- 博客(68)
- 收藏
- 关注
RSS订阅原创 浅谈 DDoS 攻击与防御
DDoS 是英文 Distributed Denial of Service 的缩写,中文译作分布式拒绝服务。那什么又是拒绝服务(Denial of Service)呢?凡是能导致合法用户不能够正常访问网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多 DoS 攻击源犹如洪水般涌向受害主机。从而把合法用户的网络请求淹没,导致合法用户无法正常访问服务器的网络资源。
2023-02-09 21:00:00
410
原创 前后端分离,数据传输的问题
目前我所知道的项目开发中,基本上都是前后端分离的。这就出现了数据传输的问题,前端传给服务器 或者 服务器传给前端的数据都是容易被别人窃取的。这里就要对传输的数据进行加解密,以保证数据安全。下面介绍两种前后端数据传输的方式前端A >>>>> 服务器端B发送过程,加密过程1.B先生成一对公钥、私钥2.B把公钥共享给A3.A每次请求的时候随机生成一个会话密钥(临时密钥)4.A用会话密钥加密需要发送的消息(使用的是对称密码加密)
2023-02-09 20:00:00
716
原创 前端知识库-前端安全系列一(攻防)
互联网发展迅速,前端开发的需求量也与日俱增。如何开发一个安全易用的应用是我们每个前端开发者必修的课题,因此掌握常见的网站攻击手段,是我们防御攻击的最有效方法之一。在前端安全的问题上,没有任何一名开发者能保证自己开发的应用毫无漏洞,我们能做的就是杜绝已知的漏洞,了解可能会有的漏洞,路漫漫其修远兮,各位一起努力营造一个安全健康的互联网环境吧。
2023-02-09 18:00:00
283
原创 网络安全从入门到精通:如何逼自己三个月学会
网络安全这个行业优势有:需求量大,人才紧急,门槛低,工资高。对于许多未曾涉足IT行业「小白」来说,深入地学习网络安全是一件十分困难的事。至于一个月能不能学会网安,这个要看个人,对于时间管理不是很高的,肯定是学不会的,按照下面的要求完成60%,打好网安基础还是可以的。要知道,一个月是一段很长的时间。如果每天坚持用 7-8小时来做一件事,你会有意想不到的收获。
2023-02-09 11:51:31
239
原创 干货技术,记载钓鱼网站的多次渗透
记一次对钓鱼网站的多次渗透0x01 首先我们对目标进行目录扫描,发现admin.php 进入发现是后台界面,右击查看网页源码我们复制title到百度搜索一下第一个是官网 我把源码下载,看了一遍,发现是一个叫 默笙密码管理系统V2.0 这套源码和钓鱼网站一致0x02 开始审计 这套cms是基于thinkphp的,所以我们直接跳到控制器开始审计 我们看到代码都是以Model对象的方式调用查询,所以基本不存在注入,所以我们看下有没有逻辑绕过漏洞,或者是隐藏的接口 0x03 首先审计Admin的控制器。
2023-02-09 11:45:57
234
原创 网络安全是个很庞大的课题,如果从0基础开始学习的话,可以参考以下部分基础学习大纲:
网络安全大环境趋势网络安全就业情况及课程内容概述网络安全如何学习,从哪里入手,如何定位发展网络信息安全法律法规操作系统安全网络基础网络嗅探原理WireShark工作原理WireShark窗口及常用命令ARP、RARP协议UDP-DNS协议TCP/IP协议服务器硬件和系统配置网络设备的组网配置调试虚拟化技术和WEB,邮件服务的配置云服务器的WEB环境配置硬件防火墙熟悉和配置运维实践HTTP协议HTML文档格式、实体。
2023-02-08 23:30:00
180
原创 推荐一款自动向hackerone发送漏洞报告的扫描器
自从阿浪写了那个工具,总感觉没有web页面就是没有灵魂,然后在GitHub闲逛的时候,发现了这一款工具,用了一个多月,效果还行,可以平替,唯一的缺点就是搭建起来有些困难,需要修改文件来达到国内 搭建。就自动化的安装部属了,安装成功后如下所示,还算是不错,有的时候子域名获取会卡死。直接运行sudo ./install.sh。
2023-02-08 22:00:00
189
原创 互联网公司数据安全保护新探索
鹏飞,美团点评集团安全部数据安全负责人,负责集团旗下全线业务的数据安全与隐私保护。美团点评集团安全部汇集国内多名尖端安全专家及诸多优秀技术人才,坚持打造“专业、运营和服务”的理念,共同为集团全线业务的高速发展保驾护航。
2023-02-08 21:30:00
319
原创 网络安全 VS 信息安全,它们的区别是什么?
网络安全和信息安全是一回事吗?还是说信息安全是网络安全的一个子集?今天我们就来搞清楚他们之间的异同。我们先看看网络安全和信息安全是如何定义的。根据美国国家标准与技术研究院的说法,网络安全是“保护网络空间的使用免受网络攻击的能力”。该组织将信息安全定义为“保护信息和信息系统免受未经授权的访问、使用、披露、中断、修改或破坏,以提供机密性、完整性和可用性。” 换句话说,区别在于范围。
2023-02-08 17:15:36
781
原创 互联网的安全是如何保证的:TLS、SSL 和 CA
你的浏览器里的锁的图标的后面是什么?每天你都会重复这件事很多次,访问网站,网站需要你用你的用户名或者电子邮件地址和你的密码来进行登录。银行网站、社交网站、电子邮件服务、电子商务网站和新闻网站。这里只在使用了这种机制的网站中列举了其中一小部分。每次你登录进一个这种类型的网站时,你实际上是在说:“是的,我信任这个网站,所以我愿意把我的个人信息共享给它。”这些数据可能包含你的姓名、性别、实际地址、电子邮箱地址,有时候甚至会包括你的信用卡信息。但是你怎么知道你可以信任这个网站?
2023-02-08 17:10:23
220
原创 72 个网络应用安全实操要点,全方位保护 Web 应用的安全
对于开发者而言,网络安全的重要性不言而喻。任何一处代码错误、一个依赖项漏洞或是数据库的端口暴露到公网,都会有可能直接送你上热搜。那么,哪里可以找到详细的避雷指引呢?OWASP’s top 10 清单太短了,而且它更关注的是漏洞罗列,而非对预防。相比之下,ASVS 是个很好的列表,但还是满足不了实际需求。本文这份清单将介绍 72 个实操要点,让你全方位保护你的 Web 应用程序。各位看官,准备入坑啦!
2023-01-15 18:00:00
1131
原创 30岁转行网络安全来得及吗?有发展空间吗?
现阶段,很多30岁左右的人群都面临就业难的问题,尤其是对于年龄已过30.没有一技之长的人。现阶段,网络安全行业已成了风口行业,也有很多30岁人群也想转行学习网络安全,但又担心30岁了怕来不及,学了企业也不一定要。那么,30岁转行网络安全来得及吗?有发展空间吗?如果,你想学想网络安全技术从事网络安全工程师方向是来得及的,因为这门技术只要有能力水平是不存在35岁被淘汰的风险。发展空间也是非常大的。为什么这么说呢?因为,按照目前工信部发布的《网络安全产业人才报告》,30岁以上的人占比还是很高的。
2023-01-15 15:00:00
130
原创 「网络安全必看」如何提升自身WEB渗透能力?
web渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清web渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫35岁危机,,意思就是说35岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是5-10年,这没有30、40岁能有10年经验?
2023-01-15 12:00:00
167
原创 「网络安全」将会是下一个风口?这个“下饭神剧”值得一看
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的本质就是网络的信息安全。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ORoKh3GU-1673698633248)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/7eff3aaf80dd4cc1a582349fc2b7c508~noop.image?
2023-01-15 08:00:00
172
原创 Web 开发重磅!FIDO 与 W3C 联合支持免密认证登录!
随着今天宣布FIDO2规范及Web浏览器对其的支持,我们正朝着FIDO身份验证普适于所有平台及设备上这一目标迈出了一大步,经历多年日益严重 的数据泄露和密码凭证被盗用等问题,现在正是服务供应商所面临的重要时机,来结束对易受攻击的密码和一次性密码的依赖,并为所有网站和应用程序采用防网络钓鱼的FIDO身份验证。FIDO2标准化工作的完成,W3C WebAuthn标准的推进,以及浏览器供应商对实现这一标准的承诺,都预示着一个新时代的开启,一个为所有互联网用户提供普适的、硬件支持FIDO身份验证保护的时代。
2023-01-14 23:00:00
247
原创 Web 高级着色语言(WHLSL) - 为WebGPU设计的Web图形着色语言
在过去的几十年中,3D 图形已经发生了重大变化,程序员用来编写 3D 应用的 API 也发生了相应的变化。五年前,最先进的图形应用使用 OpenGL 来执行渲染。然而,在过去几年中,3D 图形行业正朝着更新,更低级别的图形框架转变,这种框架更符合真实硬件的行为。2014 年,Apple 创建了 Metal 框架,让 iOS 和 macOS 应用可以充分利用 GPU。2015 年,微软创建了 Direct3D 12,这是 Direct3D 的一个重大更新,它允许控制台级的渲染和计算效率。
2023-01-14 22:00:00
235
原创 Web 安全漏洞之文件上传
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。需要额外提醒的是,如果用户上传的压缩包,程序有解压的行为,那么不仅要按照上述规则校验压缩包本身,还需要按照相同的逻辑校验解压之后的所有内容。你说的没错,但是我们要知道我们并不是直接和用户的文件进行交互的,而是通过 HTTP 请求拿到用户的文件。如果我们将用户上传的文件存储到了本地,而没有限制用户的上传频率的话,就很有可能被攻击者利用。等 DOM 标签的。
2023-01-14 21:15:00
181
原创 Web 安全漏洞之目录遍历
第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中pathname就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是的话最终返回的文件地址就会变成的上三层目录中的文件了。
2023-01-14 20:45:00
583
原创 weblogic常见漏洞
Weblogic 开启了 Web Service Test Page(web服务测试页面),这个配置默认在生产模式下是不开启的,由于管理员没注意开启了这个页面就可能造成任意文件上传。影响版本cve-2020-14882(代码执行漏洞) ,在打完补丁后又出现了补丁被绕过的漏洞 cve-2020-14883(权限绕过漏洞),远程攻击者可以配合这两个漏洞构造特殊的HTTP请求,在未经身份认证的情况下接管 Weblogic Server Console,在控制台中执行任意代码。
2023-01-14 19:10:22
216
原创 Web 安全漏洞之 XSS 攻击
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。
2023-01-14 16:33:56
191
原创 OAuth 2.0 授权认证详解
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
2023-01-13 21:00:00
2903
原创 NSSecureCoding真的安全吗
当然,我这里的Model比较简单,现实情况下Model可能会嵌套Model甚至更复杂,我没有测试这些更复杂的情况;不过还是想提醒一下大家,如果是保存一些敏感或重要数据,建议采用加密或其他方式。吐槽一下:Apple为什么不在归档的时候把APP的唯一信息包含进去(例如包名等等),然后在解码之前先验证一下;然后再把.plist后缀这个问题修复一下,我可能会考虑使用它。
2023-01-13 20:00:00
343
原创 NSOperation的进阶使用和简单探讨
NSOperation类是iOS2.0推出的,通过NSThread实现的,但是效率一般。从OS X10.6和iOS4推出GCD时,又重写了NSOperation和NSOperationQueue,NSOperation和NSOperationQueue分别对应GCD的任务和队列,所以NSOPeration和NSOperationQueue是基于GCD更高一层的封装,而且完全地面向对象。但是比GCD更简单易用、代码可读性也更高。
2023-01-13 18:00:00
408
原创 npm@6 安全审核
现在安全问题是不容忽视的,npm安装的依赖包错中复杂. 往往安装一个包, 会自动安装一大堆相关联的依赖包, 这个时候开发者是不易察觉的;就算开发者有安全意识, 但是也缺乏解决安全漏洞的手段.npm@6自带的npm audit也是帮助开发者解决基本的安全漏洞问题;但是最终希望的是npm能不能瘦瘦身!
2023-01-13 15:00:00
217
原创 Node中Buffer学习笔记
alloc安全,速度会慢* allocUnsafe速度快,但是不安全```// 创建一个长度为 10、且用 0 填充的 Buffer。// 创建一个长度为 10、且用 0x1 填充的 Buffer。// 创建一个长度为 10、且未初始化的 Buffer。### 2.通过数组创建一般都要合法传递 0-255之间// 创建一个包含 [0x1, 0x2, 0x3] 的 Buffer。### 3.通过字符串创建const buf5 = Buffer.from(‘字符串’);
2023-01-13 12:00:00
108
原创 NodeJS加密算法
Sign签名对象是一个可读写的Stream流。可以使用Sign类中的update方法写入需要签名的数据,数据输入完成后通过sign方法返回数据的数字签名。:更新Sign类的签名数据,data为要更新的数据,由于Sign是一个可读写的流,此方法可以被多次调用。:根据传送给Sign的数据来计算数字签名,可以是一个对象或是字符串。如果为字符串时,则是一个包含了签名私钥的字符串,该私钥用的是PEM编码的。如是为对象时,对象如下:*key:包含 PEM 编码的私钥*passphrase:私钥的密码。
2023-01-12 22:45:00
822
原创 Node.js 沙箱环境
vm提供了一种隔离的方式来执行不可信代码,但是并不是非常彻底,针对不可信代码最好的执行方式还是“物理隔离”,比如docker容器。
2023-01-12 21:00:00
247
原创 Node.js 安全清单
*安全是不容忽视的,**每个开发者都知道它非常重要,真正严肃对待它的却没有几人。我们希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因,你的应用在被成千上万用户使用前必须要做安全检查。这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。同时推荐你去阅读我们的引导文章,如果你刚开始使用Node.js,推荐你看这篇文章。
2023-01-12 20:00:00
165
原创 Node Stream 入门与深入
在_read方法中,可以同步调用push(data),也可以异步调用。在上面的例子中,可读流中的数据(0, 1)与可写流中的数据(‘a’, ‘b’)是隔离开的,但在Transform中可写端写入的数据经变换后会自动添加到可读端。流中维护了一个缓存,当缓存中的数据足够多时,调用read()不会引起_read()的调用,即不需要向底层请求数据。所以,如果_read异步调用push时发现缓存为空,则意味着当前数据是下一个需要的数据,且不会被read方法输出,应当在push方法中立即以data事件输出。
2023-01-12 15:03:39
481
原创 Java并发(9)- 从同步容器到并发容器
JDK中提供了丰富的并发容器供我们使用,文章中介绍的也并不全面,重点是要通过了解各种并发容器的原理,明白他们各自独特的使用场景。这里简单做个总结:当并发读远多于修改的场景下需要使用List和Set时,可以考虑使用CopyOnWriteArrayList和CopyOnWriteArraySet;当需要并发使用键值对存取数据时,可以使用ConcurrentHashMap;当要保证并发键值对有序时可以使用ConcurrentSkipListMap。
2023-01-11 21:00:00
84
原创 Java并发(5)- ReentrantLock与AQS
在使用类时,第一步就是对他进行实例化,也就是使用在代码中可以看到,提供了2个实例化方法,未带参数的实例化方法默认用初始化了sync字段,带参数的实例化方法通过参数区用或FairSync()初始化sync字段。通过名字看出也就是我们常用的非公平锁与公平锁的实现,公平锁需要通过排队FIFO的方式来获取锁,非公平锁也就是说可以插队,默认情况下会使用非公平锁的实现。那么是sync字段的实现逻辑是什么呢?看下sync到这里就发现了类,公平锁和非公平锁其实都是在的基础上实现的,也就是AQS。AQS提供了。
2023-01-11 20:00:00
133
原创 Java并发(4)- synchronized与CAS
但在大部分并发问题中,都需要保证操作的原子性,volatile并不具有该功能,这时就需要通过其他手段来达到线程安全的目的,在Java编程中,我们可以通过锁、synchronized关键字,以及CAS操作来达到线程安全的目的。偏向锁的思想是指如果一个线程获得了锁,那么就从无锁模式进入偏向模式,这一步是通过CAS操作来做的,进入偏向模式的线程每一次访问这个锁的同步代码块时都不需要再进行同步操作,除非有其他线程访问这个锁。CAS操作是实现Java并发包的基石,他理解起来比较简单但同时也非常重要。
2023-01-11 18:00:00
111
原创 Java必知必会之(四)--多线程全揭秘(下)
本文旨在用最通俗的语言讲述最枯燥的基本知识。全文提纲:> 1.线程是什么?(上)> 2.线程和进程的区别和联系(上)> 3.创建多线程的方法(上)> 4.线程的生命周期(上)> 5.线程的控制(上)> 6.线程同步(下)> 7.线程池(下)> 8.线程通信(下)> 9.线程安全(下)> 10.ThreadLocal的基本用法(下)上集已经讲述了Java线程的一些基本概念,本文接下来讲述的是Java的一些高级应用。
2023-01-11 15:00:00
71
原创 Java并发编程---ThreadLocal
多线程共享变量的维护是非常头痛的问题,采用乐观悲观策略,悲观策略简单地做法我们可以对共享变量加锁实现,但是锁的开销是比较大的,因此我们也可以通过乐观策略,采用类似的方法进行维护,当然,在读多写少的情况下,我们还可以采用Copy-On-Write写时复制的来控制共享变量,其中最经典的实现那就是JDK的了。好了,说了这么多,下面正式进入正题。我们可以想这么一个问题,在多线程环境中如何对每一条线程的生命周期进行跟踪,跟具体地说,在web。
2023-01-11 11:49:24
114
原创 JAVA安全-URLDNS链分析
URLDNS是ysoserial中一个利用链的名字,但准确来说,这个其实不能称作“利⽤链”。因为其参数不是⼀个可以“利⽤”的命令,⽽仅为⼀个URL,其能触发的结果也不是命令执⾏,⽽是⼀次DNS请求。先说一下整个链的过程我们可以通过这条链很容易判断是否存在反序列化漏洞。
2023-01-11 09:45:23
237
原创 iOS安全机制汇总
字符串搜索可以适当的扩大范围。Base64算法太容易实现了,所以Hook标准的Base64算法可能不好使。这时候可以尝试在代码里面搜一下Base64这个字符串,运气好的话可以把App里面自己实现的Base64算法找出来。通常App经过好几轮的版本迭代,加解密算法说不定也升级了好几轮,所以不要钻牛角尖,你第一眼看到的算法也许是老算法,不要气馁,还可以继续寻觅。
2023-01-10 22:00:00
190
原创 iOS15 安全漏洞分析:价值10万美元的漏洞曝光
大家好,今天我们一起来吃一个苹果系统漏洞的大瓜!吃完瓜,相信有很多漏洞,没有被披露出来!或者被某些人发现了!关于苹果有漏洞赏金计划,小编这里就不评论了,除了其它大企业都有类似的计划,对于安全研究员,这本身是一个“双赢”的计划。但是大企业,往往走的标准化流程,所以,苹果没有回应或没有及时回应的指控,其实从平时的苹果响应慢也能感受到,当然,苹果关于符合赏金计划付费的审核,可能是一个不透明的问题。这一切,导致了作者的公开了价值十万美元的漏洞!
2023-01-10 21:00:00
386
原创 iOS独立开发者使用Bmob第三方后台服务初探
Bmob后端云提供可视化的云端数据表设计界面,轻松建库建表。支持10种不同数据类型存储:如字符串,整型,数组等。声明不是为此服务打广告,只是介绍使用。
2023-01-10 20:19:56
231
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人