- 博客(125)
- 收藏
- 关注
RSS订阅原创 SSRF漏洞(服务器端请求伪造)相关案例
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
2024-08-27 20:11:31
1014
原创 XSS Game靶场学习
服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。
2024-08-17 21:45:24
1037
原创 贷齐乐hpp+php特性注入
hpp php 只接收同名参数的最后一个,这个也涉及hpp全局参数污染。php中会将get传参中的key中的.转为_$_REQUEST 遵循php接收方式,i_d&i.d中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
2024-08-11 22:50:17
908
原创 sql注入知识整理
SQL注入就是用户输入的一些语句没有被过滤,输入后诸如这得到了数据库的信息SQL 注入是一种攻击方式,在这种攻击方式中,在字符串中插入恶意代码,然后将该字符串传递到 SQL Server 数据库引擎的实例以进行分析和执行。任何构成 SQL 语句的过程都应进行注入漏洞检查,因为数据库引擎将执行其接收到的所有语法有效的查询。
2024-08-05 23:27:32
630
原创 安全防御:VPN技术2
利用的是空闲计时器原理 --- 两边同时开启一个计时器,有数据包通过时,直接刷新计时器,如果计时器归0,则会开始发送DPD的探测报文,对方收到后,将回复应答,正常回复则刷新计时器,如果没有应答,则连续发送5次,都没有应答,则将拆掉通道;SKEYID_e --- 加密密钥 --- 用于第5.6个数据包以及第二阶段IPSEC SA协商过程中的数据加密 --- g^ir --- DH算法中计算出的Z。ESP --- 封装安全载荷协议 --- 属于网络层协议,但是,封装在IP协议之上 --- 协议号:50。
2024-07-24 22:55:14
1175
原创 安全防御:VPN技术1
VPN即虚拟专用网,泛指通过VPN技术在公用网络上构建的虚拟专用网络,用户通过这种技术传输私网流量,使其在公网中实现安全可靠的传输。
2024-07-24 22:20:36
672
原创 安全防御:过滤技术
邮件过滤技术 SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议 POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作 IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。内容过滤技术 文件内容的过滤 应用内容的过滤。
2024-07-20 17:13:40
1643
原创 安全防御:防御模块
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连 接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。代理扫描 --- 需要缓存文件,倒是效率较低,并且,文件过大,可能无法缓存,直接放过,造成安全风险,但是,其检测力度较强可以应对压缩以及脱壳的情况。IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时,处理问题---需要串联部署在网络中。严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级。
2024-07-20 16:29:38
1167
原创 安全防御:带宽管理
而P2P,在线视频类型的流量可以被认定为非关键业务流量;三种核心手段 1,接口带宽 --- 接口带宽调控的意义在于,如果本端按照较大的传输速率发送数据,对端接受能力有限,不但起不到增加传输速率的效果,反而可能导致大量的数据包堵塞在链路中,所以,可以区调控出接口的带宽。默认存在一条针对所有流量不做限流的策略,3,带宽通道 --- 可以理解为是带宽策略中执行限流动作后的具体实施,也可以理解为是在真实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中,来限制或者保证业务的带宽。
2024-07-19 21:46:18
741
原创 安全防御:双机热备
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
2024-07-19 21:24:45
1561
1
原创 安全防御:智能选路
就近选路 --- 根据访问的节点所在的运营商选择对应的运营商线路策略路由 --- PBR --- 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何转发的。虚拟系统---VRF如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不匹配流量,数据包将直接走路由表。
2024-07-17 16:00:33
743
原创 安全防御:NAT转换
配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公网IP地址在会话表老化之前,只能针对一个源IP地址进行转换。源NAT --- 基于源IP地址进行转换,包含静态NAT,动态NAT以及NAPT。注意:源NAT是在安全策略之后执行转换。
2024-07-17 15:13:07
449
原创 安全防御:防火墙基本模块
它是一种针对应用层的包过滤技术,也称为基于状态的报文过滤。主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发。ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话表。优先级 --- 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound。
2024-07-15 22:25:32
910
原创 防火墙实验之双机热备与带宽管理
防火墙综合实验之NAT和智能选路-CSDN博客防火墙之安全策略-CSDN博客,可以帮助你了解防火墙和交换机的基础配置。
2024-07-15 17:15:50
644
原创 安全防御:防火墙概述
MGMT --- web管理口 --- G0/0/0 --- 初上配有IP地址192.168.0.1/24,自动开启了web控制以及DHCP的功能。服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险 --- 一种侧重于风险管理的安全设备 --- 存在一定的滞后性。因素---吞吐量---单位时间内防火墙处理的数据量。
2024-07-14 21:18:43
1114
原创 防火墙综合实验之NAT和智能选路
本篇文章是延续上一篇文章,简单来说就是防火墙实验的完善和延续,本次主要完善的模块是内外网的NAT转换以及如何通过策略进行智能选路,我们的实验图也会拓展好公网和分公司部分的内容,当然,为了更好的让大家理解,我也会将所有需求再写一遍。
2024-07-14 14:14:22
1047
原创 防火墙之安全策略
我们本次做的实验用到的防火墙是华为的USG6000V1,所有的安全策略,用户认证都在该设备的可视化界面中进行操作,并搭配老伙伴ENSP模拟器,接下来让我们进入实验。
2024-07-10 18:22:20
996
原创 Java中的类型转换
注意:在类型转换时,如果是向下类型转换,那么要转换两个类型必须有关系,否则会报错。在进行向下类型转换时,为了避免这种没有关系的两个类型之间进行转换,我们需要使用 ====运算符来进行判断,然后再做转换。
2024-05-07 15:29:20
292
2
原创 Java中的抽象类与接口
一个类如果被 abstract 关键字修饰,那么这个类就叫抽象类。抽象类必须有子类,因为抽象类不能直接实例化。}*/如果某个子类继承了抽象类,那么它必须实现抽象类中的所有抽象方法,如果没有实现所有的抽象方法,那么它也只能是抽象类。注意:因为被final修饰的类必须不能被继承,而被abstract关键字修饰的类必须有子类。所以它们两个不能同时使用。即抽象类不能被final修饰。如果一个抽象类中所有的方法都是抽象方法,那么这个类就无需定义成抽象类,而是定义为接口。
2024-05-07 15:14:20
1150
原创 Java中面向对象三大特征(封装、继承、多态)
一个对象在不同条件下表示的不同形态就叫多态,在程序中,多态是父类引用指定子类对象。// 多态System.out.println(name + "小头爸爸");System.out.println(name + "大头儿子");father.name = "大头儿子";另一种多态的使用方式是在方法的参数上,一般我们在使用工厂设计模式时会使用多态。//@Override@Override} else {在参数列表上,使用父类去接收,也是一种多态的使用方式/
2024-05-05 18:06:05
872
原创 Java中的面向对象(类、方法、关键字)
定义的位置不同:属性是定义在类中,而变量是定义在方法中的。在内存中的位置不同:属性是在堆中的,而变量是在栈中。声明的周期不同:属性是在对象创建是放到堆中的且会随着对象的消失而消失,而变量是在栈中且方法执行后就消失。初始化不同:属性是在对象创建时初始化,而变量是在定义时就初始化。
2024-05-05 17:46:35
907
1
原创 Java中的数组(一维数组与二维数组)
/ 第一种:数据类型[] 数组名称 = new 数据类型[元素个数/长度];// 第二种:数据类型[] 数组名称 = new 数据类型[]{元素1,元素2,....,元素n};// 第三种:数据类型[] 数组名称 = {元素1,元素2,....,元素n};// 第一种方式:数据类型[] 数组名称 = new 数据类型[长度];// 第二种方式:数据类型[] 数组名称 = new 数据类型[]{元素1,元素2,...,元素n};
2024-05-01 23:55:24
52
原创 Java中的常用类详解(Math、Scanner、Random、String)
math类包含用于执行基本数学运算的方法,如初等指数、对数、平方根和三角函数。static double E :比任何其他值都更接近e(即自然对数的底数)的double值。static double PI : 比任何其他值都更接近pi(即圆的周长与直径之比)的double值。static double ceil(double a) :返回最小的(最接近负无穷大)double值,该值大于等于参数,并等于某个整数。
2024-04-07 11:33:44
1165
原创 Java中的流程控制语句
一般情况下在循环次数确定的时候通常会优先使用 for 循环,而循环次数不确定时通常会优先选择 while 循环。对于for循环和while循环来说,它们是先判断再执行,而 dowhile循环是先执行再判断。除了可以推出break关键字所在的循环,还可以使用来退出指定的循环。循环变量的步长,它是用来改变循环变更,从而可以达到退出循环的目的。exam1:循环 1 ~ 10,但是当循环到 6 时就退出。这个关键字只能使用在循环中,来结束本次循环进入下一次循环。循环变量初始,在整个循环中只会执行一次。
2024-04-07 11:11:40
703
原创 Java中的基本数据与运算(关键字、标识符、运算符)
变量用于存放某个值的,而这个值可以在程序的运行过程中发生变化。在 Java 中比较运算符包括 大于(>)、大于等于(>=)、等于(==)、小于(
2024-03-29 11:52:39
806
原创 初步了解JavaSE
Java SE(Java Standard Edition,Java标准版)是Java技术的核心和基础,它是Java ME和Java EE编程的基础。Java SE是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台的总称。Java SE提供了一个程序开发环境,包括编译器等开发工具、软件库及Java虚拟机(JVM)。这个环境支持跨平台、动态的Web、Internet计算,推动了Web的迅速发展。
2024-03-29 11:29:20
784
原创 OSPF GTSM(通用TTL安全保护机制)
GTSM(Generalized TTL Security Mechanism),即通用TTL安全保护机制。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,对IP层以上业务进行保护。
2024-03-26 15:48:46
870
原创 OSPF IP FRR(Fast reroute)
OSPF IP FRR(Fast reroute)是动态IP FRR,由OSPF利用全网链路状态数据库,预先计算出备份路径,保存在转发表中,以备在故障时提供流量保护,可将故障恢复时间降低到50ms以内。OSPF IP FRR当前是遵循RFC5286(Basic Specification for IP Fast Reroute Loop-Free Alternates) 协议,可为流量提供链路和节点的保护。
2024-03-26 15:33:59
2360
原创 IPV6协议之RIPNG
RIPng是一种较为简单的内部网关协议,是RIP在IPv6网络中的应用。RIPng主要用于规模较小的网络中,比如校园网以及结构较简单的地区性网络。由于RIPng的实现较为简单,在配置和维护管理方面也远比OSPFv3 和IS-IS for IPv6容易,因此在实际组网中仍有广泛的应用。随着IPv6网络的建设,同样需要动态路由协议为IPv6报文的转发提供准确有效的路由信息。因此,IETF在保留了RIP优点的基础上针对IPv6网络修改形成了RIPng(RIP next generation,下一代RIP协议)
2024-03-23 17:54:49
1083
原创 IPV6协议之DHCPV6
DHCPv6是一种运行在客户端和服务器之间的协议,与IPv4中的DHCP一样,所有的协议报文都是基于UDP 的。但是由于在IPv6中没有广播报文,因此DHCPv6使用组播报文,客户端也无需配置服务器的IPv6地址。客户端侦听的UDP目的端口号是546。服务器、中继代理侦听的UDP端口号是547。IPv6协议具有地址空间巨大的特点,但同时长达128比特的IPv6地址又要求高效合理的地址自动分配和管理策略。手动配置。
2024-03-23 17:16:57
4069
原创 IPV6的基础配置
全球单播地址类似于IPv4公网地址,提供给网络服务提供商。1. 执行命令system-view,进入系统视图。2. 执行命令ipv6,使能IPv6报文转发功能。缺省情况下,IPv6报文转发功能处于未使能状态。3. 执行命令interface interface-type interface-number,进入接口视图。4. 执行命令ipv6 enable,使能接口的IPv6功能。缺省情况下,接口的IPv6功能处于未使能状态。手工配置的全球单播地址的优先级高于自动生成的全球单播地址。
2024-03-20 18:01:03
3137
原创 Path MTU(路径最大传输单元)
在IPv4网络中,报文如果过大,则需要分片进行发送,所以在每个节点发送报文之前,设备都会根据发送接口的最大传输单元MTU(Maximum Transmission Unit)对报文进行分片。在IPv6中,如果报文较大,超出中间链路的MTU,这时分片会增加中间设备的压力,所以IPv6协议中规定中 间转发设备不能对IPv6报文进行分片,而将报文的分片将在源节点进行,分片重组在目的节点进行。当中间转发设备的接口收到一个报文后,如果发现报文长度比转发接口的MTU值大,则会将其丢弃;
2024-03-20 17:28:43
1004
原创 IPV6协议之邻居发现协议NDP
邻居发现协议NDP(Neighbor Discovery Protocol)是IPv6协议体系中一个重要的基础协议。邻居发现协议 替代了IPv4的ARP(Address Resolution Protocol)和ICMP路由器发现(Router Discovery),它定义了使 用ICMPv6报文实现地址解析,邻居不可达性检测,重复地址检测,路由器发现,重定向以及ND代理等功能。
2024-03-17 22:42:10
4029
原创 ICMPV6报文详解
ICMPv6(Internet Control Message Protocol for the IPv6)是IPv6的基础协议之一。在IPv4中,Internet控制报文协议ICMP(Internet Control Message Protocol)向源节点报告关于向目的地 传输IP数据包过程中的错误和信息。它为诊断、信息和管理目的定义了一些消息,如:目的不可达、数据包 超长、超时、回应请求和回应应答等。
2024-03-17 20:30:41
2362
原创 IPV6报文详解
首先IPV6是属于网络层的一种协议,作为下一代IP协议,而想要学习一种协议就必不可少的需要去具体的研究协议报文中的各个参数以及其对应的功能作用。
2024-03-15 15:30:22
3007
原创 IPV6地址详解
例:FC00:0000:130F:0000:0000:09C0:876A:130B,这是IPv6地址的首选格式。址转变为了一种特殊形式的IPv6地址:"X:X:X:X:X:X:d.d.d.d" , 其中"X:X:X:X:X:X"的前80位设为0,后16。IPv6地址总长度为128比特,表示为"X:X:X:X:X:X:X:X", 每个X代表4个十六进制值字符,以冒号分隔,通常分。每组中的前导“0”都可以省略,所以上述地址可写为:FC00:0:130F:0:0:9C0:876A:130B,注,只有每组。
2024-03-15 14:27:19
7015
原创 Wireshark使用教程
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制。
2024-03-13 17:23:34
1633
2
原创 9个计算机的“网络层”知识点
因为 RIP 协议中的度量值其实就是跳数,而 RIP 协议的跳数最大是 15,大于 15 的目的地被认为是不可达,所以当其度量值为 16,就表示这是一个无效路由,这就是所谓的路由中毒,这个数字在限制了网络大小的同时也防止了一个叫做 “记数到无穷大” 的问题。然后再将中毒路由信息发布出去,当相邻的路由器收到该中毒路由就可以通过其度量值是 16,说明该路由是无效的。DCHP 服务器收到后,会分配一个 IP 地址,但因为不知道发给谁,所以也只能 “广播”,告诉大家 “我这有个 ip,刚才谁要的,自己来领一下”
2024-03-13 16:47:22
1043
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人