- 博客(1357)
- 收藏
- 关注
RSS订阅原创 常见Web攻击和防御
场景: 诱导已登陆用户点击有害链接(较明显)会窃取用户登录态信息等, 如document.cookie 利用img等html元素发送向hackerweb发送带有cookie信息的请求, 从而黑客后台可获取到登录态信息。
2024-05-23 18:30:00
320
原创 常见 Web 安全攻防总结
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
2024-05-23 15:30:00
581
原创 Web安全漏洞扫描神器-AWVS下载、安装及使用教程
AWVS我是装在Docker上的,在VPS中部署好Docker后,敲入以下命令访问https://VPS的IP:8443默认账号密码:登录进来是这样一个页面在目标中添加新的目标填入扫描目的地址,保存下面是我们的目标信息网站登录,如果扫描网站需要测试登录表单,则填入账号密码后面基本默认,当然有需要的话可以自行调整,点击右上角扫描开始扫描扫描完成漏洞的严重性主要有高 中 低 信息这四个组成点击漏洞,则可以看到漏洞的详细信息跨越90%企业的招聘硬门槛增加70%就业机会。
2024-05-23 12:15:00
351
原创 Spring Security源码分析九:Spring Security Session管理
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
2024-05-23 09:00:00
430
原创 并发编程 —— 谈谈线程中断
非 Lock 接口,即 synchronized 和 Object 还有 Thread 的相关方法,除了 synchronized 不会响应中断,其他的都会响应中断并抛出异常。Lock 接口,无论是使用 lock 系列方法,还是 Condition 的 await 系列方法,都可随心所欲,想使用什么模式,就使用什么模式。在日常的开发,这个特性还是非常有用的。相比而言,Lock 相关的接口更加的灵活,对于线程中断的响应和处理可自行设置,而非 Lock 接口则需要了解他们的中断特性.
2024-05-22 18:00:00
764
原创 编程或者软件开发到底算不算知识?
在探讨这个话题之前,我们先看看大神阮一峰是怎么说的,大致内容如下:在软件开发中,技术变化如此之快,你花费了大量时间学习技术和工具,一旦这些技术被取代,你的知识将变得毫无价值,因为它们大部分都是实施的细节。我最近总是在想这段话,软件开发算不算是真正的知识?如果它是一种真正的知识,那么理论上,我们学到的东西大部分应该不会过时,就好像微积分不会过时一样。可是实际上,我们都知道,软件开发技能有时效性,十年前学习的编程知识,十年后几乎肯定不能用于生产。那样的话,软件开发就不能算真正的知识,只是一种实施的细节。
2024-05-22 15:00:00
1219
原创 Web 高级着色语言(WHLSL) - 为WebGPU设计的Web图形着色语言
这描述了 W3C 的 WebGPU 社区组拥有的名为 WHLSL 的新着色语言。它熟悉的基于 HLSL 的语法,安全保证和简单,可扩展的设计满足了该语言的目标。因此,它代表了编写在 WebGPU API 中使用的着色器的最佳支持方式。但是,WebGPU 社区组不确定是否应直接向 WebGPU API 提供 WHLSL 程序,或者是否应在交付给 API 之前将它们编译为中间形式。无论哪种方式,WebGPU 程序员都应该使用 WHLSL 编写,因为它最适合 API。请加入!
2024-05-22 12:00:00
850
原创 Rust 所有权:内存管理新流派
在 Rust 中每个值都只能被一个所有者拥有,当这个值被赋给其他所有者,原所有者无法再使用。正是这种机制保证了 Rust 语言的内存安全,从而无需自动垃圾回收,也无需手动释放。所有权是 Rust 最重要的特性之一。下面来看一个简单的例子。上面展示了所有权转移的基本案例, 由于a获得了字符串的所有权,s无法再使用。这可能和现存的编程语言有很大的区别,事实上在 Rust 之前,我所了解的所有语言中这样用是完全正确的,但是现在我明白了这么做的奇妙之处。
2024-05-22 09:00:00
774
原创 管理员权限过宽:管理员账户权限设置过宽,增加安全风险
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-05-21 21:30:00
833
原创 关于卸载亚信安全防火墙软件
电脑根据需求上安装亚信安全防火墙,不需要时,要卸载需要密码关于卸载亚信安全防火墙客户端-适用于win10和win11的方法(系统64位).亲测有效:1.电脑上win+R,运行输入msconfig2.勾选引导中的安全引导,然后重新启动,进入安全模式.3.win+R输入regedit,打开注册表编辑器进入/Misc/,修改/Allow Uninstall 的键属值改为1即可。illinNTcorp/CurrentVersion/Misc中Allow Uninstall的值为1;
2024-05-21 18:30:00
833
原创 关于nginx HTTP安全响应问题
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
2024-05-21 15:00:00
928
原创 工业信息安全的神秘武器——德迅卫士(主机安全)
服务器作为承载公司业务及内部运转的底层平台,其稳定、安全地运行是公司的正常发展的前提保障。由于主机上运行着各种各样的业务,会存在着各类漏洞及安全问题。攻击者以此为目标,通过对服务器的攻击来获利,给公司发展造成严重的危害和损失。因此,保证核心主机上关键业务的安全和高可靠性变得尤为重要,对于主机操作系统层面的安全问题(包含漏洞及高危配置项)急需解决。
2024-05-21 11:30:00
600
原创 关于安全加密算法概述
一、信息加密应用发展阶段二、常见计算机信息传输加密手段三、国密算法四、心得体会随着信息化时代的到来,信息安全问题也越来越受到人们的关注。信息加密技术作为保障信息安全的重要手段,也在不断地发展完善。本文将从信息加密应用发展阶段、常见计算机信息传输加密手段和国密算法三个方面进行概述。
2024-05-21 08:00:00
631
原创 管廊、桥梁、隧道、危房沉降安全监测常用的静力水准仪安装指导及分类
一.液压型静力水准仪介绍:液压型静力水准仪是利用连通器原理测量两点或多点之间竖向位移的精密仪器。沉降自动化监测系统主要由储液罐、基准点、测点、采集网关、在线监测云平台等部件组成,可用于桥梁动态扰度、隧道、管廊、路基、地铁、深基坑、大坝、房屋等结构物的沉降自动化监测。②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-05-20 14:30:00
107
原创 工业互联网IoT物联网设备网络接入认证安全最佳实践
制造业数字化转型过程中,产线物联网(IoT)设备、工控机的引入极大提高了生产效率的同时,也埋下了不容忽视的安全隐患。尤其制造业已成为勒索软件攻击的重灾区,利用物联网设备漏洞进行恶意攻击的事件不胜枚举,如2018年台积电遭遇WannaCry勒索事件,2021年5月美国最大的成品油管道运营商ColonialPipeline受勒索攻击致输油管道瘫痪事件。为保障产线业务持久稳定,企业应加强对工业互联网中IoT设备、工控终端的接入管控。某电器龙头企业为保障公司内网安全,在办公部门采用802.1X接入认证方式。
2024-05-20 11:00:00
653
原创 关于安全文化(上)
一说到文化,大家都觉得话题太泛或太虚,因为这东西有种“只可意会不可言传”的感觉,安全文化的概念自然也逃脱不了这种“第一印象”。功能安全是一门的综合性通用学科,文化其实是流程的一种抽象化,如果一家公司拥有先进、成熟的开发、管理流程,其安全文化自然不会差,因为流程将文化具象化,说直白点就是通过流程将文化落地。图1 —— 流程与文化拥有优秀的流程相当于有了个好的开端,这是功能安全要在项目中落地的一大保障,通过 ‘流程为技术赋能’ 才是功能安全真正落地的先进模式。
2024-05-20 08:30:00
794
原创 如何让你的会话更安全,浅析Session与Cookie
在本篇文章中,我们首先从cookie讲起,理解了session和cookie的不同,session为什么比cookie安全,以及如何去设置http- only及其设置的效果,希望对大家理解cookie和session有所帮助。
2024-05-19 21:00:00
1001
原创 如何使用 NMAP 命令进行网络扫描
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。以上语法用于扫描目标网络的所有端口,执行上述格式时请耐心等待,因为枚举打开的端口需要一些时间,或者您也可以执行下面给出的命令,该命令使用参数“–open”执行相同的任务,以便省时间。如果您注意到下图,那么您会发现它获得的结果是多次扫描的组合。
2024-05-19 17:00:00
780
原创 如何通过管理层和领导层的积极参与和支持,展示安全的重要性?
本文将探讨企业应如何在管理和领导力层面积极支持和参与网络安全工作以提升整个组织对于网络安全的认识和实践水平。
2024-05-19 14:30:00
673
原创 【2024最新版】超详细Metasploit安装保姆级教程,Metasploit渗透测试使用,看完这一篇就够了_metasploit framework下载
Metasploit是一个渗透测试框架,可以帮助您发现和利用漏洞。Metasploit还为您提供了一个开发平台,您可以编写自己的安全工具或利用代码。今天,我将指导您了解如何使用Metasploit的基础知识:如何安装Metasploit,使用框架以及利用漏洞。
2024-05-19 12:00:00
820
原创 防火墙内容安全笔记
VPN — 虚拟专用网 —一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网络专线。这个虚拟的专线是逻辑上的,而不是物理上的,所以称为虚拟专用网。VPN诞生的原因:1,物理网络不适用,成本太高,并且如果位置不固定,则无法构建物理专线2,公网安全无法保证根据建设的单位不同分类:1,企业自建的VPN专线:GRE,IPSEC,SSL VPN,L2TP —这种VPN构建成本较低,因为不需要支付专线的费用,仅需要承担购买VPN设备的费用。并且,在网络控制方面,也拥有更多的主动性。
2024-05-19 09:00:00
1490
原创 当Windows安全中心服务无法启动时怎么办?这里提供几个解决方案
当你尝试在操作中心中打开安全中心服务时,你是否会遇到Windows安全中心服务无法启动这种问题?这篇文章将向你展示解决这个问题的4种解决方案。Windows的安全中心是一个非常有用的程序,当你的计算机受到威胁时,它可以通知你。但是,一些用户表示,当他们想在Windows7中打开Windows安全中心时,会收到一条错误消息“Windows安全中心服务无法启动”。!事实上,安全中心服务无法启动的问题可能是由以下原因引起的。安全中心未配置为正确启动。安全中心的“登录用户”配置不正确。
2024-05-18 21:00:00
301
原创 电力信息系统特点及安全防御
安全预警、显示维护信息、安全分析、图表服务、人机交互等,是数据显示层的主要功能,满足用户的查询需求。网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
2024-05-18 16:15:00
724
原创 第六十一天 服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-05-18 13:00:00
906
原创 第六十四天 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-05-18 10:00:00
795
原创 答疑解惑:核技术利用辐射安全与防护考核
最近通过了《核技术利用辐射安全与防护考核》,顺利拿到了合格证。这是从事与辐射相关行业所需要的一个基本证书,考试并不难,在此写篇博客记录一下主要的知识点。需要这个证书的行业常见的有医疗方面的,如放疗,CT,X射线采图,具有放射性的药物等,另外还有工农业核技术应用等。作为一名IT人员,我选择考试的类别是《科研生产及其他》,该类别只需要考试公共科目:法律与辐射基础,相对来说比较简单。其中,物理部分都是中学知识与辐射常识,学习起来比较简单;而法律和辐射行业知识是需要着重学习的部分。
2024-05-18 08:00:00
802
原创 从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-05-17 22:00:00
973
原创 从零开始的网络安全--Windows系统安全(1)
用来为多个用户批量授权为一个组授予权限后,所有成员用户自动获得相应权限用户加入一个组,自动获得此组的权限基本作用定义向磁盘上存文档的方法和数据结构,以及读文档的规则格式化操作就是建新的文件系统Windows常见的文件系统FAT32,文件分配表NTFS,新技术文件系统ReFS,复原文件系统。
2024-05-17 17:44:47
755
原创 加密数据安全性的两大安全护盾-前向安全性与后向安全性详解
前向安全性,也称为完美前向保密(Perfect Forward Secrecy,PFS),是指即使长期密钥在未来被破解或泄露,也不会危及过去的通信内容,从而保护过去的通信内容不被破解。具体来说,如果一个密码系统具有前向安全性,那么在某个时刻之后泄露的密钥将无法解密在此之前加密的数据。后向安全性(BackwardSecurity)是指一个密码系统在密钥泄露或密码被破解的情况下,不会对未来的通信内容的安全性产生影响。
2024-05-16 21:00:00
789
原创 基于智能化安全编排的网络安全事件响应架构
当前,网络安全问题日益严重,网络攻击方式日趋多样化和隐蔽化,安全漏洞等安全风险和事件层出不穷,依托人工经验、基于单点安全防御能力分析和响应的网络安全运维模式已经不足以应对,亟需从全网整体安全运维的角度去考虑,将分散的安全监测与响应机制整合起来,提升安全响应效率,构建以观察、定位、决策和响应为一体的新型网络安全运维体系。为 了 解 决 网 络 安 全 运 维 面 临 的 突 出 问 题,Gartner 公司最早于接下来我将给各位同学划分一张学习计划表!
2024-05-16 17:00:00
925
原创 基于区块链和门限密码的安全投票系统(Python+Django+Node+web3+SQLite3) 毕业论文+文献综述+方案对比+图形源文件+参考文献+项目源码
2022年1月28日,中国创建首个区块链与隐私计算科技创新平台,为解决多方协作和多方信任等安全性问题提供了有力支持。区块链实现数据可信存储,隐私计算保护实体秘密提供可信计算,如果将隐私计算的数据部署到区块链,并由智能合约触发,那么可以解决传统领域各种实际问题。本文基于区块链和隐私计算技术构建了安全的去中化的电子投票应用以解决传统投票系统中的安全隐私问题。本文提出一种安全电子投票方案。在可信数据安全存储方面,使用区块链及其上运行的智能合约提供信息安全的运行环境。
2024-05-16 14:00:00
698
原创 架构师之路(十三)计算机网络(链路层安全)
基础。作为架构师,我们所设计的系统很少为单机系统,因此有必要了解和之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。溢出攻击:当CAM表已满时,如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。
2024-05-16 12:15:00
1248
原创 基于风险的漏洞管理实现高效安全
漏洞管理工具一次报告数千个漏洞。但并非所有这些都承担相同程度的风险。您的评估工作应侧重于衡量每个漏洞的风险级别并首先修复风险较高的漏洞。当严重风险消失后,您环境的风险状况就会大大降低。基于风险的漏洞管理是一个战略流程,用于评估漏洞的确切风险级别,根据计算出的风险级别确定优先级,并更快地修复较高的风险,以降低被利用的可能性。基于风险的漏洞管理工具结合多种因素自动计算和评估潜在风险。这些因素包括威胁情报源、可利用性、公共风险评级、公司资产数量、当前的利用活动等。
2024-05-16 09:30:00
544
原创 加密标准不符合要求:使用的加密技术未达到规定的安全标准
本文主要讨论了当加密标准不符合要求时可能会导致的安全风险问题以及可能的解决措施。加密技术在现代网络安全中扮演着重要角色,如果不能确保所使用的密码技术和算法符合相关的要求和标准, 那么就会带来极大的安全风险。因此了解并掌握相关的规范和规定至关重要。在计算机网络通信过程中通常有三种主要的加解密类型 :对称密钥加密 (Symmetric key encryption)、非对称密钥加密(Asymmetric。
2024-05-15 21:30:00
832
原创 技术实践|百度安全「大模型内容安全」高级攻击风险评测
相比较大模型提示词注入风险,大模型高级攻击风险实施门槛更低,暴露的风险更直观。为了更好地帮助大模型开发者及时发现模型自身的风险,在对大模型的评测过程中需要包含高级攻击的评测,百度大模型内容安全评测建立了科学,全面的高级攻击分类体系与构造工具,并且提出与基础内容类别结合的方法去评测高级攻击的风险情况,从而对于被评测大模型在高级攻击方面的风险情况可以做到更细致,更准确的认知,助力企业构建平稳健康、可信可靠的大模型服务。
2024-05-15 18:00:00
889
原创 基于工业智能网关的汽车充电桩安全监测方案
通过工业智能网关,可以实时监控线路负荷、用电设备运行参数,及时获取电路数据,并通过5G/4G以太网等多种方式把数据上传到监控平台,实现数据采集、分析、故障预警、远程控制等功能。通过网关接入充电桩智能化管理云平台,还可实现充电时长可控、用电风险规避、运维工作降低、电网调度精准等目标,减少漏电、异常断电、异常耗能、异常高温、火灾等隐患,确保新能源汽车充电安全、可控。
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人