- 博客(2017)
- 收藏
- 关注
RSS订阅原创 Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(包含DVWA)
一、环境准备1.使用VMware创建两台虚拟机1)Windows72)Kali二、站点搭建1.下载PhPStudy软件安装包(简单易用的一站式站点搭建工具)2.安装软件3.通过PhPStudy打开Apache,Mysql服务4.测试基础站点(win7和kali上均进行)1)通过PhPStudy访问2)直接访问本机ip地址3)通过kali访问三、DVWA靶场搭建1.下载DVWA资源包2.解压3.将解压出的文件移动到PhPStudy站点提示的目录下4.打开浏览器查看。
2024-11-13 21:00:00
640
原创 Gallia:一款针对汽车安全的可扩展渗透测试框架
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈!
2024-11-13 18:00:00
943
原创 CTF常用工具_实时更新
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!
2024-11-13 15:00:00
452
原创 CTF比赛必备常用工具
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
2024-11-13 12:00:00
404
原创 CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
废话不多话开启你们的旅程吧 这个也是我这几天才看 一些见解和思路分享给你们希望你们在旅途中玩的开心,学的开心✌( •̀ ω •́ )y。
2024-11-13 09:00:00
674
原创 2024网工必备技术词汇大全(网络、运维、安全3大方向)
网络的参与者 共享他们 所拥有的一部分硬件 资源(处理能力、存储能力、网络连接能力、打印机等),这些 共享资源通过网络提供服务和内容,能被其它对等节点(Peer)直接访问而无需经过中间实体。在此网络中的 参与者既是资源、服务和内容的 提供者(Server), 又是资源、服务和内容的 获取者。
2024-11-12 20:15:00
1205
原创 ctfshow misc入门wp
图片篇(基础操作)misc1misc2misc3misc4图片篇(信息附加)misc5misc6misc7misc8misc9misc10misc11misc12misc13misc14misc15misc16misc17misc18misc19misc20misc21misc22misc23misc41图片篇(文件结构)misc24misc25misc26misc27misc28misc29misc30misc31misc32。
2024-11-12 17:00:00
525
原创 CTF 总结02:preg_match()绕过
链接在此:[PHP: preg_match - Manual](https://www.php.net/manual/zh/function.preg-作为匹配检查的大函数,可以带五个小参数:pattern、subject、matches、flags、offset,其中前两个:pattern、subject是必须要填写的后三个不填写的话会有自动的默认值需要被检查的字符串(通常就是我们传到网页的字符串)~需要被比较的字符串(通常就是被WAF拉黑的字符串)~
2024-11-12 14:00:00
659
原创 【银行测试】第三方支付平台业务流,功能-性能-安全测试方法...
1、第三方支付平台的功能和结构特点在信用方面,第三方支付平台作为中介,在网上交易的商家和消费者之间作一个信用的中转,通过改造支付流程来约束双方的行为,从而在一定程度上缓解彼此对双方信用的猜疑,增加对网上购物的可信度。在技术层面,第三方支付平台承担安全保障和技术支持的作用,提供一系列的应用接口程序,支持多家银行的多卡种支付,将多家签约银行的支付方式整合到一个界面上,负责交易结算中心与银行的对接。
2024-11-12 11:00:00
593
原创 API安全学习 - crAPI漏洞靶场与API测试思路
结合靶场内容和AI给出的结论可以大致得出API可能会受到以下安全风险的威胁:认证和授权问题:未授权的用户可能会使用API,在没有经过充分身份验证的情况下访问敏感数据或执行敏感操作。注入攻击:黑客可能会利用API中的漏洞,将恶意代码注入到应用程序中,以窃取敏感数据或执行恶意操作。僵尸网络攻击:攻击者可能会使用API来构建僵尸网络,这些网络可以被用来进行DDoS攻击。数据泄露:攻击者可能会利用API的漏洞来获取未授权的访问权限,从而窃取敏感数据。
2024-11-12 08:00:00
800
原创 71内网安全-域横向网络&传输&应用层隧道技术
代理和隧道技术的区别?代理主要解决的是网络访问问题,隧道是对过滤的绕过,隧道技术是为了解决什么解决被防火墙一些设备,ids(入侵检测系统)进行拦截的东西进行突破,举个栗子;在实战情况可能会cs和msf没有办法上线或者得到回显,出口数据被监控,在拖数据的时候会被拦截,网络通信存在问题等;隧道技术前期必备的条件?应用场景四已经获得了一些控制权,但是不能对肉鸡进行信息收集等一些执行功能;比如利用shior反序列化得到了一些权限,但是漏洞上有ids,把后门放到了对方服务器但是cs上不了线,
2024-11-11 18:00:00
1689
原创 WEB漏洞-文件上传之解析漏洞编辑器安全
各个WEB编辑器安全讲解https://navisec.it/编辑器漏洞手册/各个CMS文件上传简要讲解。
2024-11-11 15:00:00
997
原创 【网络安全】文件包含漏洞--通过日志投毒getshell
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-11-11 12:15:00
350
原创 如何使用自动化工具编写测试用例?_安全测试用例执行自动化(1)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-11-11 09:30:00
505
原创 kali linux网络安全弱口令爆破常用命令(二)
KaliLinux中的Hydra是一款强大的网络登录破解工具,它支持多种协议,如FTP、SSH、Telnet等。弱口令爆破是一种常见的网络攻击手段,通过尝试不同的用户名和密码组合来获取系统的访问权限。Hydra是一款强大的暴力破解工具,可以用于执行弱口令爆破。要尝试破解的目标主机的IP地址或域名。目标主机上服务运行的端口号。目标主机上服务使用的协议,如SSH、FTP等。目标主机上服务的类型,如SSH服务的用户名枚举、密码破解等。指定Hydra使用的攻击方法,如暴力破解、字典攻击等。
2024-11-10 21:00:00
874
原创 CTF wed安全(攻防世界)练习题_ctfweb题目
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。然而,值得注意的是,Robots协议并不是防火墙,也没有强制执行力。内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
2024-11-10 18:00:00
1793
原创 2024年网络安全最新Web服务器配置安全(1)
Web服务器是提供网站和应用程序的基础设施,安全配置是确保Web服务器及其上运行的应用程序的安全性和稳定性的重要步骤。本文将探讨Web服务器安全配置的要点,包括常见的安全漏洞、配置建议和注意事项,以及如何保持Web服务器的安全性。在配置Web服务器安全性时,需要了解一些常见的Web服务器安全漏洞,以便更好地识别和解决问题。Web服务器安全配置是保护Web应用程序和用户数据的关键步骤。在配置Web服务器时,需要了解常见的Web服务器安全漏洞,并采取相应的措施来防范和解决这些漏洞。
2024-11-10 15:00:00
754
原创 【八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
共8篇【2023秋招-2024春招】, 共5篇【2024应届】, 共6篇【2024应届】升学系列,共8篇【2023应届】就业系列,共3篇合计30篇。
2024-11-10 12:00:00
1559
原创 Brup_Suite安装配置----最详细的教程(测试木头人)
Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。我们在做Web安全测试时也会用到此工具。
2024-11-10 09:00:00
1586
原创 2024年被黑客攻击了,登录流程要怎么做才安全_攻击快去登录,实战篇
本文梳理了设计登录流程需要考虑的一些关键点。世界上没有绝对安全的系统,有价值的网站和应用都是黑客攻击的重点对象。工作中务必重视安全问题,发现漏洞及时修复。也要考虑网站数据的重要程度,采取合适的防护措施。为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
2024-11-09 21:00:00
959
原创 17个关键方法指南,保护您的web站点安全!
使用自定义端口是一种网络安全策略,旨在通过减少攻击者利用已知端口进行攻击的机会来提高系统的安全性。了解默认端口:首先,了解哪些端口是默认的,以及它们通常用于哪些服务。例如,SSH通常使用端口22。更改端口号:将这些默认端口更改为非标准端口(通常在1024到65535之间),这样可以减少攻击者利用这些端口进行自动化攻击的可能性。避免已知端口:根据IANA的分配指南,避免使用0到1023范围内的已知端口,因为这些端口通常与特定服务关联,更容易成为攻击目标。
2024-11-09 18:00:00
1581
原创 【送书活动】用“价值”的视角来看安全:《构建新型网络形态下的网络空间安全体系》
过去,安全从未如此复杂;现在,安全从未如此重要;未来,安全更需如此洞擦。经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。因此,需要站在网络空间的高度看待安全与网络的关系,站在安全产业的高度看待安全厂商与客户的关系,站在企业的高度看待安全体系设计与安全体系建设之间的关系。这是对安全行业的一次以网络空间为框架,以思考为刀,以安全产品与技术为刃,以企业安全体系建设为牛的深度解构与重构。
软件测试是保障软件质量的重要环节,而现代化的软件开发过程中,测试工具的应用已经成为了必不可少的一部分。不同的测试工具可以支持不同类型的测试,如自动化、接口、性能和安全等。本文将围绕“软件测试工具大全(自动化、接口、性能、安全、测试管理)”展开讨论,介绍各类测试工具的特点和适用场景,以帮助读者更好地选择和使用测试工具。本文介绍了软件测试工具大全,包括自动化测试工具、接口测试工具、性能测试工具、安全测试工具和测试管理工具。不同类型的测试工具有不同的特点和适用场景,可以根据具体需求选择和使用。
2024-11-09 13:00:00
929
原创 【安全运维】CISO必知:身份和访问管理的十大关键要素
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-11-09 10:00:00
1004
原创 2024年最系统的网络安全自学路线,学完即可就业_安全学习路线
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2024-11-08 18:00:00
1823
原创 5. Windows安全 —— DNS域名解析及WEB服务
域名系统互联网中用于将域名转换为对应IP地址的分布式命名系统:(将人类可读的域名转换为机器可识别的IP地址)帮助用户快速定位和访问目标网站或服务:DNS协议默认使用UDP进行通信,端口号53A/AAAA为正向解析(名字 🡆 IP),PTR为逆向解析(名字 🡄 IP):域名解析主要使用的是基于主机文件的解析方法:当用户在浏览器中输入一个网址时,系统会首先查找本地主机文件(hosts file)来获得域名对应的 IP 地址:当用户输入一个域名时,操作系统会首先查询本地 DNS 缓存是否有相应的记录。
2024-11-08 15:30:00
863
原创 【Namp】精通Nmap:网络扫描与安全的终极武器
欢迎来到使用Nmap的终极指南,Nmap是网络映射工具,已成为任何网络安全专业人士工具箱中不可或缺的一部分。无论您是资深的安全专家还是刚刚起步,本教程旨在为您提供全面了解Nmap及其功能的知识,并教您如何有效地使用它来保护您的网络。Nmap,即网络映射器,是一个用于网络发现和安全审计的免费开源工具。它由GordonLyon(也以其笔名FyodorVaskovich而闻名)创建,并因其多功能性和强大的扫描能力而在网络安全社区中备受青睐。希望这个教程能成为您网络安全学习道路上的一盏明灯,照亮您前进的方向。
2024-11-08 10:30:00
895
原创 【Linux网络】ssh服务与配置,实现安全的密钥对免密登录
ssh是一种安全通道协议,主要用来实现远程登录、数据传输等;ssh协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议。
2024-11-08 08:00:00
1011
原创 【burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
2024-11-07 18:00:00
1226
原创 《Docker 简易速速上手小册》第6章 Docker 网络与安全(2024 最新版)
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。这对于维护任何生产级的。通过掌握这些高级网络知识,你将能够设计一个既安全又高效的容器网络架构,满足从简单的单机应用到复杂的分布式系统的各种需求。
2024-11-07 15:30:00
566
原创 [Web安全入门]BURP基本使用详解
请求方法 请求资源(目录结构/目录文件/传参的参数[GET]) HTTP版本host: 主机名User-Agent:客户端基本环境信息Content-Type:传参的类型Content-Length: 请求包长度Referer: 上一步来源。X-Forwarded-For:当前身份ipCookie:用户身份标识。
2024-11-07 13:00:00
832
原创 中间件安全—Apache常见漏洞
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache。
2024-11-07 10:30:00
563
原创 智能反射面 辅助的 物理层安全 学习
由于相关研究的范围很广且各有特点,本文将 IRS 辅助的无线通信系统的物理层安全研究大致总结为如下几个主要方向:一是信息理论安全,该研究方向重点聚焦于 IRS 辅助的无线通信系统的安全速率(SR, secrecy rate)、安全中断概率(SOP,secrecy outage probability)等 PLS 性能指标的理论分析或优化提升[25-72]。二是隐蔽通信,该研究方向旨在借助 IRS 的可重构能力将合法链路的通信隐藏起来,避免被 Eav 侦测到[73-79]。
2024-11-07 08:00:00
618
原创 智慧园区安防系统:构建高效安全壁垒
随着科技的不断发展,智慧园区成为城市建设的重要组成部分。而智慧园区安防系统作为园区安全的核心保障,也越来越受到重视。本文将为您详细介绍智慧园区安防系统的功能和优势,以及如何构建一个高效、智能的安全壁垒。安防系统具备多种功能,能够全面覆盖园区的安全需求。首先,它能够实时监测园区内的各个区域和设备,包括门禁系统、摄像头、报警器等,以及园区的周边环境。通过高清视频监控和智能识别技术,可以及时发现异常情况,如潜在的安全威胁、火灾风险等,并迅速采取相应措施应对。
2024-11-06 20:30:00
581
原创 智慧用电安全管理系统
智慧用电安全管理系统智慧用电安全管理系统是智能电网中客户侧关键的构成部分,是基本建设新型智慧城市的基本,将完成地区内各种各样用电设备的智能化系统监管,完成地区内日常生活与工作中安全性、舒服。一、智慧用电安全管理系统介绍系统是为办公、住房等用电地区设计的综合性用电管理系统,利用当代传感器技术、信息解决技术、数字通信技术、电子信息技术、现代信息技术、数据挖掘算法和互联网技术,完成地区内各种各样信息的收集、解决、传送、表明和相对高度集成化共享。
2024-11-06 12:00:00
624
原创 【Ctfer训练计划】——命令执行的解题技巧(持续更新中)
一、关键字绕过1、cat限制绕过2、$限制绕过3、点号限制绕过(2023.1.4)4、空格限制绕过5、php限制绕过二、另类变形写法1、eval双重参数覆盖(2022.12.31)2、include双重参数覆盖(2023.1.3)3、闭合双重参数绕过(2023.1.5)4、data伪协议配合include函数命令执行三、奇淫巧技思路1、另类种马思路(2023.1.3)2、highlight_file高级显示(2023.1.4)3、字符串匹配(2023.1.4)
2024-11-06 09:30:00
534
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人