- 博客(48)
- 收藏
- 关注
RSS订阅原创 网安面试题(common)
网安面试题(common)什么是网络协议?通信的双方共同遵守的一种约定。什么是IP地址?互联网协议地址,为网络中每一位主机分配一个逻辑地址。分为IPV4和IPV6。...
2020-11-26 19:46:02
975
1
原创 网安面试题(TCP/IP协议)-1
网安面试题(TCP/IP协议)TPC/IP是一个怎样的系统。开放的系统,协议族定义和很多实现是公开的。请尽可能详细描述出什么是FIFO。当一台分组交换机接收到分组时,他们通常存储在缓存或队列中,并通过先到达先服务(FCFS)的方式处理,这种最简单的分组处理调度方式,称为先进先出(FIFO)。在端到端的论点上,TCP实现了什么功能以保持了两者之间的一致性?差错控制、流量控制。画出TCP/IP体系结构,以及封装解封装过程。请描述你对IP的理解。IP是Intern
2020-11-21 10:51:08
745
原创 XSS、CSRF、SSRF漏洞原理以及防御方式
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRF、SSRF的区别XSS、CSRF的区别XSSXSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。X
2020-09-03 20:04:52
4585
原创 基线加固
基线加固基线加固概念基线加固常用脚本基线加固概念基线:即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。基线扫描:使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档安全加固s
2020-08-31 18:50:11
2579
转载 JAVA-异常处理机制
JAVA-3days(异常处理机制+文件处理)异常处理机制文件处理文件查找代码实现:文件删除代码实现异常处理机制文件处理文件查找代码实现:package com.mtlk.demo;import java.io.File;import java.io.IOException;import java.io.InputStream;import java.io.PrintStream;import java.util.Scanner;public class ExceptionTest
2020-08-20 15:07:36
232
转载 常见Web安全漏洞及防范
常见Web安全漏洞及防范一、SQL注入漏洞二、跨站脚本漏洞三、弱口令漏洞四、HTTP报头追踪漏洞五、Struts2远程命令执行漏洞六、文件上传漏洞七、私有IP地址泄露漏洞八、未加密登录请求九、敏感信息泄露漏洞一、SQL注入漏洞SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更
2020-08-19 17:45:53
656
原创 JAVA-2days(溢出原理+注入原理)
JAVA-2days(溢出原理+注入原理)类型溢出注入原理类型溢出整形溢出:由于整形运算过程中,结果占取了首高位,将原本的符号位改变成了1,因此造成负数的过程解决方法:当第一和第二因子都在整形范围内时,可以将程序定义的那个因子修改为更大范围的整长型通常情况下,两个运算因子中,有一个是由程序定义的;因此只需要限制第二因子的输入范围(最大值、边界值)通常情况下,用户输入的都是字符串,限制字符串的长度基于程序本身的处理#包装类型每一个基本数据类型都对应了一个引用数据类型;使引用数据类型来表
2020-08-19 17:34:42
295
转载 JAVA-(访问级别修饰符+static)的理解
JAVA-(访问级别修饰符+static)的理解访问级别修饰符访问级别选择访问级别的提示:验证成员函数Static静态方法的调用:静态变量和实例变量的区别:static代码块访问级别修饰符访问级别访问级别修饰符确定其他类是否可以使用特定字段或调用特定方法。有两个级别的访问控制:在顶级public或package-private(没有显式修饰符即默认权限)。类可以用修饰符public声明,在这种情况下,类对所有类都可见。如果一个类没有修饰符(默认,也称为package-private),它
2020-08-19 15:54:23
465
原创 JAVA-1days(认识java+习题)
JAVA-1days语言分类语言分类编译语言:编译以后执行的语言。解释语言:直接以解释器解释执行的语言,例如:HTML、JS、PowerShell等。#java能干什么?1. 功能强大:JAVAEE(企业级开发:EJB、JMS、JTA、JTS…)、JAVASE(桌面级开发:JAVA标准API、SWING)、JAVAME(嵌入式开发)2. 难学:规则、强类型、语法结构、框架3. 面向对象4. 安全5. 健壮6. 跨平台:JVM#概念JDK–JAVA开发套件、JAVA开发库JRE–
2020-08-18 20:36:48
274
原创 NAT转换+动态路由
NAT转换技术NAT概述NAT配置命令NAT概述NAT(Network Address Translation):网络地址转换技术;NAT定义:将私有地址转换为公有地址,多个私有地址可以共用一个公有地址。用来节省公有IP地址。NAT应用场景:企业、家庭使用的为私有IP地址;运营商使用的是公有IP地址;NAT技术分类:静态NAT技术(static Nat):一对一的地址转换技术。一个私有IP地址对应一个公有IP地址;Easy NAT:server NAT:NAT配置命令LoopB
2020-08-06 17:06:24
1128
1
原创 路由工作原理+DHCP+静态路由配置
路由优先级路由优先级:衡量路由的优先程度(1-255,数字越小越优先);思科上的路由优先级叫"管理距离";路由优先级相同的情况下,通过路由度量确定优先级;路由优先级的配置路由备份:实现链路的冗余,增加链路的可靠性;如果路由表中始终放置的是路由优先级高的路径,如果没有配置优先级(优先级想同时):两条链路会负载均衡。负载均衡:负载均衡,英文名称为Load Balance,其含义就是指将负载(工作任务)进行平衡、分摊到多个操作单元上进行运行。注意:静态路由不能识别带宽,只看优先级。浮
2020-08-06 17:04:12
1703
原创 三层设备上配置ACL访问控制列表
ACL访问控制列表ACLACL的分类和区别ACL配置命令ACLACL(Access Contorl Lists):访问控制列表,通过端口对数据流进行过滤。ACL工作于OSI模型第三层,是路由器和三层交换机接口的指令列表,用来控制端口进出的数据包。ACL包含了:匹配关系、条件和查询语句。表只是一个框架结构,其中存放了很多控制语句。ACL作用:①流量的控制;②匹配感兴趣的流量。ACL的分类和区别根据使用的列表号的不同分为2类:基本ACL(标准ACL):编号范围在2000~2999,它是
2020-08-06 16:09:14
1326
原创 聚合链路+VRRP配置实验
这里写目录标题链路聚合技术配置聚合链路链路聚合技术链路聚合(端口聚合或者链路捆绑):eth-channle,将两条或者更多条链路捆绑到一起。链路聚合技术可以再不进行硬件升级的条件下将物理接口捆绑成逻辑接口。(只适合在局域网下设置)链路聚合作用:增大网络带宽提高设备之间链路的可靠性。(链路备份)配置聚合链路#创建聚合链路[Huawei]interface Eth-Trunk 1#进入接口[Huawei]interface Ethernet 0/0/1#将接口加入聚合链路[Hu
2020-07-31 15:59:08
1877
原创 ARP协议
静态路由静态路由:由用户或者管理员手动配置或者维护的路由表的信息。优点:①不会占用大量的CPU资源进行计算和分析;②网络安全保密性高;缺点:出现故障难以排查;链路协议:应用在接口上的协议。#查看链路协议[R1]dis interface GigabitEthernet 0/0/0#GigabitEthernet0/0/0 current state : DOWN:接口欧状态信息#Line protocol current state : DOWN:链路协议信息#查看路由表[R1]
2020-07-31 15:28:02
338
原创 STP协议+二层设备配置实验
STP协议STP简介STP概述STP相关概念端口角色:端口状态 :定时器:STP算法修改优先级的命令华为设备:思科设备:STP简介STP概述STP协议:生成树协议(Spanning-tree-protocol),将环形网络修剪成为一个无环的树型网络,避免报文在环形网络中的增生和无限循环。工作在OSI模型中的二层(数据链路层),例如:二层交换机生成树协议的目的是:①建立一个冗余的交换机网络;②提高容错性;③备份。无STP配置的问题:在一个复杂的网络环境中,难免会出现环路。由于冗余备份的需要
2020-07-29 20:32:11
853
原创 配置Telnet(远程登录)
ethernet:以太网接口gigabitEthernet:千兆以太网接口fastE:快速以太网接口Vlanif:虚拟接口Cisco配置命令#进入特权模式(特权模式–查看用户等级、退出、切换测试等)Router>en(或者enable)#退出Router#exit(或者end)#进入全局模式Router#configure terminal#进入0/0端口Router(config)#interface gigabitEthernet 0/0#配置IP地址Router(co
2020-07-24 17:01:37
7027
原创 IPV4协议详解+子网掩码
IPV4协议详解IPV4数据报头格式二级目录IPV4数据报头格式前言发送端的网络层在收到它的上一层——传输层发来的数据段时,需要通过网络层协议将其封装成数据报,也就是加上网络层IP协议(在此仅以IP协议为例进行介绍)头部。IP协议头部主要是源和目的网络的IP地址,以便可以数据分段传输到目的网络中。然后数据包向下传输,到了数据链路层后又要封装成数据帧。与在数据帧格式中包括帧头和数据部分类似,一个IP数据报也包括报头和数据这两个部分,如上图所示。其中数据部分就是来自传输层的完整数据段,而报头部分是为
2020-07-24 00:12:06
4743
原创 eNSP(华为模拟器)基本配置命令
路由器/交换机的基本配置:<>:用户模式,权限稍微低点[]:系统模式,权限稍微高点ctrl + c:停止当前命令的运行ctrl + z:回到用户模式打开设备首先进入的是用户模式:<>查看设备的版本信息display version修改设备名称进入系统模式:system-view[]:系统模式下进行修改:sysname AR14.quit 退出,退到上级5.修改系统时间(用户模式命令):clock timezone local add 08:00:00
2020-07-23 16:03:07
17140
原创 常见的网络设备
常见的网络设备概述常见的网络设备网络接口控制器集线器网桥交换机:路由器选择路由,参考指标概述常用的网络设备有网卡、交换机、集线器、路由器、Modem、测试设备、网络机柜、VPN设备、打印服务器、光纤设备等等DTE既数据终端设备,又称物理设备,如计算机、终端等都包括在内。DCE则是数据通信设备或电路连接设备,如调制解调器等。LAN中的各种粗、细同轴电缆、T型接、插头,接收器,发送器,中继器等都属物理层的媒体和连接器。TCP/IP模型中位置设备传输层以上网关网络层路由
2020-07-22 20:25:04
3484
原创 常见的网络传输介质
常见的传输介质传输介质:是网络中发送方和接收方之间的网络通路,它对网络的数据通信具有一定的影响同轴电缆双绞线光纤无线传输媒介网络传输介质也是我们所说的链路。同轴电缆早期使用的传输介质,分为粗同轴电缆和细同轴电缆。粗同轴电缆:最长传输距离是500米细同轴电缆最长传输距离是185两个的传输数率都是10Mbps.不能满足企业网络的需求。光纤它是由玻璃和塑料制成的纤维,光纤使用的是光信号。同轴电缆和双绞线使用的是电信号。支持的传输速率:10M 100M 1G 10G …甚至
2020-07-22 19:50:09
8838
3
原创 OSI 7层模型简单理解
OSI 7层模型简单理解OSI 七层模型使用分层网络模型的目的:OSI 7层模型作用:TCP/IPX协议簇数据的封装和解封装过程OSI 七层模型使用分层网络模型的目的:降低复杂性标准化接口简化模块化设计确保技术的加快发展速度简化教学OSI 7层模型作用:应用层:文件传输,电子邮件,文件服务,虚拟终端;传输的数据根据应用层的协议进行服务。表示层:数据格式化,代码转换,数据加密、解密;帮我们解决不同系统之间的通信语法问题。会话层:建立、维护、管理与别的接口的联系;会话
2020-07-21 23:34:39
252
原创 局域网、广域网以及无线AP(胖AP、瘦AP)
局域网、广域网、无限无限局域网WLAN局域网的类型/局域网互连设备无限AP分类无线AP分类:胖AP和瘦AP的区别胖、瘦AP组网:无线AP拥有的功能无限局域网WLAN局域网的类型/局域网互连设备局域网的类型:1、按拓扑结构分类:局域网经常采用总线型、环型、星型和混和型拓扑结构,因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。这种分类方法反映的是网络采用的哪种拓扑结构,是最常用的分类方法。2、按传输介质分类:局域网上常用的传输介质有同轴电缆、双绞线、光缆等,因此可以氢局
2020-07-21 22:40:01
2559
原创 网络拓扑图及企业网络设计基本流程
网络拓扑图及企业网络设计基本流程认识网络常见的路由协议分类:常见路由协议类型:网络层次结构:TCP/IP协议网络拓扑图企业网络设计基本流程网络设计基本原则网络拓扑设计原则网络设计的方法和思路网络架构安全域和边界:设计流程为什么要分析用户需求认识网络构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。(信息传达和信息接收的安全性。)企业网络的目的:是作为企业业务的支撑平台,是企业的信息中枢。网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。节点:这里的节点就是一个
2020-07-20 23:37:54
23599
转载 Linux系统下 /VAR/LOG/ 各个日志文件分析
/var/log:/var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。/var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。/var/log/boot.log — 包含系统启动时的日志。/var/log/daemo.
2020-07-20 22:10:24
10025
原创 Mysql基础语句+查询习题练习
Mysql基础语句+查询习题练习Mysql基础语句数据库组合查询内连接查询习题练习Mysql基础语句数据库组合查询UNION:简单粗暴的将两个结果集合在一起的查询方式,并且会自动去除重复的。不想覆盖重复的使用ALL:union all。(要求两个结果集的字段数量必须一致,不一致需要使用占位符号):#查询学生的名字和老师的名字(重复的会被覆盖)select name from teacher union select name from students#查询学生的名字和老师的名字(不覆盖)
2020-07-20 20:30:26
655
原创 密码学应用(三)Apache搭建Https
密码学应用(三)搭建中间件Linux中搭建Apache搭建中间件中间件=平台+通信;中间件是一类连接软件组件和应用的计算机软件,它包括一组服务;中间件是基础软件的一大类,属于可复用软件的范畴;中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。Linux中搭建ApacheApache HTTP Srver(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大
2020-07-14 23:37:20
388
转载 http协议的状态码(常见网页错误代码)
http协议的状态码1xx(临时响应)表示临时响应并需要请求者继续执行操作的状态码。1xx(临时响应)100(继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。101(切换协议)请求者已要求服务器切换协议,服务器已确认并准备切换。2xx(成功)表示成功处理了请求的状态码。2xx(成功)200(成功)服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 rob
2020-07-13 19:38:20
2162
原创 密码学应用(二)访问控制
密码学应用(二)简介访问控制模型自主访问控制模型简介访问控制技术:指防止对任何资源进行未授权的访问,从而使计算机在合法的范围内使用。一般是指通过用户身份及其所属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制模型访问控制模型:在为用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。保证用户在系统安全策略下正常工作,拒绝非法用户的非授权访
2020-07-09 19:36:58
1435
1
原创 密码学应用(一)身份鉴别
身份验证身份验证身份验证身份验证又称为“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确定。身份验证的方法:基于共享密钥的身份验证;基于生物学特征的身份验证;基于公开密钥加密算法的公开验证。身份验证的目的:确认当前所声称为某种身份的用户,确实是所声称的用户。身份验证可分为三类:实体所知:应用最广泛的认证方式,因为其成本低,实现简单。例如:口令、验证码等。面临的威胁也比较大。例如:暴力破解、木马等。实体所有:是一种安全性较高,成本也比较高的认证方式。例如:
2020-07-08 22:51:55
3158
转载 密码学基础(数学理论)
数学基础理论数学基础群、环、域的概念密码学基础概念推荐书籍数学基础素数与合数定义:整数p是一个素数, 如果它只能被±p,±1整除。素数的个数是无限的,全体素数的集合记为P。如果整数n不是素数,则它是一个合数。模n同余定义:若a mod n= b mod n,则称整数a和b模n同余。求最大公因子GCD的Euclidean算法(辗转相除法):Step 1: r0 =a and r1 =b;Step 2: r0 =q1r1+r2; r1 =q2r2+r3; …… ;rn-2
2020-07-07 20:44:06
6666
2
原创 密码学基础(二)对称密码体制和非对称密码体制
对称密码体制与非对称密码体制对称密码体制对称加密算法对称加密算法的优点对称加密算法的缺点常用对称加密算法DES算法3DES算法AES算法国际数据加密算法(IDEA)Blowfish算法RC5加密算法5.8.RC6非对称加密体制非对称加密算法非对称加密算法的优点非对称加密算法的缺点常用的非对称加密算法RSA算法DSA算法ECC算法DH算法SM1、SM2、SM4算法非对称加密算法应用场景非对称加密算法和对称加密算法区别散列算法比较对称加密算法比较非对称加密算法比较常见的签名加密算法数字签名MD5算法SHA1算法
2020-07-07 19:32:51
9163
3
原创 凯撒密码与序列密码的破译练习
powershell练习凯撒密码与序列密码的破译穷举破译凯撒密码穷举破译凯撒密码#输入密码[string]$str = Read-Host "请输入穷举字符串:"#字符串转换成字符[char[]]$chara = $str.ToCharArray()#对密文进行1-25位的循环移位for([int]$i = 1;$i -le 25;$i++){ #每次循环清空字符串 [string]$minwen = $null #对密文每一位字符进行循环 for($j =
2020-07-07 00:01:56
497
原创 密码学基础(一)分组密码与序列密码
密码学密码学的发展历史密码学简介密码学的典型应用密码学的发展历史从公元前400年斯巴达人将莎草纸缠绕到木棍开始,至今密码学已经历过几千年的发展,大体可分为三个阶段:古代密码学(1949年之前)主要特点:数据的安全基于算法的保密古典密码编码方法:置换和代换。置换:明文中的字母重新排列,字母本身不变,但其位置改变了。代换:将明文中的字符替代成其它字符。近代密码学(1949~1975年)主要特点:数据的安全基于密钥而不是算法的保密,密码学从此开始成为一门学科。1949年 克劳德·艾尔
2020-07-06 17:58:02
9195
原创 Linux系统下离线安装tomcat服务器
Tomcat服务器离线安装下载tomcat下载JDK安装JDK安装TOMCAT下载tomcat准备一个u盘把所有文件导出来,然后格式化掉,把所需的文件下载到u盘上;在Apache官网上下载tomcat,需要下载的是离线归档文件.tar.gz;下载JDK在Oracle官网上下载jdk,tomcat的运行环境需要jdk最好也是下载tar.gz,根据Linux下载64位或者32位对应版本;将下载好的文件放到U盘上,Cenos7在挂载,检查U盘时可以将这个u盘进行一次格式化,U盘最好位F
2020-07-03 00:22:59
376
原创 Linux系统在线安装MySQL数据库
MySQL数据库安装流程下载MySQL安装包MySQL数据库配置MySQL授权远程控制更改MySQL编码格式下载MySQL安装包下载并安装MySQL官方的 Yum Repository,通过wget下载需要的安装包。#Wget:非交互式的网络文件下载工具;-i( --input-file=FILE):下载本地或外部 FILE 中的 URLs;-c(--continue):继续下载部分下载的文件wget -i -c https://repo.mysql.com//mysql57-community
2020-07-02 23:56:16
231
原创 IPTABLES防火墙安装与配置
NETFILTER/ IPTABLES IP数据包过滤系统IPTABLES简介iptables构建iptablesiptables中的五张表软件的安装常见参数说明iptables的常用规则实际生产中,iptables常用的命令配置重启服务网络地址转换IPTABLES简介IPTABLES是与Linux内核集成的IP信息包过滤系统。IPTABLES系统有利于在Linux系统上更好的控制IP信息包过滤和防火墙配置。防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则储存在专用的数据包过滤表中,而
2020-07-01 23:14:22
551
原创 Linux常用基础命令(一)
文章目录Linux终端命令格式:查阅和帮助:**自动补全和命令选择技巧:**文件目录命令:ls命令Linux终端命令格式:command [-option] [parameter]说明:command:命令名[-option]:选项,可用来对命令进行控制,也可省略,不同选项可以组合使用[parameter]:传给命令的参数,可以为0个、1个或多个 [ ]代表可选查阅和帮助:如果你在使用命令时忘了某个命令对应操作,可以通过以下两种方式查阅命令的帮助信息1.–helpcommand -
2020-07-01 00:25:16
157
转载 常用Linux操作系统的发展历史
文件目录文件权限特权文件suid,sgid,sbitLinux操作系统常见Linux操作系统的发展历史UbuntuUbuntu常用命令CentOSreadhat常见Linux操作系统的发展历史UbuntuUbuntu 的版本更新周期桌面版和服务器版本更新的时间是 6 个月Ubuntu 的版本支持时间对于 desktop 版本和 server 版本,Ubuntu 会提供至少18个月的技术支持对于 LTS 版本(Long Term Suppot)长期支持版本,desktop 版
2020-06-29 23:54:58
6762
原创 Powershell基础
Powershell基础powershell介绍powershell打开方式powershell ISEpowershell的输入与输出powershell变量、常量与数组变量常量环境变量数组powershell介绍Windows Powershell是一种命令行外壳程序和脚本环境,是命令行用户和脚本编写者可以利用.NET Framework的强大功能powershell是一个shell,定义好了一些命令操作系统,特别是与文件系统交互,能够启动应用程序甚至操纵应用程序。powers能够使用star
2020-06-28 23:55:16
683
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人