- 博客(809)
- 收藏
- 关注
RSS订阅原创 为什么很多人会选择学网络安全?前景如何?
网络安全”是当下十分热门的热词,受到了国家的高度重视与关注,并有关政策。在此背景之下,为了寻求新的职业发展机会,越来越多的朋友将目光聚焦于网络安全行业,那么为什么学习网络安全?网络安全课程前景如何?相信很多人都有所疑惑,接下来小编带你详细了解一下。为什么学习网络安全?NO.1:网络安全对年龄无限制,犹如老中医一样越老越吃香,在IT行业很多岗位年龄上了30岁是没有企业愿意接收的,一个是不好管理,一个是技能容易复制年龄大没有优势;唯有网络安全靠的是解决问题的能力。
2024-05-24 14:15:00
395
原创 网络抓包工具Wireshark下载安装&使用详细教程
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。任何捕获的数据包都有它自己的层次结构,Wireshark 会自动解析这些数据包,将数据包的层次结构显示出来,供用户进行分析。默认情况下,Wireshark 会捕获指定接口上的所有数据,并全部显示,这样会导致在分析这些数据包时,很难找到想要分析的那部分数据包。要想捕获数据包,必须选择一个接口,表示捕获该接口上的数据包。
2024-05-24 12:45:00
771
原创 网络安全是什么?怎么入门网络安全_网络安全
学习网络安全是一路探索的,无论选择何种方式入行,工作里还有太多知识与领域,是我们学习中接触不到的(无论你是培训还是自学),我所罗列或者机构罗列的知识点的深度,不过是让你能勉强胜任工作,大片大片的工作空白,无论广度和深度,都需要我们来体验。
2024-05-24 11:15:00
703
原创 网络安全考证推荐
网络安全考证从事网络安全,避免少不了一些网络安全相关的证书了说到CISP,安全从业者基本上都有所耳闻,算是国内权威认证,毕竟有政府背景给认证做背书,如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。CISP在你参加考试的时候,培训机构都会问你是选择CISO/CISE,不要担心,这两个只是考试方向,证书都是测评中心颁发的,认证详细情况请看后续推送….【报名条件】满足 CISP 注册资质的教育和工作经验要求:(1)教育和工作经历要求;
2024-05-24 10:30:00
441
原创 网络安全概念及规范
Information Security Management System(简称 ISMS)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的体系。• Plan:信息安全管理体系的策划与准备。根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果。ISO 27002帮助组织建立ISMS。• Do:信息安全管理体系文件的编制。实施和运行安全策略、控制、过程和程序。ISO27003为实施者提供建立ISMS的参考方法。
2024-05-24 09:45:00
486
原创 安全攻防环境搭建(搭建后进行验证)
Windows720032008kali需要tar-zxvf命令解压结尾是.tar.gz类型的文件ls可以查看路径,方便选择cd 文件目录 进入文件夹浏览./vmware-install.pl 当前目录下执行进入设置网络vi/etc/network/interfacesauto eth0 //指定eth0网卡iface eth0 inet static //静态地址(动态获取用dhcp)address 192.168.0.133 //IP地址netmask 255.255.255.0 //子网掩码gate
2024-05-23 16:15:00
568
原创 XXE注入攻击与防御_
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
2024-05-23 13:30:00
673
原创 wireshark实战_抓包样机能抓mdns报文吗
wireshark只能抓取本机通过本机的数据,比如现在有三台机器第一台装wireshark,其他为同一局域网中的两台移动设备,现给出语句 ip.addr eq 192.168.0.102 对其中一台进行抓包,手机进行如下操作,1.访问 www.baidu.com这里抓取到的报文 Destination 都是D类地址,用于组播多播,从 IGMP SSDP MDNS这些协议名也可以看出,这些报文会通过局域网中的所有设施,但并不是我们需要的报文。2.访问本地网站 192.168.0.2:8082。
2024-05-23 10:30:00
899
原创 windows上的docker登录docker私有仓库_docker accepts at most 1 arg(s), received 2
双击打开docker的desktop程序,进入到设置选择 docker 引擎(Docker Engine)添加 设置 私有仓库地址 registry-mirrors 和 insecure-registries我的私有仓库地址为 192.168.100.48(我的端口默认为80,有些私有仓库在搭建时设置的是5000,注意端口)记得要重启docker(点下那个 “Allpy&Restart”按钮)
2024-05-23 09:30:00
838
原创 web服务器攻击的八种方式_服务器攻击教学
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
2024-05-22 15:00:00
754
原创 VMware虚拟机安装详细教程
VMware下载安装好后,下载好我们要安装的操作系统的镜像文件后,此处安装的为centos7版本,就可以开始安装了。1点击下一步image2、勾选【我接受条件款协议中的条款】,然后点击【下一步】。image3、取消勾选,然后点击【下一步】。image4、点击下一步。image5、点击安装。image6、安装中。image7、点击【许可证】image8、在框中输入“FC502-8AD82-08D4P-4FQEE-ZC8D0”然后点击【输入】。image9、完成image。
2024-05-22 11:15:00
371
原创 SQL注入之sqlmap入门教程_sqlmap注入
原来sql注入如此简单以SQL注入靶场sqli-labs第一关为例,进行sqlmap工具的使用分享。
2024-05-22 10:15:00
638
原创 NISP一级备考知识总结之信息安全概述、信息安全基础 (1)
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-05-22 09:45:00
923
原创 流量加密-隐藏攻击痕迹
> 命名管道也被称为FIFO文件,它是一种特殊类型的文件,它在文件系统中以文件名的形式存在,但是它的行为却和之前所讲的没有名字的管道(匿名管道)类似。> > 由于Linux中所有的事物都可被视为文件,所以对命名管道的使用也就变得与文件操作非常的统一,也使它的使用非常方便,同时我们也可以像平常的文件名一样在命令中使用使用wireshark分析流量,可以看到 tcp 流中全部为乱码。
2024-05-14 15:15:00
1016
原创 浏览器指纹及其应用
浏览器指纹是由电子前哨基金会(EFF)首席科学家在 2012 年提出,它利用浏览器自由传输的一些属性来生成和人类指纹一样具有标识作用的字符串。那么常见的浏览器指纹有哪些呢?指纹因子:指浏览器对外的公开属性,如userAgent可以通过获取;colorDepth可以通过获取。| userAgent | 稳定 | 否 || language | 稳定 | 是(大多数时候) || colorDepth | 稳定 | 是 || deviceMemory | 稳定 | 是 |
2024-05-14 12:30:00
846
原创 浏览器同源策略
我们可以设想这样一个场景:学校开放了一个窗口给家长,让家长可以通过窗口询问孩子的成绩。班级里面的每个学生都是互不相关、互不影响的个体,每个学生和家长都来自同一个家庭。当同一个家庭里面的家长询问孩子的成绩,窗口就会给出相应的数据。如果不同家庭的家长来询问其他学生的成绩,窗口都给出应答,这样孩子成绩的安全性就没法得到保证。这样不就乱套了吗?如果两个URL是协议端口(port)、域名(host)都相同的话,那么这两个URL就是同源的。下表给出了与URLURL结果原因同源只是路径不同同源只是路径不同。
2024-05-14 10:45:00
978
原创 浏览器输入域名后发生了什么? 会有什么攻击行为?- HTTP请求过程
你在浏览器敲入域名后,到底发生了什么?浏览器是怎么获得你请求的内容的?中间会发生什么攻击行为吗?
2024-05-14 09:45:00
626
原创 浏览器的几种防护策略
同源策略(Same Origin Policy)是一种约定,他是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能受到影响,可以说web的构建实在同源策略的基础之上的,浏览器只是针对同源策略的一种实现表示。浏览器的同源策略,限制了来自不同源的文件或脚本,对当前的文件读取或者设置某些属性。如果没有同源策略,假设a.com有一段javascript脚本,在b.com未曾加载此脚本时,a.com可以随意修改b.com的页面(在浏览器的显示中)。
2024-05-13 15:45:00
860
原创 另一个生鲜App 抓包和mfsig签名分析(一)
脱壳才是第一生产力,所以要多掌握一些脱壳工具和rom。套路就是那么的相似,多熟练几个套路,遇到新的App就先都给他安排上。当我们为生活疲于奔命的时候,生活已经离我们远去。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx:fenfei331讨论下。关注微信公众号:奋飞安全。
2024-05-13 12:30:00
859
原创 零信任能力成熟度模型白皮书发布!内附下载资源
华为云重磅发布全球首个《华为云零信任能力成熟度模型白皮书》,向行业展示了华为云安全的新能力和新突破。10月16-17日,2021“天府杯”国际网络安全大赛暨国际网络安全高峰论坛在成都举行,华为云作为主办单位之一,同期举办了华为云云原生安全论坛。论坛上,华为云重磅发布全球首个《华为云零信任能力成熟度模型白皮书》,向行业展示了华为云安全的新能力和新突破。华为云安全总经理曹志源发布白皮书。
2024-05-13 11:45:00
609
原创 列表与队列——谈谈线程安全
本文首发于当多个线程同时进行,且共同修改同一个资源时,我们必须保证修改不会发生冲突,数据修改不会发生错误,也就是说,我们必须保证线程安全。同时我们知道,python中由于GIL的存在,即使开了多线程,同一个时间也只有一个线程在执行。
2024-05-13 10:15:00
607
原创 镣铐之舞:美团安全工程师Black Hat USA演讲
Ju Zhu目前就职于美团基础研发平台/信息安全中心/基础研究组,拥有超过8年的安全研究经验,其中6年左右时间都在从事高级威胁相关的研究,包括0Day、nDay和漏洞挖掘等等。Ju Zhu一直致力于使用自动化系统来Hunt野外的高级威胁,曾多次获得CVE,并且多次受到Google、Apple、Facebook等厂商的致谢。他也多次作为Speaker受邀参加BlackHat、CSS等国内外的顶级安全会议。
2024-05-13 09:00:00
835
原创 来自谷歌团队的容器运维最佳实践
在这种解决方案中,你为应用程序的边车容器添加一个日志代理(在同一 pod 中,)并在两个容器之间共享 emptyDir 卷,可参考 GitHub 上的这个 YAML 示例:https://github.com/kubernetes/contrib/blob/0.7.0/logging/fluentd-sidecar-gcp/logging-sidecar-example.yaml。如下文所述,每个都有特定的用途。为了在不同环境中使用相同的容器镜像,我们建议你外部化容器配置(侦听端口,运行时选项等)。
2024-05-12 16:00:00
887
原创 来一场轰轰烈烈的HTTP协议扫盲革命
最近一段时间在空闲之余拜读了一下《图解HTTP协议》,收货颇丰。以前不懂的地方在读完这本书之后,豁然开朗。于是花了一些时间总结一下,其中我也查阅了一些其他资料来补充进去,希望这篇文章可以给大家带来帮助。
2024-05-12 12:15:00
721
原创 来看看CDN网络安全防护的方案
今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前比较火的抖音短视频,用户在某个地方上传视频后,几亿的用户都可以快速看到,很难想象,如果这个短视频在一台服务器上,几千万人同时去下载,网络堵塞延迟会多大?
2024-05-12 11:45:00
990
原创 垃圾收集机制与内存分配策略
Java 语言与其他编程语言有一个非常突出的特点,。而这种机制离不开高效率的垃圾收集器(Garbage Collection)与合理的内存分配策略,这也是本篇文章将要描述的两个核心点。引一句周志明老师对 Java 中的内存管理机制的描述:Java 与 C++ 之间有一堵有内存动态分配和垃圾收集技术所围成的「高墙」,墙外面的人想进去,墙里面的人却想出来。
2024-05-12 10:30:00
799
原创 快速集成OAuth授权服务
以上就是快速集成oauth,简单的使用了mysql作为存储,正常开发推荐使用redis存储,redis的过期机制与token过期更加契合。## 网络安全工程师(白帽子)企业级学习路线。
2024-05-12 09:15:00
807
原创 跨站请求伪造已经死了!(译文)
在Web上使用Cross-Site Request Forgery进行劳作之后,我们终于有了一个合适的解决方案。没有网站所有者的技术负担,没有困难的实施,部署简单,它是Same-Site Cookies。
2024-05-11 14:30:00
1680
原创 跨站请求伪造CSRF
CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。在。
2024-05-11 12:15:00
749
原创 跨站脚本攻击(XSS)详解
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
2024-05-11 11:15:00
672
原创 跨站点请求伪造(CSRF)总结和防御
构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-跨站点请求伪造。
2024-05-11 10:15:00
644
原创 跨域总结1
同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。同源指:协议、域名、端口号必须一致。同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest 或通常允许跨域写操作(Cross-origin writes)。例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加preflight。通常允许跨域资源嵌入(Cross-origin embedding)。
2024-05-11 09:45:00
532
原创 拒绝做工具小子—编写Python漏洞验证脚本
我们实战经常会遇到以下几个问题: 1、遇到一个利用步骤十分繁琐的漏洞,中间错一步就无法利用 2、挖到一个通用漏洞,想要批量刷洞小赚一波,但手动去测试每个网站工作量太大这个时候编写一个poc脚本将会将会减轻我们很多工作。本文将以编写一个高效通用的poc脚本为目的,学习一些必要的python知识,这周也是拒绝做工具小子努力学习的一周。
2024-05-07 15:15:00
711
原创 静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被Apache定义为高危级别。Log4j在log字符串”jndi:xxx”时,“{jndi:xxx}”时,“jndi:xxx”时,“{“这一特殊字符会指定Log4J通过JNDI来根据字符串”xxx”获得对应名称。
2024-05-07 11:00:00
776
原创 竞争激烈的互联网时代,是否需要注重一下WEB安全?
一直以来自己对WEB安全方面的知识了解的比较少,最近有点闲工夫了解了一下。也是为了以后面试吧,之前就遇到过问WEB安全方面的问题,答的不是很理想,所以整理了一下!
2024-05-07 10:15:00
1777
原创 精细化边缘安全防护:如何防止CDN域名被恶意刷量?
随着消费及产业互联网的不断发展,数字化将实现全场景覆盖,人类的生活和生产方式也随之不断改变。内容分发网络CDN(Content Delivery Network)能分担源站压力,避免网络拥塞,确保在不同区域、不同场景下加速网站内容的分发,可以说,CDN已然成为互联网的基础设施。在万物互联大背景下,网络安全问题的严峻性和重要性都远超过去,一旦受到攻击,便容易“牵一发而动全身”。因此,越是数字化时代,便越要做好基建“安全”的顶层设计。
2024-05-07 09:30:00
809
原创 精读《你不知道的 javascript(上卷)》
你不知道的 javascript》是一个前端学习必读的系列,让不求甚解的JavaScript开发者迎难而上,深入语言内部,弄清楚JavaScript每一个零部件的用途。本书介绍了该系列的两个主题:“作用域和闭包”以及“this和对象原型”。这两块也是值得我们反复去学习琢磨的两块只是内容,今天我们用思维导图的方式来精读一遍。(思维导图图片可能有点小,记得点开看,你会有所收获)
2024-05-06 14:00:00
919
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人