Web安全
文章平均质量分 87
网络安全观察
这个作者很懒,什么都没留下…
展开
-
网络安全零基础自学之路,别拜师了,求人不如求己
网安是一路探索的,无论选择何种方式入行,工作里还有太多知识与领域,是我们学习中接触不到的(无论你是培训还是自学),我所罗列或者机构罗列的知识点的深度,不过是让你能勉强胜任工作,大片大片的工作空白,无论广度和深度,都需要我们来体验。一踏网安界,安稳是路人。你想好了吗?生命不息学习不止。原创 2023-02-08 17:53:41 · 268 阅读 · 0 评论 -
WAF攻防之SQL注入篇
大多数WAF以规则匹配为基础进行安全防护,少数WAF带有自学习能力,规则维护成为WAF的核心。近年来,基于语义识别的WAF陆续出现,对其防护能力的研究也成为大家关心的热点之一。本文以MySQL为研究对象,总结相关WAF注入绕过技术,通过实战演练让大家了解各大WAF的相关特性,最后从攻防角度对WAF安全进行总结。原创 2023-02-07 17:52:48 · 759 阅读 · 0 评论 -
深入理解web安全攻防策略
原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的原创 2023-02-03 10:00:00 · 409 阅读 · 0 评论 -
超低成本DDoS攻击来袭,看WAF如何绝地防护
网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,最终导致目标网络与业务的瘫痪;这类DDOS攻击,工作在OSI模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的原创 2023-02-02 09:15:00 · 292 阅读 · 0 评论 -
SSTI漏洞原理及渗透测试
SSTI漏洞原理及渗透测试原创 2023-02-01 08:45:00 · 408 阅读 · 0 评论 -
Mysql等保2.0测评
1、是否对用户进行角色划分且只授予账号必须的权限,除root外,任何用户不应该有mysql库user表的存取权限,禁止将fil、process、1、查看root用户是否被删除或者重命名,不修改需要增加口令复杂度,避免空口令弱口令出现。2、访谈管理员并核查访问控制粒度主体是否为用户级,客体是否为数据库表级,基本都满足。2、查看用户权限表,并验证用户是否具有自身角色外的其他用户的权限。2、询问管理员是否不同用户采用不同账户登录,避免共享账户的存在。1、使用命令查看,是否为登录的用户创建了不同账户和权限。原创 2023-01-31 09:00:00 · 4611 阅读 · 0 评论 -
GShell:一款灵活可扩展的跨平台Shell生成器
GShell是一款功能强大且支持灵活扩展的跨平台Shell生成器,在该工具的帮助下,广大研究人员可以随意生成针对任意平台的任何Shell,并实现完全的自动化和管理控制功能。Bind-Shel:目标需要有一个监听端口,然后我们连接到目标主机;注意:你可以添加你自己使用了其他协议的Shell,比如说DNS。Shell相关的内容存储在markdown文件中,支持随意修改。反向Shell:我们又一个监听端口,让目标连接到我们的设备;Base64/32/16编码:绕过字符串/关键字过滤器;本项目的开发与发布遵循。原创 2023-01-30 16:28:54 · 543 阅读 · 0 评论 -
Web安全:什么是CSRF攻击?要如何来防范
面试官:给我讲讲网站常会受到哪些攻击,怎么去防范呢我:比如XSS攻击,SQL注入等还有CSRF。面试官:好,你给我详细说说CSRF吧。我:💥💥。。。。跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。原创 2022-12-09 21:38:49 · 109 阅读 · 0 评论 -
【2023最新】网络安全工程师学习路线&规划,超多思维脑图保姆级教程!
近几年,随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,丰富的应用场景下暴露出越来越多的网络安全风险和问题。但是,我国网络安全整体投入不高。网络安全建设方面,国内网络安全投入占信息化的投入比例大概不到百分之3%,而欧美等发达国家均在10%以上,甚至有的超过了15%。我们无论是在投资规模,应对网络安全的认知等方面,我们与国外差距非常大。这与我们数字化依赖程度相比,还是一个非常大的反差。据腾讯安全《2017上半年互联网安全报告》显示,近年我国高校教育原创 2022-12-07 20:27:41 · 330 阅读 · 1 评论 -
WAF攻防之SQL注入篇
对已知的WAF相关绕过技术,总结如下,网上已有相关技巧的讲解,这里就不一一演示,不明白的可以自己查询相关资料:转存失败重新上传取消在实际攻击场景中,单一的绕过技巧往往无效,需要我们综合利用各种绕过技术进行组合,结合各自WAF特性不断进行推理,才能真正实现绕过。从攻击者角度来看,绕过WAF的基本方法其实不多,如何把这些已知方法融合起来,并结合各自WAF本身的防护特性,不断进行推理,成为突破WAF防护的关键。当然,自动化Fuzz才是WAF Bypass新技术产生的正道。原创 2022-12-02 18:21:48 · 596 阅读 · 0 评论 -
黑客零基础入门:手把手带你实现简单的QQ/邮件攻击,注册表/系统安全防护,学不会请给我只因木马
毋庸置疑,互联网已经深入人们日常生活和工作的各个角落,人们在享受网络带来的便利的同时,多数网民都在面临着不同程度的网络安全的威胁。很多人对黑客攻防感到“畏惧”,觉得其过于复杂,他们基本不懂如何让电脑更安全,或者如何能有效防范黑客的攻击。黑客攻防真的这么难学吗?原创 2022-12-01 21:35:30 · 1046 阅读 · 0 评论 -
常见 Web 安全攻防总结
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。原创 2022-11-30 17:58:04 · 416 阅读 · 0 评论 -
快报:工信部通报38款侵害用户权益的APP | 俄罗斯对保加利亚发起网络攻击
欧洲刑警组织称,“该犯罪团伙专门以支持无钥匙启动系统的车辆为目标,他们使用的黑客工具原本被作为汽车诊断解决方案销售,可用于替换车辆的原始软件,能够在未拿到车钥匙的情况下打开车门并启动点火装置。近日,以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。该公司透露:“这种错误配置可能导致未经身份验证,却可以访问与微软和潜在客户之间的某些业务交易数据 ”雷德蒙德补充说,数据泄漏是由“在微软生态系统中未使用的端点上的错误配置”引起的,并不是安全漏洞。原创 2022-11-26 14:46:25 · 224 阅读 · 0 评论 -
如何正确的进行网站入侵渗透测试
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。一 、信息收集要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等二、收集目标站注册人邮箱1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。原创 2022-11-25 17:58:09 · 455 阅读 · 0 评论 -
一文搞懂Web安全:安全概念/攻防案例/学习路线
本文介绍了 Web 安全的基本概念,以及大量的攻防技巧,其实这只是 Web 安全中的冰山一角,如果你对此感兴趣,不妨在安全领域继续深耕学习,一定能看到更广阔一片天。对于一个开发者来说,我们应该在写代码时就将安全考虑其中,形成自己的一套安全开发体系,做到心中有安全,时时考虑安全,就能无形之中化解不法分子的攻击。原创 2022-11-23 10:16:48 · 566 阅读 · 0 评论