自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

Keylion ,Your Hero

专注&热情&持续学习

原创 【Keyli0n 的座右铭】做难事必有所得

中国航天2020年连续两次发射失利,就在5月5日,长征B型新型火箭成功发射! 前几天看金一南教授的演讲,里面有一句话很触动我,“作难事必有所得”。 我写在这里,赠与每一个阅读我的博客的朋友。 无论是生活还是职场,从来不会是一帆风顺的,你付出了多少就值得多少回报 遇到不如意的事情,就...

2020-05-06 23:18:22 68 0

原创 【资源帖】漏洞平台(国内外)+企业SRC整理-持续更新

前言 不挖洞的安服工程师不是一个合格的白帽子,整理一波各大SRC平台的名单,欢迎评论补充,以供参考。 综合SRC平台-国内 1.漏洞盒子 2.补天平台 3.i春秋漏洞安全响应平台-SRC部落 综合SRC平台-国外 1.Hackone 各大企业SRC 1.YY安全应急响应中心 2...

2020-03-06 17:28:41 649 0

原创 【信息安全服务】APP测试之抓包详述

【前言】 随着移动端的普及,APP安全性检查显得越来越重要,而且APP测试作为渗透测试分类之一,也开始引起企业的重视。本章博客重点讲解测试前的准备工作,也就是抓包问题。此节内容以burp为例,其他工具类比即可。 不论是测试安卓APP(安装包后缀apk)还是IOS版APP(后缀ipa),需要做的...

2019-11-07 21:09:14 279 0

原创 【信息安全服务】深入学习CSRF-防御篇

前一篇博客传送门: 【信息安全服务】深入学习CSRF-攻击篇 【如何防御CSRF攻击 】 【验证码检验】 验证作为防御CSRF的简洁且有效的方式,也是应用比较广泛的防御手段之一。加入验证码,就是强制用户进行应用交互,这样可以有效遏制CSRF攻击。但是验证码只是一种辅助手段,不能最为...

2019-07-03 22:43:17 114 0

原创 【信息安全服务】深入学习CSRF-攻击篇

【CSRF简介】 CSRF(Cross Site Request Forgery),即跨站点请求伪造。是一种常见的Web攻击手段。 CSRF危害性在于,攻击者可以通过精心设置的页面,诱使用户访问,通过GET或者POST请求以用户的身份在第三方站点进行非法操作。 【CSRF攻击 本质】 CS...

2019-06-30 00:06:06 84 0

原创 【运维】Windows 2012 server 部署FTP 多用户权限服务详解

【新建FTP站点及配置】 第一步 安装IIS windows server 安装IIS + FTP 服务 傻瓜式操作 此处不再阐述。 第二步 设置FTP站点 图 1 添加ftp站点 图...

2019-04-12 11:39:39 3936 0

原创 【公益】 助力腾讯公益404页面 做一个有温度的网站

【❤让404充满温暖❤】 通常网站中的404页面指目标页面被更改或移除,或客户端输入页面地址错误后显示的页面。 在腾讯公司中一批温暖的志愿者设计了公益404。用技术温暖我们这个世界。 【❤核心代码❤】 只需要站长在自己的的404页面加入一段js代码就可以了。小小的一个举动可能会产生大大...

2018-09-15 16:17:32 2376 0

原创 【网络原理】整理 TCP/IP和OSI 模型各层协议及端口号

TCP/IP 协议参考模型OIS参考模型TCP/IP &OSI 协议模型对比 【总览】1.应用层网络协议(1)Telnet协议   端口号:23   是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力...

2018-03-10 22:58:38 3585 2

原创 【企业安全建设】企业网络安全建设中的具体要求(一)

【前言】 企业出于不同安全防护等级的考虑,一般都会将内网划会为办公网、生产网、测试网、互联网、外联网等不同的区域,之间通过防火墙进行隔离。本篇博文将介绍企业内网中各个网络区域的划分以及安全要求。 【企业内网安全规范】 ...

2020-06-17 22:38:56 76 0

原创 【红蓝对抗】常见攻击思路整理-思维导图

【前言】 未知攻,焉知防?本篇博文将介绍常见攻击思路,思维导图以1.信息收集——>2.外围打点——>3.内网信息收集——>内网权限获取的流程进行说明。 【思维导图】

2020-05-30 19:27:20 209 0

原创 【红蓝对抗】边界突破-思维导图

边界突破 红蓝对抗中,红方的攻击队常见的攻击思路是边界突破——>主机权限获取——>内网渗透——>获取靶机系统权限,本篇博文将利用思维导图直观介绍边界突破中可利用的几个点。 思维导图 ...

2020-05-30 17:24:47 153 0

原创 【信息安全服务】代码审计之反序列化漏洞分析

1.Java反序列化 序列化是用于将对象转换成二进制串存储起来,而反序列化则是相反,将二进制串转化为对象。Java的反射机制可以为日常开发提供众多遍历,但这样的设计同样存在安全风险。通过反射机制攻击者可以越过Java的静态检查和类型约束,直接访问并且修改目标对象的属性和状态。 ...

2020-03-15 23:11:22 70 0

原创 【信息安全服务】信息收集-Nmap的高效使用

1.nmap 常规使用(Linux平台) nmap [type] -p [port] -v [ip] [type] -sS / sT / sA / sW / sM:TCP SYN / Connect()/ ACK / Window / Maimon扫描 注:-sS 常用 [port] ...

2020-03-05 20:50:55 72 0

原创 【运维】centos 下批量提取同类型文件 并保留原始目录

1.关于 find 命令 find 指定路径/ -name "*.c" 查找指定路径下 属于.c后缀(其他文件类型大同小异)的文件 2.关于cp命令 将文件 filename 复制到目录/usr/tmp下,并改名为 newfilename cp filename ...

2020-03-03 20:04:41 78 0

原创 《网络安全威胁信息发布管理办法(征求意见稿)》解读

第一条为规范网络安全威胁信息发布行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,制定本办法。   第二条发布网络安全威胁信息,应以维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识为目的,不得危害国家安全和社会公共利益,不得侵犯公民、...

2019-11-20 15:56:24 496 0

原创 Everything HTTP服务缺陷:允许任何人远程访问本地文件

【漏洞原因】 Everything 作为一个文件检索工具,内置了一个HTTP服务器功能,可以实现用户本地或者局域网中的其他用户使用浏览器访问文件,并下载。 此次出现问题的是在公网环境中开放了HTTP服务的主机,如果没有开放此功能并不会有风险,所以不需要卸载Everything。 使用谷歌...

2019-10-15 10:55:57 499 0

转载 【信息安全服务】神器Burpsuit的几款插件分享

0x00 前言 使用过burpsuite的同学们都知道,这个burpsuite有社区版(免费版) 和专业版(收费版,349美元一年), 在我们平时渗透测试当中,这个可是一把神器, 它和sqlmap 一样极其厉害,但它的主要作用以拦截和修改流量包和检测常见Web漏洞为主,其中也有常规的加密/解密...

2019-09-19 14:53:35 444 0

原创 【信息安全服务】代码审计之数据输入输出(二)

1.Xpath注入 (1)介绍Xpath Xpath注入问发生在网站使用用户的信息查询XML数据时,通过发送异常信息,攻击者可以获取到敏感信息。在如果是认证 报文,攻击者可能通过XML文件提升自己的网站权限。 (2).存在Xpath注入的原因 与SQL注入类似,存在Xpath注入的原因在...

2019-09-16 22:48:52 104 0

原创 【信息安全服务】代码审计之数据输入输出(一)

【前言】 由于接触Java项目较多,本篇博客主要介绍Java项目代码审计中的数据输入输出。 【正文】 1.SQL注入 一般来说产生SQL注入漏洞的原因是由于系统前端交互界面中的数据未“净化”,造成SQL语句的拼接,产生风险。 在代码审计中优先查找Select语句,判断查询的参数是否是前端...

2019-08-27 21:40:43 103 0

原创 【信息安全服务】Oracle学习笔记之root下执行sqlplus命令(一)

【前言】 今天配置核查了一天中间件,“收获”不少,虽然有点累但是生活还得继续不是? 【正文】 oracle 在root用户下登录,进入SQL界面,中间有个小坑,这里记录一下。 首先su - oracle 进入oracle 用户,这里有个小细节,su后面有一个“-” , 这条命令和su or...

2019-08-07 23:25:12 71 0

原创 【运维】巧妙设置本地网卡路由可以同时访问内外网

【前言】 搞测试的同学肯定会遇到测试内网环境的时候,但是一般内网是无法进行公网访问的(甭问,不敢说 >0<),那么就需要本地做设置来实现内外网访问。 [原理分析] 网关(Gateway)又称网间连接器、协议转换器。是决定数据包出口的关键环节,其中默认网关,就是数据包默认选择的出口...

2019-04-25 12:02:54 474 0

原创 【信息安全服务】关于XSS 详细整理

【前言】 进无止境不应该也不能是一句口号。 Xss url 验证 http://xxxxxx/connector/more?type=5123%3C%2fscript%3E%3Cscript%3Ealert(123)%3C/script%3E 注:5123%3C%2fscript%3E%3...

2019-04-21 22:28:50 103 0

原创 【信息安全服务】Sqlmap 常用命令总结

注入六步: 1. 查询是否存在注入点 sqlmap -u "http://www.xx.com?id=x" 2. 检测站点包含哪些数据库 --dbs 3.获取当前的数据库名 --current-db 4.获取指定数据库中的表名 -D后接...

2019-04-21 22:26:03 124 0

原创 【信息安全服务】SQLMap 工具参数

1.测试注入点权限 sqlmap.py -u [URL] --privileges // 测试所有用户的权限 sqlmap.py -u [URL] -- privileges -U sa //测试sa用户权限 注:SQLmap命令区分大小写,-u和-U是两个参数 2.执行Shell命令...

2019-03-17 22:13:30 124 0

原创 【服务器运维】Ubuntu 18.04 修改主机名和网卡IP

Ubuntu 18.04 相关配置变动整理 区别1 修改主机名 之前的版本可以直接在 etc/hostname 中 直接修改,但是新的版本有改动 vim /etc/cloud/cloud.cfg 需要将 preserve_hostname 修改为true vim /etc/...

2019-03-14 09:57:29 926 0

原创 【运维】 服务器数据库 SQL语句整理(三)

1.按姓氏笔画排序:   Select * From TableName Order By CustomerName Collate Chinese_PRC_Stroke_ci_as //从少到多 2.数据库加密: select encrypt('原始密码') ...

2019-01-25 18:01:14 173 0

原创 【运维】 服务器数据库 SQL语句整理(二)提升篇

1、说明:复制表(只复制结构,源表名:a 新表名:b) (Access可用)法一: select * into b from a where 1&lt;&gt;1 (仅用于SQlServer)法二: select top 0 * into b from a 2、说明:拷...

2019-01-25 17:43:50 144 0

原创 【运维】 服务器数据库 SQL语句整理(一)

前言 短暂面试故几家公司后,深刻认识到自己学习知识的不足,遂决心好好复习之前的Linux、SQL等内容。 正文 1.基础语句 1、说明:创建数据库   CREATE DATABASE database-name 2、说明:删除数据库   drop database dbname ...

2019-01-25 17:32:45 221 0

原创 【运维】Linux 常用命令整理(四)

内容:远程传输 远程传输文件   [root@web1 ~]# scp -r /var/www/html/* 192.168.10.200:/var/www/html/ nginx升级 [root@web1 ~]# tar xf nginx-1.12.2.tar.gz [root@we...

2019-01-24 21:00:29 127 0

原创 【运维】Linux 常用命令整理(三)

内容:数据库基本操作、DNS设置、磁盘分区及挂载 1.连接数据库 [root@www ~]# mysql -h127.0.0.1 -uroot -p    修改数据库密码   [root@www ~]# mysqladmin -uroot password '123456&#...

2019-01-24 20:47:00 132 0

原创 【运维】Linux 常用命令整理(二)

内容:LAMP环境部署、虚拟主机添加、DNS设置 1、LAMP Linux apache mairadb php    平台安装 [root@localhost ~]# mount /dev/cdrom /mnt/cdrom/ [root@localhost ~]# yum -y insta...

2019-01-24 20:43:25 143 0

原创 【运维】Linux 常用命令整理(一)

内容:用户管理、解压缩、文件权限、YUM仓库配置、光盘镜像挂载、服务自启、网络静态IP配置 1、用户管理     用户密码修改     非交互式: [root@localhost ~]# echo '123456' | passwd --stdin root 用户uID...

2019-01-24 20:39:36 297 0

原创 【运维】wordpress更换服务器详细搬家教程

【前言】 博主实在是被阿里云的云翼计划恶心到了,说好的续费同价(9.9/月),到现在却变成了原价续费(120多/月),学生党真心伤不起。提交工单居然说优惠只能享受一次,当初宣传的时候可是说优惠持续到毕业的。呵呵了。感觉阿里就是想圈钱,等你把网站全部部署完成后,恢复原价,倒逼你来花高价钱续费。对学...

2018-10-02 13:36:56 6640 5

原创 【网络安全】LNMP环境下部署Zabbix

1.Zabbix简介 Zabbix是一个高度集成的监控解决方案,可以实现企业级的开源分布式监控, Zabbix通过C/S模式采集监控数据, Zabbix通过B/S模式实现Web管理。 2.编译安装Zabbix服务 (1)源码安装软件 [root@zabbix server ~]# yu...

2018-09-15 11:09:15 120 0

原创 【程序猿的黑科技】超实用资源下载-传输 网站大全

【前言】 本期将介绍几个网站平台,涉及下载、图片资源、视频资源。为大家分享是我创建此专栏的初衷。我也会定期收集一些好玩的“黑科技”供大家研究。 1.在线网上传输平台 火狐实验室的一款在线平台 无需客户端,只需自动生成下载链接。方便高效。 当然火狐实验室的决不满足于此,在提供高效下载的...

2018-09-05 16:15:30 513 0

原创 【服务器运维】修改SSH默认登录端口

【SSH协议】 SSH 为 Secure Shell 的缩写;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。默认端口为22。 【修改默认端口】 例如:修改ssh端口号为3389 (为了以防万一先保留22端口,防止...

2018-09-04 12:52:14 12868 0

原创 【网络安全】Burpsuit 学习笔记(四)

Burp Scanner Help Burp Scanner是一个进行自动发现 web应用程序的安全漏洞的工具。它是为渗透测试人员设计的,并且它和你现有的手动执行进行的 web应用程序半自动渗透测试的技术方法很相似。 使用的大多数的 web扫描器都是单独运行的:你提供了一个开始 URL,单击”...

2018-08-25 23:30:41 191 0

转载 【网站】网站底部统计运行时间-代码设计

1. 前言 许多建站的小伙伴都希望自己的网站有一个运行时间统计,可以给自己继续走下去多一些动力。 所以我今天要分享一段兼容性很好的脚本代码,来实现此功能。 2.核心代码 &lt;center&gt; 网站已运行:&...

2018-08-18 21:08:47 3516 0

转载 【网站优化】Wordpress 后台登录 设置验证码 防止恶意爆破

此方法转载于 七墨博客, 仅供学习交流。 1.核心代码 //后台登陆数学验证码 function myplugin_add_login_fields() { //获取两个随机数, 范围0~100,可以自行更改为更大或更小数字 $num1=rand(0,100); ...

2018-08-18 20:56:42 1175 0

原创 【程序猿的黑科技】一些好玩的APP推荐

1.MIX 轻量级图片处理工具 APP UI 初始界面 操作演示 1 操作演示 2 功能:包含其他软件所具备的滤镜,特效等等。其中最亮眼的莫过于可以轻松改变图片中天空颜色。 密码:pffm 2.FilmoraGo 强大的移动端视频处理工具 APP UI ...

2018-08-17 22:44:29 10604 2

提示
确定要删除当前文章?
取消 删除