler提权
2022年02月09日,微软发布了安全更新,修复了48个安全漏洞(不包括22个Microsoft Edge漏洞),其中CVE-2022-22718为Windows后台打印程序特权提升漏洞,CVSS评分7.7。
2023-04-11 16:55:32
283
原创 那些年我们常用的提权辅助工具
它由适用于Windows和Linux操作系统的联机本地漏洞扫描程序组成。Linux提权:https://github.com/Al1ex/LinuxEelvation。Window提权命令:https://lolbas-project.github.io/项目地址:https://github.com/AlessandroZ/BeRoot。Linux命令提权辅助查询:https://gtfobins.github.io/项目地址:https://github.com/vulmon/Vulmap。
2023-04-11 16:54:00
234
原创 解封ChatGPT我只用了一句话
ChatGPT作为一个AI语言模型可以帮助使用者生成各种各样的文字内容,目前已被广泛应用于各种语言任务中,例如:文本生成、机器翻译、问答系统等,基于保障使用者权益和维护良好的价值观,官方限制ChatGPT不能回答不当言论(攻击或侮辱性)、敏感内容和带有偏见的内容,然而无法回答不代表资料库中没有这些内容,只要启用开发者模式就能让ChatGPT解除聊天限制,本篇文章将介绍如何去除限制来实现。如果我们想要让ChatGPT回显图片,那么我们该怎么办呢?PS:写错了,应该是招商银行,勉强这样吧~
2023-04-10 12:54:34
1807
原创 WPAD中间人攻击
WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络
2023-03-31 17:33:59
209
1
原创 云桌面文件上传限制绕过
有时候我们在对内网环境环境进行渗透时发现了可渗透的云桌面并且进入到了云桌面的操作界面时,此时我们想要对该内网进行进一步的渗透测试却发现当我们上传一些工具到云桌面时却无法上传exe文件,但是可以上传诸如txt的文本文件,而且云桌面不出网,在这种情况下我们可以考虑通过window系统自带的一些工具来实现对文件上传限制的绕过。Step 2:使用PowerShell进行base64编码,将fscan64.exe编码输出未txt文本程序。Step 4:之后执行还原后的程序确保可以正常使用。
2023-03-27 19:34:40
184
原创 PDF TO XSS构造实践
有时候我们在做渗透测试的时候会发现目标网站允许上传PDF文件,同时支持在线预览PDF文件,然而不少类似的网站都会直接通过调用系统IE浏览器来解析PDF,此时如果我们在PDF中插入可以执行的恶意XSS代码,当用户在线预览时即可触发恶意XSS并窃取用户Cookie等数据信息或进行恶意操作,本篇文章我们主要介绍如何在PDF中构造恶意XSS代码并通过上传PDF来实现XSS攻击
2023-03-27 19:27:06
406
原创 【SDL实践指南】代码审计之CheckMarx
Checkmarx CxEnterprise(Checkmarx CxSuite)是以色列由的一家高科技软件公司Checkmarx发行的一款源代码安全扫描软件,该软件可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如:软件安全漏洞、质量缺陷问题和业务逻辑问题等
2023-03-27 09:57:30
213
原创 【SDL实践指南】人工代码审计思路
在SDL安全测试环节的代码审计部分我们通常会使用代码审计工具对源代码进行安全扫描并对扫描结果进行审核从而筛选出其中存在的安全问题并以安全单的形式提交给研发人员进行修复,代码审计工具的好处在于快速全量,但是也会存在很多的误报和漏报问题,故而部分企业在有时间的情况下还会采用人工审核的方式对源代码进行二次安全审计,但是人工审计也存在一个普遍的安全问题就是耗时长且难以保证代码的完全覆盖
2023-03-27 09:55:36
126
原创 【SDL实践指南】STRIDE威胁建模
STRIDE威胁建模是由微软提出的一种威胁建模方法,将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄漏)、Denial of Service(拒绝服务)和Elevation of Privilege(权限提升)六种威胁构成,STRIDE威胁模型几乎可以涵盖目前绝大部分安全问题
2023-03-27 09:54:35
379
原创 【SDL实践指南】微软威胁建模工具
威胁建模(Threat Modeling)是一个不断循环的动态模型,它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策,企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险
2023-03-27 09:52:38
204
原创 【SDL实践指南】安全需求收集整理
需求收集和需求分析阶段安全需求格外重要,通过深入挖掘产品需求了解业务,识别风险,完成安全需求的梳理并输出最终的安全需求CheckList,从而将安全需求加入产品研发周期,纵深提高产品自身的安全能力
2023-03-27 09:51:17
119
原创 【SDL实践指南】产品安全质量衡量
产品安全质量是决定了产品能否满足上线要求,以及产品能够按时上线,所以关于产品安全质量的衡量标准以及SDL产品上线规定越早进行贯宣越好,同时也需要让产品经理、项目经理、研发人员在软件开发周期内多多关注安全问题,避免后期因为安全问题无法上线或者导致产品功能重构等
2023-03-27 09:49:01
111
原创 【SDL实践指南】安全风险评估实施
信息安全风险评估是信息安全保障工作的重要内容之一,它与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关并通过风险发现、分析、评价为上述相关工作提供支持
2023-03-27 09:48:31
461
原创 【SDL实践指南】SDL安全设计概述
安全设计的目的是在程序研发之初就通过威胁建模等方式发现潜在的安全问题并引入安全功能从而规避安全风险并为安全提供有力保障,由此可见安全设计是随着产品业务的变动而变动的(例如:产品线变化、新增功能等)而并非一成不变,上面美的的安全设计CheckList很好的提炼了一些通用的安全设计很是值得借鉴
2023-03-27 09:47:47
297
原创 【SDL实践指南】安全风险处理实施
信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程,主要工作过程包括风险评估和风险处理两个基本步骤,风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程,风险处理是依据风险评估的结果,选择和实施安全措施的过程。
2023-03-27 09:43:30
134
原创 【SDL实践指南】安全风险评估规范
信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程主要工作过程包括风险评估和风险处理两个基本步骤。风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程,风险处理是依据风险评估的结果,选择和实施安全措施的过程
2023-03-27 09:39:56
288
原创 【SDL实践指南】安全需求概述
安全需求作为SDL的第二个环节实施时需要特别注意安全评估流程制度的贯宣和安全评审阶段对安全质量的要求声明,如果前期不重视安全后期安全评审时要么就是因为种种原因导致产品无法上线,要么就是走绿色通道使得产品"带病"上线,增加安全风险
2023-03-27 09:38:03
135
原创 【SDL实践指南】SDL基本介绍
SDL(Security Development Lifecycle,安全开发生命周期)是由微软提出的一种从安全角度指导软件开发的管理模式,它主要通过在传统的软件开发生命周期的各个阶段穿插一系列的安全活动来保障和提升产品自身的安全能力
2023-03-27 09:34:37
199
MobaXterm终端工具
2019-02-15
Fast Email Verifier.rar
2021-09-01
EW和SocksCap64.rar
2020-09-08
Foritify 19.txt
2020-05-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人