- 博客(20)
- 收藏
- 关注
RSS订阅原创 信息安全:抓包工具Burpsuite简介
burpsuite作为web渗透较为常用的软件,有着9个比较常用的模块——proxy,target,intruder,comparer,repeater,decoder,extendere,sqlmap,csrf。
2023-07-14 15:54:38
501
1
原创 深入了解CSRF漏洞
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
2023-05-22 20:48:18
302
原创 窃取 38 个浏览器凭据的恶意软件 Zaraza
研究人员发现了一种新的凭据窃取恶意软件,名为 Zaraza。该恶意软件使用 Telegram 作为 C&C 的信道,且 Zaraza 是俄语“感染”的意思。
2023-05-11 22:25:42
346
原创 网络安全 | 5种典型 API 攻击及预防建议
API 帮助跨多个设备互连多个应用程序或软件系统,定义它们可以发出的调用或请求的种类、调用的方式、应使用的数据格式以及应遵守的约定。API 已经发展成为重要的互连,支持不同应用程序架构之间的通信,促进新服务的更快集成和部署。软件开发程序也依赖 API 来提供服务、平台管理和持续部署。涉及移动设备、云数据系统和微服务设计模式的现代应用程序架构需要使用多个 API 作为网关,以促进不同 Web 应用程序之间的互操作性。
2023-04-23 15:22:47
605
原创 浅谈 DDoS 攻击与防御
DDoS 是英文 Distributed Denial of Service 的缩写,中文译作分布式拒绝服务。那什么又是拒绝服务(Denial of Service)呢?凡是能导致合法用户不能够正常访问网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。
2023-04-20 17:23:50
307
原创 全球首个反黑客国家!对黑客攻击“say no”
你被人欺负了,第一反应可能是还手,那在网络世界中,被攻击的受害者能够采取同样的反制措施吗?答案是否定的。目前绝大多数国家尚未制定相关法律,来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识,这意味着,反击黑客就如同黑客入侵一样,同样是违法行为。换句话说,听起来是不是很玄幻?现实生活中,只要手续合法,警察可以选择破门而入抓捕犯罪分子,但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性,而非技术性。
2023-04-15 21:29:19
168
原创 ChatGPT在社工攻击和反钓鱼中的应用
ChatGPT是一种基于神经网络的自然语言处理模型,可以生成自然流畅的文本或对话。在钓鱼攻击中,攻击者可以使用ChatGPT生成虚假电子邮件或消息,更好地伪装成受害者所信任的个人或组织,从而获取受害者的个人信息。这种行为对个人和组织的信息安全构成威胁。因此防止ChatGPT被滥用以进行网络钓鱼攻击是非常重要的。在反钓鱼方面,需要ChatGPT有对应文本检测能力,可以用于监控电子邮件和消息,以检测语言模式的异常,并警示用户注意避免钓鱼攻击,并提示用户不要输入任何敏感信息。
2023-04-14 14:52:37
4000
原创 想学习网络安全没有基础有什么好的建议?
近几年,随着网络安全被列为国家安全战略的一部分,这个曾经细分的领域发展提速了不少,除了一些传统安全厂商以外,一些互联网大厂也都纷纷加码了在这一块的投入,随之而来的吸引了越来越多的新鲜血液不断涌入。
2023-04-12 19:41:20
97
原创 2023最新网络安全岗位面试题汇总(附答案解析)
注:本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。今天的分享到这里就结束了,希望对大家的面试有帮助,如果大家有需要补充的地方,也可以在评论区告诉我!以下为网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。注:面试题已整理成PDF文档形式,需要的小伙伴点击公众号。
2023-04-12 15:05:47
182
原创 移动安全技术应用趋势及未来发展,防止移动端黑客攻击
移动互联网已成为人们日常生活中必不可少的一部分,随之而来的是移动设备上的安全问题也越来越引人注目。移动端黑客攻击、隐私泄露等问题已经成为不容忽视的风险。为了保护用户的安全和隐私,移动安全技术不断地发展和完善。
2023-04-12 14:46:01
717
原创 注意!2023年你必须要了解的IT各行业趋势
人工智能蝉联了将近一个月的热门话题,用户最开始只是用来写论文、查资料、写代码,如今GPT-4已经能为人类安排菜谱了。科技的发展总是超乎我们想象边界,如果想快速跟上科技潮流,那么我们就一定得从了解IT行业趋势入手,了解这些趋势,让你不再迷茫~
2023-04-08 15:16:21
963
原创 网安必备知识:常见的安全设备
网络安全设备是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网 之间的界面上构造的保护屏障,针对不同的应用场景有不同的作用,常见的安全设备有防火墙,态势感知,IDS,IPS,全流量分析,漏洞扫描,蜜罐 ,安全邮件,EDR等等。 态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动, 是安全能力的落地。 蜜罐这个词,最早是被猎人使用的,对,就是进山打猎的人。
2023-04-08 14:46:29
5122
原创 常见网络安全问题概述
在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。——故意篡改网络上传送的报文。主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。1.4.恶意程序(rogue program),而更改信息和拒绝用户使用资源的攻击称为。多抽出1分钟来学习,让你的生命更加精彩!1.1.计算机网络面临的安全性威胁。——从网络上窃听他人的通信内容。——有意中断他人在网络上的通信。1.3.计算机网络通信安全的目标。1.5.计算机网络安全的内容。——伪造信息在网络上传送。
2023-04-07 22:38:42
195
原创 SIESTAGRAPH 开发了新的恶意软件 NAPLISTENER
在监控 REF2924 团伙时,研究人员发现攻击者将注意力从数据窃取转移到持久化。2023 年 1 月 20 日,攻击者使用类似于 Microsoft 分布式事务处理协调服务(msdtc.exe)的合法二进制文件的命名约定,创建并安装了一个新的可执行文件 wmdtc.exe 作为 Windows 服务。Wmdtc.exe 是一个用 C# 编写的 HTTP 监听程序,被命名为 NAPLISTENER。与 SIESTAGRAPH 开发的其他恶意软件类似,NAPLISTENER 旨在逃避各种形式的网络检测。
2023-03-31 16:52:28
122
原创 微软正式将GPT-4引入网络安全,安全行业颠覆似乎来了
北京时间3月28日23:30,微软安全开启全球直播,重磅推出Microsoft Security Copilot——正式宣布据微软称,Security Copilot将不断学习和改进,提供对最先进的OpenAI模型的持续访问,以支持要求苛刻的安全任务和应用程序。同时,,借助微软庞大的全球威胁情报和每天数十万亿个信源提供的信息,以快速检测、响应来帮助企业更好地应对当下日益严峻的网络安全形势。,因为它在 Microsoft Azure 的超大规模基础设施上运行。
2023-03-29 16:16:46
288
原创 身份认证协议攻击:黑客不希望你了解的事情
身份认证协议是计算机网络中实现身份验证和授权的基本机制。随着互联网的发展,越来越多的应用程序需要提供对远程用户的访问控制和身份认证机制。为了更加安全和可靠地实现身份认证,人们不断地提出新的身份认证协议,例如基于密钥的Kerberos协议、基于XML的SAML协议、基于开放标准的OAuth2.0协议等。这些协议都各自具有不同的特点和应用场景,为用户提供了更加安全、智能和便捷的身份认证服务。未来随着新技术的涌现,身份认证协议也将继续发展和创新,为用户带来更好的使用体验。
2023-03-28 15:55:48
525
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人