- 博客(71)
- 资源 (10)
- 收藏
- 关注
RSS订阅原创 Web应用安全测试-专项漏洞(一)
专项漏洞部分注重测试方法论,每个专项列举一个例子。分别有Web组件(SSL/WebDAV)漏洞、中间件相关漏洞、第三方应用相关漏洞、第三方插件相关漏洞、开发框架漏洞等
2024-06-27 12:42:21
923
原创 Web应用安全测试-综合利用(三)
XML注入、XXE、XPATH 注入、命令注入、任意文件上传、反序列化漏洞等综合利用的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-18 16:20:56
1235
原创 Web应用安全测试-综合利用(二)
Host头攻击、SQL注入、NoSQL注入、LDAP注入等综合利用的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-18 16:11:48
990
原创 Web应用安全测试-综合利用(一)
跨站脚本攻击(XSS)、FLASH跨站脚本攻击、HTTP响应分割、HTTP参数污染等综合利用的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-17 17:20:56
1035
原创 Web应用安全测试-权限篡改
任意用户密码修改/重置、SSO认证缺陷、越权、Cookies伪造、会话变量可控、跨站请求伪造(CSRF)等各种权限篡改的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-17 12:27:44
1168
1
原创 Web应用安全测试-权限缺失
Flash跨域访问、jsonp跨域请求、未授权访问等各种权限缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-17 12:10:03
814
原创 Web应用安全测试-防护功能缺失
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-14 16:04:46
1290
原创 Web应用安全测试-防护功能失效
账号弱锁定机制、图形验证码可自动获取、图形验证码绕过、短信验证码绕过、短信验证码可暴力破解、参数覆盖、关键逻辑判断前端验证等各种防护功能时效的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-14 15:35:10
850
原创 Web应用安全测试-业务功能滥用(二)
未验证的URL跳转、服务器端请求伪造(SSRF)、短信内容可控、邮件内容可控、请求重放攻击、批量提交等各种业务功能滥用的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-14 15:23:44
1084
原创 Web应用安全测试-业务功能滥用(一)
短信定向转发、邮件可走向转发、业务接口调用缺陷、IMAP/SMTP注入、引用第三方不可控脚本/URL、开启危险接口等各种业务功能滥用的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
2024-06-14 15:06:42
836
原创 Web应用安全测试-业务逻辑缺陷
业务功能渗透测试业务逻辑篡改、业务功能失效等各种业务功能缺陷的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等的几种场景、
2024-06-14 14:56:55
617
原创 Web应用安全测试-认证功能缺陷
认证登录环节允许空口令、系统允许多点认证、IP地址伪造、Oauth认证缺陷、能够绕过应用认证直接登录系统等缺陷的测试方案及修复方法
2024-06-13 16:44:16
831
原创 Web应用安全测试-爆破猜解
暴力破解的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。常常存在于网站的登录系统中,通过对已知的管理员用户名,进行对其登录口令的大量尝试。
2024-06-13 15:10:52
1016
原创 ARL资产侦察灯塔系统使用记录
旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
2024-06-07 16:24:43
1279
原创 f8x使用简介
一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等大多数场景下,在不同的云购买一些 vps 服务器用于部署红 / 蓝队设施,不能做到开箱即用,使用 f8x 可以快速部署所需要的各类服务。
2024-06-06 18:00:32
1191
原创 Kali linux学习入门
Kali Linux是专门用于渗透测试linux操作系统,它由BackTrack发展而来,在整合了IWHAX、WHOPPIX和Auditor这三种渗透测试专用Live linux之后,BackTrack正式改名为Kali Linux。特点:基于Debian的linux发行版、集成300多个渗透测试程序、支持绝大多数的无线网卡、修改了内核以支持数据包注入、支持基于ARM的硬件系统等等。
2024-06-06 17:48:51
892
1
原创 PentestBox教程(四)
Pentest Box:渗透测试盒子,是一款Windows平台下预配置的便携式开源渗透测试环境,而它也是著名黑客Kapustkiy常用的工具之一。Kali Linux上面的常用的很多工具这里面也都集成了。
2024-06-04 15:45:17
1091
原创 PentestBOX教程(三)
一款Windows平台下预配置的便携式开源渗透测试环境,而它也是著名黑客Kapustkiy常用的工具之一。这里集成的大都是Linux下的工具,Kali Linux上面的常用的很多工具这里面也都集成了。它打包了所有的安全工具,并且可以在Windows系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。PentestBox官网:https://pentestbox.org/zh/
2024-05-31 18:12:17
791
原创 PentestBOX教程(二)
PentestBox是一个渗透工具包,但是不同于绝大多数国内 xx 工具包的是,这里集成的大都是 Linux 下的工具,Kali Linux 上面的常用的很多工具这里面也都集成了。PentestBox 是一款 Windows 平台下预配置的便携式开源渗透测试环境。 它打包了所有的安全工具,并且可以在 Windows 系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。
2024-05-31 18:07:53
379
原创 PentestBOX教程(一)
顾名思义,这是一个渗透工具包,但是不同于绝大多数国内 xx 工具包的是,这里集成的大都是 Linux 下的工具,Kali Linux 上面的常用的很多工具这里面也都集成了。PentestBox 是一款 Windows 平台下预配置的便携式开源渗透测试环境。 它打包了所有的安全工具,并且可以在 Windows 系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。
2024-05-31 18:01:48
462
原创 网络安全、信息安全、数据安全的定义与区别
网络安全、信息安全、数据安全的定义与区别信息安全顾名思义,主要是注重信息自身的安全。信息安全以信息的机密性、完整性、可用性三种基本的属性为保护核心,以不可否认性(抗抵赖性)、真实性、可控性等扩展属性为辅助。信息安全的意义在于保护信息自身的安全以及信息贮存载体即信息系统的安全。数据安全3.0时代进入到体系化数据安全治理时代,数据上升到资产,基础设施层面。
2024-05-24 17:11:47
683
原创 网络安全架构之零信任安全
随着云计算、大数据等技术广泛应用,远程办公、移动互联等业务快速发展,企业IT技术设施变得越来越多样化,业务系统访问需求越来越复杂,内部员工、供应商人员、外部合作伙伴等可以通过多种方式灵活接入系统,系统之间的互联互通也将被更多的终端访问,企业原有的网络边界逐渐模糊。零信任安全架构的核心基于现代身份管理技术进行构建,增强的身份管理能力具备敏捷、安全、智能的优势。基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;同时基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力。
2024-05-24 16:37:12
1396
原创 网络空间资产梳理
网络安全建设的实质是对风险的管理,古人云:知己知彼百战不殆。所谓知己,就是要了解自己的资产以及这些资产的脆弱性,知彼就是了解外部威胁及威胁所使用的手段。要做到知己,首先就要对自身的资产进行梳理。
2024-05-20 17:56:19
968
原创 网络空间资产测绘网站
网络空间资产搜索引擎是对全球互联网暴露资产进行周期性不间断且深度地扫描与探测,融合多种资产检索方式,全面发现互联网暴露资产,对资产进行画像管理。他类似于行军打仗中使用的作战地图,类似于信息化战争中的卫星导航系统,为网络安全防护提供资产的态势感知数据,不至于没有目标和方向。目前,常用四种网络空间资产搜索引擎包括:FOFA、ZoomEye、360Quake、Shodan,以SAAS方式提供数据服务。各个产品的详细差异可以登录产品对应的官网进行对比。
2024-05-20 17:50:11
1584
原创 信创基础硬件之整机
整机是成套或整体单机、单台形式的机电产品,由硬件系统(hardware system)和软件系统(software system)两部分组成的,包括主板、内存条、硬盘、CPU、光驱、机箱、显示器、键盘、鼠标、音响等部件。服务器作为在网络环境下为客户机提供各种服务、特殊专用计算机,与普通的计算机内部结构相差不大,承担着数据的存储、转发、发布等任务,具有容量大、可扩展、易使用、易管理等特性。目前国内主要的PC整机生产商包括联想、华为、中国长城、清华紫光、方正集团、神舟电脑、同方股份、航天七〇六所、冠捷科技
2024-05-15 17:50:18
382
原创 信创项目推进步骤
信创项目推进步骤1. 制定信创替代计划2. 选择合适的信创产品3. 进行试点验证4. 全面部署和替换5. 加强网络安全建设6. 培训和技术支持7. 持续监督和评估
2024-05-14 16:56:17
330
原创 信创厂商选择要点
信创项目推进,不可避免的要与众多信创厂商打交道。选择靠谱的供应商,合理避坑,是信创项目成败的关键因素。个人认为技术突破能力、产品服务能力、生态建设能力、平滑迁移能力是评估一个信创厂商是否合格的重要标准。
2024-05-14 16:12:08
311
原创 信创架构设计规划
本文分析了信创架构设计中的突出难点,结合实践经验,建议在信创架构设计中要坚守基本满足业务需求、相对主流成熟技术、适当采取多技术栈和兼容性广生态健全的设计原则,采取优先借鉴同业案例、符合技术发展趋势、匹配内部科技规划、选取共性搭建底座和支持全栈留有余地的选型策略。最后以全栈信创基础平台建设为例,探索了信创架构规划的相关实践工作,以期为同业提供有益参考。
2024-05-14 15:52:09
1496
原创 信创应用软件之协同办公(OA)
“数字化办公”即指以技术赋能企业的协作与管控,优化流程、沟通与系统的过程,实现工作中“人、财、事、物”的全面数字化。协同办公是利用计算机和网络向多人提供软件服务,满足员工远程办公、实时协作和高效管理需求,实现及时沟通、数据共享、移动办公等。其内涵在办公自动化(OA)的基础上强调协同能力的提升,核心功能是简化办公流程,整合多种办公场景。协同办公软件厂商可分为综合协同办公服务提供商和垂直类协同办公服务提供商。综合型OA厂商包括以致远互联、泛微网络和蓝凌科技为代表的传统OA厂商
2024-05-13 16:12:03
993
原创 信创应用软件之邮箱
- 邮箱是天然的数据存储空间,党政和央国企客户在使用过程中存储大量数据,数据安全是自主安全的重要一环。- 邮箱具有开放性特征,容易受到外界攻击,邮件系统安全尤其值得重视。- 国资委79号文,明确规定国央企在2027年前要完成邮箱的全面替换,能够究成信创生态适配的邮箱厂商将成为首选。- 具有安全威胁的非正常邮件比例较高,近四年均值达到15%,且大部分非正常邮件来自境外,政企客户对于安全性能高的国产邮箱需求大。-自建邮件系统,Coremail公司是龙头,其次是彩讯、安宁,接下来是亿邮等
2024-05-13 12:27:36
2206
原创 信创应用软件之办公流版签
办公流版签软件主要包括办公中常用到的流式软件、版式软件以及电子签章。流式文件支持编辑、内容可流动、不同软硬件环境显示效果不同。流式文件是编辑工具,版式文件是呈现工具。微软Office、金山WPS、永中Office是典型的流式文件。版式文件是版面呈现效果高度精确固定的电子文件,其呈现与设备无关。版式文档格式是严肃类电子文档发布、数字化信息传播和存档的理想文档格式,包括政府公文、档案文件、证照执照、单证凭据等。版式文件形成后,不可编辑和篡改正文,只能在其上附加注释印章等信息。
2024-05-11 17:57:13
902
原创 信创软件测试质量的特性
对于信创软件而言,需结合其自身的特点、用户单位的实际使用需求,选择合适的质量特性范围,制定恰当的测试方案,以最大效率发现适配问题、尽快地完成适配质量的提升。那么,信创软件测试质量的特性是什么?
2024-05-09 11:52:16
506
原创 信创产品与系统测评
信创产品与系统测评旨在以科学的方法和标准,对不同类型的产品和系统进行全面和客观的评估和检测,以验证其质量、性能和符合性,帮助消费者和企业做出明智的决策。
2024-05-09 11:41:53
404
原创 信创基础软件之信创云介绍
信创云,是指在信息技术应用创新的背景下,以国产化的CPU、操作系统为底座的自主研发的云平台,统筹利用计算、存储、网络、安全、应用支撑、信息资源等软硬件资源,发挥云计算虚拟化、高可靠性、高通用性、高可扩展性及快速、弹性、按需自助服务等特征,提供可信的计算、网络和存储能力。
2024-05-08 17:59:42
378
原创 信创基础硬件之芯片
历经数十年的艰辛探索,国产CPU产业已经初具规模。当前阶段,国内主流的CPU厂商有兆芯、飞腾、海光、龙芯、申威、海思六家,从授权的角度看,主要分为交叉授权、架构授权和IP内核授权三类。国产CPU市场呈现架构多元化发展格局,市场上x86、ARM,alpha、MIPS等架构并行,市场百花齐放。从性能、功耗、应用、生态以及及市场化角度来看,各个架构都有自己的代表产品和应用生态。
2024-05-08 17:52:07
1327
网络与信息安全意识培训
2024-04-26
网络漏洞扫描技术-常用的网络扫描工具
2024-04-26
Hibernate原理与配置快速入门
2008-10-11
Spring开发指南_夏昕.pdf
2008-10-11
Spring 中文开发手册
2008-08-28
简易java框架开源论坛系统
2008-07-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人