繁森凉人-CSDN博客

繁森凉人

码龄2年

IP 属地：湖北省

查看详细资料

个人成就

获得8次点赞
内容获得1次评论
获得55次收藏

创作活动更多

如何做好一份技术文档？

无论你是技术大神还是初涉此领域的新手，都欢迎分享你的宝贵经验、独到见解与创新方法，为技术传播之路点亮明灯！

175人参与去创作

搜TA的内容

什么是CISP-ICSSE？到底该不该考？

整个注册信息安全专业人员-工业控制系统安全工程师(CISP-ICSSE)知识体系结构中，共包括工业控制系统技术基础、信息安全技术基础、工业控制系统信息安全分析、工业控制系统信息安全相关法规与标准、工业控制系统信息安全关键技术及应用、工业控制系统信息安全保障这六个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。

发布博客 2023.01.13 ·

什么是CISP-IRS？考什么？

CISP-IRS 知识体系结构所包含的五个知识域，分别为:1、应急响应概况：主要包括应急响应介绍、应急事件分类、应急响应启动条件、应急响应目标、应急响应预案制定与一般处置流程相关的技术知识。2、应急响应基础：主要包括Windows 应急、Linux 应急、日志分析、应急响应工具配备和介绍相关的技术知识。

发布博客 2023.01.10 ·

CISP证书专栏 — CISP-IRE证书

证书持有人员主要从事信息安全技术领域应急响应工作，具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力。主要包括应急响应介绍、应急事件分类、应急响应启动条件、应急响应目标、应急响应预案制定与一般处置流程相关的技术知识。主要包括事件分析、制定应急响应计划、响应处置工作流程、应急响应报告编写、事件跟踪总结相关技术知识和实践。主要包括Windows 应急、Linux应急、日志分析、应急响应工具配备和介绍相关的技术知识。企业应急响应典型事件。

发布博客 2023.01.09 ·

什么是CISP-PTS？考什么？

注册信息安全专业人员-渗透测试专家，英文为Certified Information Security Professional - Penetration Testing Specialist ，简称CISP-PTS。证书持有人员主要从事漏洞研究、代码分析工作，具备对多种攻击方式的技术方法较全面掌握、对最新网络安全动态跟踪研究以及策划解决方案能力。

发布博客 2023.01.06 ·

什么是CISP-PTE证书？考什么？

CISP-PTE即注册信息安全渗透测试工程师，英文为 Certified Information Security Professional – Penetration Test Engineer ，简称 CISP-PTE。

发布博客 2023.01.05 ·

什么是CISP？

CISP即"注册信息安全专业人员"，系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP)，CISP系经中国信息安全测评中心实施国家认证。

发布博客 2023.01.04 ·

Nginx中间件漏洞分析

对于任意文件名，在后面添加/xxx.php（xxx为任意字符）后,即可将文件作为php解析。该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。可将任意文件后缀解析成攻击者可控的，进而控制服务器。

发布博客 2022.12.29 ·

Jboss中间件两大漏洞分析

反序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，ObjectInputStream类的readObject()方法用于反序列化。

发布博客 2022.12.28 ·

IIS中间件四大漏洞分析

关于IIS中间件四大漏洞的漏洞原理，漏洞危害，检测条件，检测方法，和修复建议的简要介绍。

发布博客 2022.12.27 ·

Apache中间件漏洞

Apache中间件漏洞的原理，漏洞危害，检测条件，检测方法和修复建议的简要介绍。

发布博客 2022.12.26 ·

通过子域名查询真实ip地址

方法解析：目标站点中的任何一个子域名都需要通过DNS服务建立域名与IP映射，DNS记录将被DNS服务提供商记录。通过查询子域名DNS记录，有机会获取并推测目标站点使用的真实IP地址信息。

发布博客 2022.12.08 ·

理由第三方搜索引擎查找真实ip

网络空间搜索引擎，通过对网络空间进行测绘，能够帮助研究人员或用户快速进行网络资产搜索匹配工作，帮助安全测试人员快速发现及识别目标资产。常用的网络空间搜索引擎工具主要包括FOFA，Shodan，Censys等。

发布博客 2022.12.07 ·

获取站点真实IP地址-多地点Ping方法

当站点采用CDN架构进行部署时，则用户在访问网站时，请求需要经CDN节点进行处理，随后在根据CDN节点提供的访问接入服务器信息，访问站点并获取站点提供的服务。通常情况下CDN节点将会根据请求客户端的地理位置，选取地理位置距离客户端最近的访问接入服务器，为用户或客户端提供服务。

发布博客 2022.12.06 ·

XYHCMS 3.2后台任意文件下载漏洞

很多网站由于业务需求，往往需要提供文件(附件)下载的功能块，但是如果对下载的文件没有做限制，直接通过绝对路径对其文件进行下载，那么，恶意用户就可以利用这种方式下载服务器的敏感文件，对服务器进行进一步的威胁和攻击。

发布博客 2022.12.05 ·

RuoYi v4.2 Shiro反序列化漏洞

反序列化漏洞是基于序列化和反序列化的操作，在反序列化——unserialize()时存在用户可控参数，而反序列化会自动调用一些魔术方法，如果魔术方法内存在一些敏感操作例如eval()函数，而且参数是通过反序列化产生的，那么用户就可以通过改变参数来执行敏感操作，这就是反序列化漏洞。

发布博客 2022.12.02 ·

PHPCMS v9本地文件包含漏洞Getshell

文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行，并得到网站配置或者敏感文件，进而获取到服务器权限，造成网站被恶意删除，用户和交易数据被篡改等一系列恶性后果......

发布博客 2022.12.01 ·

myshop网上商城后台存储型XSS漏洞

xss漏洞原理：攻击者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里，导致用户访问页面展示的内容时直接触发攻击者的代码。

发布博客 2022.11.30 ·

Bluecms v1.6万能密码登录后台

具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

发布博客 2022.11.29 ·

配置文件信息泄露

在目标主页中点击右键，查看网页源代码，搜索config字段或在源码中逐行查找，分析是否存在系统的配置信息或配置文件路径信息。攻击者通过配置信息泄露获取敏感数据，为进一步攻击创造条件，设置通过泄露的配置直接控制数据库或网站。

发布博客 2022.11.24 ·

备份文件泄露

应用在开发测试及运行过程中，应用中会遗留过时文件(bak文件、rar打包的源码等)、运维文件（log文件等）、备份源码（如SVN、git等）、渗透测试遗留文件（测试webshell等）、开发文件等敏感信息，可通过浏览器直接访问下载。

发布博客 2022.11.23 ·