- 博客(14)
- 收藏
- 关注
RSS订阅原创 初探深度学习-手写字体识别
手写数字的神经网络识别通常指的是通过训练有素的神经网络模型来识别和分类手写数字图像的任务。这种类型的任务是机器学习和计算机视觉领域的一个经典问题,经常作为入门级的图像识别问题来展示和测试各种机器学习算法的能力。在实际应用中,手写数字识别可以用于处理和分析用户书写的数字信息,比如自动识别和输入手写数字文档中的数据,或者用于教育领域的练习评分系统,其中系统可以自动识别学生书写的数学题答案并提供反馈。MNIST数据集是手写数字识别中最常使用的数据集之一。
2024-03-06 16:01:41
527
原创 账户名密码是怎样被窃取的,简单模拟攻击者权限维持流程。
在我们进行渗透测试的时候,常常需要进行权限维持,常见的Javascript窃取用户凭证是一种常见的攻击手法。之前我们可能学习过钓鱼网页的使用,如果我们通过渗透测试进入到用户的服务器,其实也可以通过在网页中植入Javascript代码的方式来达到权限维持的效果。本篇文章通过分析Javascript用户凭证窃取,来分析如何进行权限维持。
2024-02-27 16:02:31
604
原创 从浏览器组件出发,理解Javascript工作流程
在我们渗透测试的过程中,做抢购软件的过程中,通常会需要用到爬虫,因此我们在本系列笔记中主要去学习 JS 爬虫的原理及反爬虫以及 JS 逆向相关的知识点。
2024-02-20 16:29:58
905
原创 十分钟,带你看懂JWT(Json Web Token)
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWT,JWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
2024-02-20 01:41:07
1185
原创 靶场配置-Java靶场WebGoat配置
WebGoat是一个用于教授Web应用程序安全性的教育性Web应用程序。它设计用来作为安全练习的平台,允许信息安全爱好者和专业人士学习和实践各种Web安全漏洞的利用和防御技巧,如SQL注入、跨站脚本(XSS)、会话管理漏洞等。WebGoat靶场通常包含一系列逐渐增加难度的挑战,每个挑战都模拟了一个真实的Web应用程序安全漏洞。用户可以通过渗透测试这些漏洞来提高他们对网络安全威胁的理解。它是网络安全教育中常用的工具之一,用于合法地学习和提高技能。
2024-02-19 23:26:48
216
原创 一些基本PHP函数的安全问题
在我们进行 CTF 比赛中,经常会看到一些关于 PHP 代码审计的题目,这些题目的意义是旨在帮助我们练习提升代码审计能力。那么本篇文章,着重去记录关于 PHP 中重点的函数、运算符等相关知识点,从代码层面上记录其与安全性有关的知识点。本篇文章中我们总结了PHP。
2024-02-16 23:47:06
877
1
原创 安全专家之路-安全治理与常见策略
本篇文章是CISSP系列的第二篇文章,属于“域一 安全与风险验证” 中的内容,本篇文章会尽可能以简单而又严谨的内容讲解关于实现安全治理的原则与策略,这对我们后面学习理解其他七个域会提供很大的帮助。文章主体介绍四部分内容,分别是安全管理简单介绍,及安全管理中常见注意点及名词,它们分别是变更管理、数据分类、威胁建模。
2024-02-11 01:41:06
366
原创 如何让你的会话更安全,浅析Session与Cookie
在我们面试的时候,面试官问及 XSS 漏洞的时候,我们常常会说比如劫持 Cookie,问及防御方法的时候,又常常会说设置httponly,本篇文章将从代码层面简单的普及 Session 和 Cookie 的生成过程,及防御的方法,希望看到这篇文章后,下一次遇到面试官的时候,你能够自豪的跟他说我知道防御 XSS 漏洞,能够把流程讲清楚,把原理讲明白!
2024-02-10 23:13:39
917
原创 你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。
2024-02-10 01:05:45
1301
原创 安全专家之路-基本的安全概念
本篇文章是CISSP系列的第一篇文章,属于“域一 安全与风险验证” 中的内容,本篇文章会尽可能以简单而又严谨的内容讲解关于实现安全治理的原则与策略,这对我们后面学习理解其他七个域会提供很大的帮助。文章主体介绍四部分内容,分别是信息安全的三要素、失败的安全控制、AAA认证和常见的保护机制,希望本篇文章能够对读者有所帮助。
2024-02-08 23:07:57
1055
1
原创 PHP的文件上传漏洞的前因后果
文件上传是常见的网络服务提供点,我们面对文件上传的时候,其实思路不只是去拿到Webshell,也可以根据其服务提供的特点,尝试去挖掘XSS或者其他方面的漏洞,不失为一种好的选择,本篇文章对文件上传的PHP代码的基础做了详细的介绍,旨在告诉初学者常见的文件上传类型及原理,开发者是如何部署文件上传服务的,以及如何常见的过滤手法是什么,希望这篇文章能够对初学者有所帮助
2024-02-07 21:58:56
1161
原创 一文搞清楚SQL注入的基础
在数据交互中,前端的数据传入到后台处理时,由于后端没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。
2024-02-07 17:49:11
610
原创 ARL资产巡航系统安装排错及指纹导入
最近在挖掘漏洞的过程中需要重新部署 ARL,发现 ARL 已经不像之前那样容易部署,期间遇到过docker-compose 下载问题、docker-daemon 镜像问题、ipv4 forwarding 转发问题,因此记录本帖下载一段简单方便的 ARL 安装流程。ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
2024-02-03 21:32:32
1100
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人