- 博客(1771)
- 收藏
- 关注
RSS订阅原创 安全之护网(HVV)、红蓝对抗
护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对网络安全问题所做的重要布局之一。护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。具体实践中。公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。
2024-07-26 12:03:11
242
原创 安全运维-Nginx服务器就该这么玩~_安全角度考虑 nginx 如何运行
Nginx (发音Engine-x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,代码完全用C语言写成,已经移植到许多体系结构和操作系统。在连接高并发的情况下,Nginx是Apache服务不错的替代品。零基础入门到精通,收藏这一篇就够了
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-07-26 12:01:38
193
原创 安全运维:cmd命令大全(108个)
1、calc:启动计算器2、appwiz.cpl:程序和功能3、certmgr.msc:证书管理实用程序4、charmap:启动字符映射表5、chkdsk.exe:Chkdsk磁盘检查(管理员身份运行命令提示符)6、cleanmgr: 打开磁盘清理工具7、cliconfg:SQL SERVER 客户端网络实用工具8、cmstp:连接管理器配置文件安装程序9、cmd.exe:CMD命令提示符10、自动关机命令:Shutdown -s -t 30:表示30秒后自动关机,中间带有空格。
2024-07-26 12:00:27
222
原创 安全的Sui Move是Web3大规模采用之路的基石
blog.csdnimg.cn/67c1fd13371746a8a879942b8437b048.png)没有信任,就没有Web3的大规模采用。还有其他重要障碍阻碍了首个十亿用户的到来,包括令人困惑的用户体验、复杂的身份验证模式以及不确定的监管体系,但所有障碍中,要数大多数人对区块链技术持怀疑和不信任态度最严重。对于许多人来说,区块链就是加密就是骗局。关于黑客攻击或流氓行为的故事,占据了人们在大众媒体中看到的Web3故事的很大比例。
2024-07-26 11:59:25
118
原创 安全测试用例汇总
是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。渗透测试也称为黑客活动、道德黑客、白帽黑客。安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;
2024-07-26 11:58:49
137
原创 XSS、CSRF、点击劫持、web应用安全实施
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
2024-07-25 13:04:04
472
原创 WEB漏洞 逻辑越权之支付数据篡改安全
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-07-25 12:55:36
928
原创 Web架构安全分析-http-URL-Cookie攻击
超文本传输协议(Hyper Text Transfer Protocol,HTTP)是浏览器(Browser)与Web 服务器(Web Server)之间的通信协议,是传递消息的规范和要求。HTTP 协议是1990 年提出的,当前最新版本3。HTTP 是用来将 HTML 文档从 Web 服务器传输到 Web 浏览器。即使访问 PHP 文件,浏览器端接收到并不是 PHP 文件的源代码,而是 PHP 脚本的运行结果,这个结果大部分是 HTML 文档。HTTP 是一个请求和响应的协议。
2024-07-25 12:53:32
319
原创 System.Net.WebException-“请求被中止- 未能创建 SSL-TLS 安全通道。”
当使用 HttpWebRequest.GetResponse() 方法进行 HTTPS 请求时,有可能会出现System.Net.WebException: 请求被中止: 未能创建 SSL/TLS 安全通道的异常,这通常是因为客户端和服务器之间的 TLS版本不兼容造成的。
2024-07-24 17:14:25
816
原创 SSH:加密安全访问网络的革命性协议
在现代信息化的世界中,数据传输和网络连接的安全性是至关重要的。SSH(SecureShell)协议作为保障网络通信安全的重要工具,在网络安全领域扮演着至关重要的角色。本文将深入探讨SSHSSH(SecureShell,安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录和文件传输方式,例如Telnet、FTP,使用明文传输数据,存在很多的安全隐患。随着人们对网络安全的重视,这些方式已经慢慢不被接受。
2024-07-24 17:12:45
619
原创 Spring Security与OAuth2:构建安全Web应用的强大组合
通过深入学习并实践SpringSecurity与OAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
2024-07-24 17:12:13
869
原创 sonar静态扫描安全靶场webgoat
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。这意味着即使知道当前的随机数生成位置,也无法预测下一个生成的随机数。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
2024-07-24 17:07:18
625
原创 Python中的安全密码处理,非常重要!知道这些黑客也奈何不了你!
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-07-24 17:06:29
942
原创 Python Flask-Security- 构建安全而强大的Web应用
Flask-Security旨在简化Web应用的安全性管理,涵盖了用户认证、角色管理、密码重置等多个方面。通过Flask-Security,可以轻松实现强大的用户身份验证和授权管理。Flask-Security是构建安全而强大的Web应用的理想选择,为开发者提供了全面的安全解决方案。通过介绍其核心功能、基本用法和高级特性,本文想要帮助大家更深入地了解和应用这一强大的Flask扩展。在基本用法中,分享了如何配置和使用Flask-Security来实现用户认证、角色管理等基本功能。
2024-07-24 17:05:57
450
原创 PHP 开发 框架安全:ThinkPHP 序列 漏洞测试.
本身不断更新和改进,以应对新的安全威胁和漏洞。什么是 ThinkPHP 框架.ThinkPHP 框架的安全特性:开启 漏洞 靶场:(1)查看目录:(2)启用 vulhub 漏洞:(3)进行浏览:主机的 8080 端口.进行 漏洞 测试:(1)查看是不是 ThinkPHP 框架.(查看数据包的信息)(2)如果知道他是这个漏洞,则可以自己使用工具进行测试。(3)漏洞的利用:(4)使用连接工具(蚁剑)进行连接.
2024-07-23 12:09:52
956
原创 OWASP TOP 10解析:构建坚不可摧的Web应用安全防线
当涉及到Web应用程序安全的话题时,OWASP(开放式Web应用程序安全项目)的TOP 10是一个不可忽视的参考点。OWASP TOP10列举了当前Web应用程序中最严重的安全风险,帮助开发人员、测试人员和安全专业人员更好地理解并针对这些风险采取防护措施。在这篇文章中,我们将深入探讨OWASPTOP 10中的每个项目,包括详细的解释、具体的示例和相关的安全测试代码。注入攻击是通过将恶意代码插入到应用程序中的输入字段,从而绕过正常的执行流程。最常见的注入攻击是SQL注入。攻击者可以通过在输入字段中注入SQ
2024-07-23 12:09:21
877
原创 NLP在安全领域的应用:网络安全与舆情监控
在本篇文章中,我们将探讨NLP在安全领域的应用,特别关注网络安全与舆情监控。首先,我们将从背景介绍中了解NLP在安全领域的重要性,然后深入探讨核心概念与联系,接着详细讲解核心算法原理和具体操作步骤,并通过代码实例和详细解释说明,展示具体最佳实践。最后,我们将讨论实际应用场景、工具和资源推荐,并总结未来发展趋势与挑战。NLP(自然语言处理)是一门研究如何让计算机理解和生成人类自然语言的学科。在安全领域,NLP具有重要的应用价值,可以帮助我们更有效地处理和分析大量的安全相关信息。
2024-07-23 12:06:22
790
原创 LabVIEW串口通讯Delta台达PLC,Modbus官方协议,安全稳定的程序开发及配置测试,支持多种数据类型批量读写,无需编写PLC程序,纯命令帧文本编写。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-23 12:05:51
237
原创 Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(包含DVWA)
一、环境准备1.使用VMware创建两台虚拟机1)Windows72)Kali二、站点搭建1.下载PhPStudy软件安装包(简单易用的一站式站点搭建工具)2.安装软件3.通过PhPStudy打开Apache,Mysql服务4.测试基础站点(win7和kali上均进行)1)通过PhPStudy访问2)直接访问本机ip地址3)通过kali访问三、DVWA靶场搭建1.下载DVWA资源包2.解压3.将解压出的文件移动到PhPStudy站点提示的目录下4.打开浏览器查看。
2024-07-23 12:04:01
897
原创 C#调用webapi HTTPS报错:基础连接已经关闭- 未能为 SSL-TLS 安全通道建立信任关系--安全证书问题
SSL网站,连接时需要提供证书,对于非必须提供客户端证书的情况,只要返回一个安全确认即可。我的是.NET FrameWork4.0dlbzUrl是调用地址 https://…/api/tddbzzljcxt/zybrxx/vnoentry-querymodel.FCYRQSTART 开始时间model.FCYRQEND 结束时间第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、
2024-07-22 14:27:37
975
原创 API安全学习 - crAPI漏洞靶场与API测试思路
结合靶场内容和AI给出的结论可以大致得出API可能会受到以下安全风险的威胁:认证和授权问题:未授权的用户可能会使用API,在没有经过充分身份验证的情况下访问敏感数据或执行敏感操作。注入攻击:黑客可能会利用API中的漏洞,将恶意代码注入到应用程序中,以窃取敏感数据或执行恶意操作。僵尸网络攻击:攻击者可能会使用API来构建僵尸网络,这些网络可以被用来进行DDoS攻击。数据泄露:攻击者可能会利用API的漏洞来获取未授权的访问权限,从而窃取敏感数据。
2024-07-22 14:27:07
674
原创 2024网工必备技术词汇大全(网络、运维、安全3大方向)
网络的参与者 共享他们 所拥有的一部分硬件 资源(处理能力、存储能力、网络连接能力、打印机等),这些 共享资源通过网络提供服务和内容,能被其它对等节点(Peer)直接访问而无需经过中间实体。在此网络中的 参与者既是资源、服务和内容的 提供者(Server), 又是资源、服务和内容的 获取者。
2024-07-22 14:26:36
1023
原创 2024年网络安全最新Web服务器配置安全(1)
Web服务器是提供网站和应用程序的基础设施,安全配置是确保Web服务器及其上运行的应用程序的安全性和稳定性的重要步骤。本文将探讨Web服务器安全配置的要点,包括常见的安全漏洞、配置建议和注意事项,以及如何保持Web服务器的安全性。在配置Web服务器安全性时,需要了解一些常见的Web服务器安全漏洞,以便更好地识别和解决问题。Web服务器安全配置是保护Web应用程序和用户数据的关键步骤。在配置Web服务器时,需要了解常见的Web服务器安全漏洞,并采取相应的措施来防范和解决这些漏洞。
2024-07-22 14:25:37
747
原创 2024年渗透测试:账号安全_怎么测试不收集用户任何用户信息,2024软件测试精选面试实战总结整理
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-22 14:22:05
608
原创 2024年被黑客攻击了,登录流程要怎么做才安全_攻击快去登录,实战篇
本文梳理了设计登录流程需要考虑的一些关键点。世界上没有绝对安全的系统,有价值的网站和应用都是黑客攻击的重点对象。工作中务必重视安全问题,发现漏洞及时修复。也要考虑网站数据的重要程度,采取合适的防护措施。为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
2024-07-21 13:21:37
687
原创 2023最新版—Brup_Suite安装配置----最详细的教程(测试木头人)
Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。我们在做Web安全测试时也会用到此工具。
2024-07-21 13:21:07
581
原创 2023软件测试工具大全(自动化、接口、性能、安全、测试管理)
软件测试是保障软件质量的重要环节,而现代化的软件开发过程中,测试工具的应用已经成为了必不可少的一部分。不同的测试工具可以支持不同类型的测试,如自动化、接口、性能和安全等。本文将围绕“软件测试工具大全(自动化、接口、性能、安全、测试管理)”展开讨论,介绍各类测试工具的特点和适用场景,以帮助读者更好地选择和使用测试工具。本文介绍了软件测试工具大全,包括自动化测试工具、接口测试工具、性能测试工具、安全测试工具和测试管理工具。不同类型的测试工具有不同的特点和适用场景,可以根据具体需求选择和使用。
2024-07-21 13:20:36
818
原创 71内网安全-域横向网络&传输&应用层隧道技术
代理和隧道技术的区别?代理主要解决的是网络访问问题,隧道是对过滤的绕过,隧道技术是为了解决什么解决被防火墙一些设备,ids(入侵检测系统)进行拦截的东西进行突破,举个栗子;在实战情况可能会cs和msf没有办法上线或者得到回显,出口数据被监控,在拖数据的时候会被拦截,网络通信存在问题等;隧道技术前期必备的条件?应用场景四已经获得了一些控制权,但是不能对肉鸡进行信息收集等一些执行功能;比如利用shior反序列化得到了一些权限,但是漏洞上有ids,把后门放到了对方服务器但是cs上不了线,
2024-07-21 13:19:41
942
原创 2022 年全国职业院校技能大赛 网络搭建与应用赛项 正式赛卷 第二部分 网络搭建及安全部署——部分答案
1.SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令,模拟接口 UP,方便后续业务验证与测试2.SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10 关联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。
2024-07-21 13:15:29
790
原创 71内网安全-域横向网络&传输&应用层隧道技术
代理和隧道技术的区别?代理主要解决的是网络访问问题,隧道是对过滤的绕过,隧道技术是为了解决什么解决被防火墙一些设备,ids(入侵检测系统)进行拦截的东西进行突破,举个栗子;在实战情况可能会cs和msf没有办法上线或者得到回显,出口数据被监控,在拖数据的时候会被拦截,网络通信存在问题等;隧道技术前期必备的条件?应用场景四已经获得了一些控制权,但是不能对肉鸡进行信息收集等一些执行功能;比如利用shior反序列化得到了一些权限,但是漏洞上有ids,把后门放到了对方服务器但是cs上不了线,
2024-07-21 13:12:24
647
原创 【网络安全】2.3 安全的网络设计
然后,我们可以在每个段中设置不同的网络设备和策略。网络设计是网络安全的基础,一个好的网络设计可以有效的防止攻击者的入侵。在本篇文章中,我们将详细介绍如何设计一个安全的网络,包括网络架构,网络设备,网络策略,以及如何处理网络安全事件。通过理解网络架构,网络设备,网络策略,以及如何处理网络安全事件,我们可以设计出一个安全的网络。首先,我们可以使用分段网络架构,将网络分成几个段,例如公共段,员工段,和管理段。:防火墙是阻止不安全流量的设备,它可以根据流量的源地址,目的地地址,协议,和端口来决定是否允许流量通过。
2024-07-20 17:11:21
645
原创 【送书活动】用“价值”的视角来看安全:《构建新型网络形态下的网络空间安全体系》
过去,安全从未如此复杂;现在,安全从未如此重要;未来,安全更需如此洞擦。经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。因此,需要站在网络空间的高度看待安全与网络的关系,站在安全产业的高度看待安全厂商与客户的关系,站在企业的高度看待安全体系设计与安全体系建设之间的关系。这是对安全行业的一次以网络空间为框架,以思考为刀,以安全产品与技术为刃,以企业安全体系建设为牛的深度解构与重构。
通过之前文章我们对于SSL协议进行了一定了解网络安全——传输层安全协议本章将会继续讲解SSL握手协议与SSL记录协议。SSL握手协议工作在SSL记录协议层之上,用于协商产生会话状态的加密参数。当SSL客户端和服务器首次开始通信时,它们就协议版本、加密算法的选择、是否互相认证进行协商,并使用公钥加密技术产生共享秘密。所有这些工作都是由握手协议完成的,大致可以分为以下两个阶段。SSL是层次化协议。在每一层,消息均可以包含描述长度、消息及消息内容的域。
2024-07-20 17:08:42
846
原创 【吃透网络安全】2023软考网络管理员考点网络安全(一)安全基础篇
更多备考干货可关注CSDN博主-《拄杖盲学轻声码》网络管理员是软考中一门初级资格的考试科目。考试一共分为两门,上午基础知识,下午应用技术。为了让大家能顺利的备考,博主(csdn-拄杖盲学轻声码)就一些网络管理员的一些学习知识点做了一个汇总,希望对大家备考网络管理员能有所帮助。。更多备考干货可关注CSDN博主-《拄杖盲学轻声码》
2024-07-20 17:07:57
965
原创 【八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
共8篇【2023秋招-2024春招】, 共5篇【2024应届】, 共6篇【2024应届】升学系列,共8篇【2023应届】就业系列,共3篇合计30篇。
2024-07-20 17:07:26
1006
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人