- 博客(1882)
- 收藏
- 关注
RSS订阅原创 第六十一天 服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-07-26 12:17:57
135
原创 第65天:API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService
思维导图前置知识案例一:WebService 类-Wsdl&ReadyAPI-SQL 注入案例二:SOAP 类-Swagger&SoapUI&EXP-信息泄露案例三:HTTP 类-WebPack&PackerFuzzer-信息泄露。
2024-07-26 12:16:19
166
原创 第61天-服务攻防-中间件安全&;CVE 复现&;K8s&;Docker&;Jetty&;Websphere(1)
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-07-26 12:15:38
247
原创 第60天-服务攻防-中间件安全&CVE 复现&Weblogic&&Jboss&Jenkins&GlassFish
这节课也是以CVE漏洞复现为主,复现了一些比较常见的中间件漏洞。有一说一漏洞复现非常艰难,大体上都是环境配置问题。好在复现成功后非常有成就感,也能在不知不觉中提高动手能力。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
2024-07-26 12:15:01
163
原创 从零开始的网络安全--Windows系统安全(1)
用户账户用来记录用户的用户名和口令、隶属的组等信息每个用户账户包含唯一的登录名和对应的密码不同的用户身份拥有不同的权限操作系统根据SID识别不同用户每个用户拥有唯一安全标识符(SID)用户权限通过用户的SID来记录查看命令为:whoami /user~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈!
2024-07-25 12:42:21
833
原创 Weblogic安全漫谈(三)
本篇介绍中的漏洞利用链及后续绕过。经历2015到2018的3年迭代后,Weblogic的黑名单逐渐完善,废掉CC反序列化更是釜底抽薪。另一方面也促使研究员去挖掘新组件新利用链,这篇介绍的就是@testbnull在发现Spring写文件链后[1],继续挖掘出中的漏洞利用链及后续绕过。因为10.3.6默认没有启用coherence,我们用12.2.1.3作为调试环境。
2024-07-25 12:41:34
513
原创 Web3安全警示丨OKX最新发布:链上防钓鱼安全交易指南
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-25 12:40:05
825
原创 Web 攻防之业务安全:验证码绕过测试.(修改数据包中 res_code 的值 实现绕过.)
此时 res_code 的值为1,为了证明认证码错误时 res_code 的值为1,我们将返回的数据包中 res_code。第三步:点击 Forword (放包) 后,在 Burp Suite 工具里显示的就是网站返回的数据包,因此我们填写的手机验证码 “33333”此时 res_code 的值为1,为了证明认证码错误时 res_code 的值为1,我们将返回的数据包中 res_code。13333333333 ” 这个验证码的真实验证码,我们随机填写一个验证码“ 33333 ”.**
2024-07-24 17:30:22
948
原创 Web 安全之路径遍历攻击详解
路径遍历攻击的核心原理在于利用目标系统处理用户输入时的不安全或疏忽行为,尤其是当应用程序接受用户提供的文件名或路径,并据此进行文件操作(如读取、写入或执行文件)时。攻击者会提交精心构造的恶意路径,其中包含了特殊的字符序列或编码,使得原本应该在限定目录下的文件操作跨越了预设边界,进而访问到服务器文件系统的其他位置。
2024-07-24 17:29:00
628
原创 Web 安全之点击劫持(Clickjacking)攻击详解
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
2024-07-24 17:27:22
511
原创 Web 安全之 Permissions Policy(权限策略)详解
Permissions Policy 为 web开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
2024-07-24 17:26:16
775
原创 Web 安全之 CSV 注入攻击详解
CSV 是一种简单的文件格式,用于存储表格数据,每行一个数据记录,每个记录由逗号分隔的多个字段组成。CSV文件因其简单性和跨平台性而被广泛使用,在数据导出和导入中尤其常见。CSV 注入攻击是攻击者通过某些方式在 CSV 文件中注入恶意的代码,并利用电子表格软件处理 CSV文件时的特性来执行恶意代码实现非法操作的攻击方式。这种攻击通常发生在应用程序在处理 CSV文件时,没有正确地校验或转义用户输入的特殊字符,从而被攻击者利用在 CSV 文件中注入恶意代码。
2024-07-24 17:25:18
542
原创 Web 安全 PHP 代码审查之常规漏洞_rips工具漏洞利用生成的php代码如何使用(3)
这些是seay 第一个版本的部分功能,现在最新版本是2.1。
2024-07-24 17:24:40
337
原创 IPsec、安全关联、网络层安全协议
IPsec:IP security,IP 安全。·IPsec 不是一个单一协议,而是能够在 IP 层提供互联网通信安全的协议族。·IPsec 是个框架:允许通信双方选择合适的算法和参数(例如,密钥长度)。·为保证互操作性,IPsec 还包含了所有 IPsec 都必须实现的一套加密算法。IPsec 由三部分组成IP 安全数据报格式:两个协议-鉴别首部 AH (Authentication Header) 协议·AH 协议提供源点鉴别和数据完整性,但不能保密。
2024-07-23 11:50:30
1004
原创 HTTPS是如何保证安全的,web前端开发工程师,前端开发自学技巧
整理面试题,不是让大家去只刷面试题,而是熟悉目前实际面试中常见的考察方式和知识点,做到心中有数,也可以用来自查及完善知识体系。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】《前端基础面试题》,《前端校招面试题精编解析大全》,《前端面试题宝典》,《前端面试题:常用算法》!x-oss-~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈!
2024-07-23 11:47:28
712
原创 FCIS 2023网络安全创新大会:洞察前沿技术,探索安全新境界(附大会核心PPT下载)
FCIS2023网络安全创新大会是全球网络安全领域最具影响力的年度盛会之一。本次大会以“洞察前沿技术,探索安全新境界”为主题,旨在促进全球网络安全技术的交流与合作,推动网络安全行业的创新与发展。大会设有多个主题论坛、技术研讨、创新展示和互动体验区,涵盖了网络安全技术的各个方面,包括云计算安全、物联网安全、人工智能与机器学习在网络安全中的应用、区块链技术在网络安全领域的创新等。与会者将有机会与业界领袖面对面交流,共同探讨网络安全领域的挑战与机遇。
2024-07-22 17:21:43
622
原创 FastAPI完全指南:实现高效、安全的Web开发
在快速发展的互联网时代,高效的Web开发变得尤为重要。Python作为一门广受欢迎的编程语言,其众多Web框架中,FastAPI凭借其出色的性能和易用性,成为了一个炙手可热的选择。FastAPI是一个用于构建API的现代、高性能的Web框架,它基于Python3.6+的类型提示,提供了快速、直观且易于学习的API开发体验。响应类型FastAPI允许你定义多种响应类型,包括JSON、HTML、纯文本等。return “文档定制FastAPI允许你自定义这些文档的一些方面,如标题、描述和版本号。
2024-07-22 17:20:16
533
原创 Docker-bench-security安全CIS基准测试工具
Docker-bench-security安全CIS基准测试工具介绍使用Docker来容纳您的应用程序和服务可以为您提供开始即用的一些安全优势,但默认的Docker安装仍然有一些空间可用于一些与安全相关的配置改进。在为了促进互联网安全创造了。随后,Docker团队发布了一个安全审计工具- Docker Bench forSecurity,在Docker主机上运行此清单并记录它发现的任何问题。在本教程中,我们将安装Docker Bench for Security,然后使用它来评估Ubuntu。
2024-07-22 17:19:09
885
原创 Day66:WEB攻防-Java安全&;SPEL表达式&;SSTI模版注入&;XXE&;JDBC&;MyBatis注入
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-07-22 17:18:06
929
原创 CTF比赛必备常用工具
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
2024-07-22 14:33:58
570
原创 5. Windows安全 —— DNS域名解析及WEB服务
域名系统互联网中用于将域名转换为对应IP地址的分布式命名系统:(将人类可读的域名转换为机器可识别的IP地址)帮助用户快速定位和访问目标网站或服务:DNS协议默认使用UDP进行通信,端口号53A/AAAA为正向解析(名字 🡆 IP),PTR为逆向解析(名字 🡄 IP):域名解析主要使用的是基于主机文件的解析方法:当用户在浏览器中输入一个网址时,系统会首先查找本地主机文件(hosts file)来获得域名对应的 IP 地址:当用户输入一个域名时,操作系统会首先查询本地 DNS 缓存是否有相应的记录。
2024-07-21 13:01:01
603
原创 3个黑客伪装网站
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里第三种就是去找培训。
2024-07-21 13:00:26
802
原创 1.1 信息安全与网络空间安全 - 保障您的在线安全
定义:信息是通过传递和处理的方式,用于传达知识、事实、数据或观点的内容。形式:信息是无形的,可以以多种形式存在,如在姓名、邮箱、身份证号码、工作单位、驾照号码、家庭成员、家庭地址、手机号码等介质中。传递:信息可以通过通信系统进行传输和处理。价值:信息可以包含有价值的内容,能够改变人们的认识、理解和行为。存储:信息可以存储在不同的介质中,如计算机、磁带、纸张等。记忆:信息也可以存在于人的大脑中,即记忆中。
2024-07-21 12:58:50
1002
原创 【运维安全】运维界葵花宝典:Nginx配置与优化秘籍
● Nginx 里有一个master进程和多个worker进程.master进程并不处理网络请求,主要负责调度工作进程:加载配置,启动工作进程及非停升级.worker进程负责处理网络请求与响应.● master进程主要用来管理worker进程,具体包括如下4个主要功能:接收来自外界的信号向各worker进程发送信号监控worker进程的运行状态当worker进程退出后(异常情况下),会自动重新启动新的worker进程● worker进程主要用来处理基本的网络事件:多个worker进程之间是对等其相互独立
2024-07-21 12:58:20
872
原创 【银行测试】第三方支付平台业务流,功能-性能-安全测试方法...
1、第三方支付平台的功能和结构特点在信用方面,第三方支付平台作为中介,在网上交易的商家和消费者之间作一个信用的中转,通过改造支付流程来约束双方的行为,从而在一定程度上缓解彼此对双方信用的猜疑,增加对网上购物的可信度。在技术层面,第三方支付平台承担安全保障和技术支持的作用,提供一系列的应用接口程序,支持多家银行的多卡种支付,将多家签约银行的支付方式整合到一个界面上,负责交易结算中心与银行的对接。
2024-07-21 12:57:26
972
原创 【小迪安全2023】第61天-服务攻防-中间件安全&CVE复现&K8s&Docker&uetty&Websphere
kubernetes简称k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。
2024-07-20 17:32:47
561
原创 【网络安全篇】php伪协议-漏洞及其原理
🏆今日学习目标:🍀学习php伪协议✅创作者:贤鱼⏰预计时间:35分钟🍁贤鱼的个人社区,欢迎你的加入🍁如果有需要可以查看下面文章。
2024-07-20 17:30:37
614
原创 【网络安全】文件包含漏洞--通过日志投毒getshell
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-20 17:29:28
218
原创 【网络安全】渗透测试之木马免杀
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-07-20 17:28:57
388
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人