- 博客(15)
- 收藏
- 关注
RSS订阅原创 云计算价值和核心技术
一、云计算的价值:方便快捷,云计算产品和服务可以自助在线即时创建与开通,在分钟级别实现全球化部署,使企业业务上线的时间大幅缩短。弹性伸缩云上提供可弹性使用的资源,满足企业潮汐性业务的峰值需求。高性能、高可靠,高可用,云平台拥有多个超大型资源池,可提供超高的性能,云平台提供的产品和服务,通常默认配备数据冗余备份服务高可用等功能,在云上部署的系统可以很容易的获得更高的性能、可靠性和可用性。降低IT整体成本,首先云计算通过资源池化提高了资源的利用率,直接导致资源的使用成本降低。其次,云计算实现了资源的按
2020-07-14 05:52:47
1970
原创 云计算的概念、发展和原理
一、由来云计算提出的愿景,是要像用水用电那样使用IT服务,建立了水厂发电厂集中提供水电,家庭不再需要挖水井和买发电机,只要通过水管和电线便可享受专业的更高水平的水电服务,且按需付费,若短期突然要大量用水用电,也无需担心资源不足,用多用少可自主决定。类比到IT,便是云计算服务提供商建设好大规模的IT基础设施,通过互联网(网线或无线)为企业提供服务器(虚拟机)、存储、应用程序等的租用,企业无需自己再建设IT基础设施,便可享受专业的更高水平的IT服务,且按需付费,若短期内业务访问量暴增(如双11)需要更多的计算
2020-07-14 05:41:17
630
原创 云计算服务模式及应用
一、服务模式云计算的服务模式分为三类:IaaS(Infrastructure as a Service,基础设施即服务)、PaaS(Platform as a Service, 平台即服务)、SaaS(Software as a Servicce,软件即服务)。IaaS提供基本计算资源的租用,基本计算资源包括:计算、存储、网络等,常见的IaaS服务有:云主机、云硬盘、对象存储、弹性IP等。租户可以在上面部署应用程序、存储数据、选择网络构件,有了IaaS服务,企业不需要自己采购硬件、建设或租用IDC机房,
2020-07-14 05:41:01
2349
原创 metron简介
一、简介:Metron是一种多功能的安全遥测数据捕获、流分析和威胁响应平台,前身为Cisco公司的开源大数据系统安全框架项目OpenSOC。Metron提供的功能包括:日志的聚合、对网络包全面捕获的索引和存储、高级行为分析及数据浓缩,并可以将当前的威胁情报信息应用到安全遥测中。从概念上可划分为四个组件:数据捕获与摄取、实时数据处理、受保证的数据持久化和存储、用于驱动监控和风险报警服务的机器学习模型。二、逻辑组件:三、逻辑架构:Telemetry Event Buffer:遥感事件接收缓存,将传
2020-07-13 13:40:37
1088
原创 dvwa之XSS
一、 XSS简介XSS(Cross site scripting,跨站脚本攻击),XSS的重点不在于跨站点,而在于脚本的执行,其原理是:攻击者在web页面中插入一些恶意的script代码,当用户浏览该页面时,嵌入到页面的scripte代码执行,达到攻击用户的目的。XSS攻击主要分为几类:反射型、存储型和DOM-based型,其中反射型和DOM-based型归类为非持久性攻击,存储型为持久性攻击。二、反射型 XSS原理:攻击者通过特定的方式诱惑用户访问一个包含恶意代码的url,用户点击该url后,恶意
2020-06-14 17:55:23
325
原创 dvwa之Weak Session IDs
一、 Session IDs简介HTTP协议是无连接的协议,当客户端访问通过HTTP协议访问服务器时,服务器无法确认访问者身份。这会导致一系列的问题,比如无法判断是哪个用户登录或者无法面向用户提供差异化服务,于是session ID上场了,用户访问服务器的时候,一般服务器都会分配一个身份证 session id 给用户,用于标识。一个Session ID就对应一个客户端,用户拿到session id 后就会保存到 cookies 上,之后只要拿着 cookies 再访问服务器,服务器就知道你是谁了。但是
2020-06-12 07:23:31
289
原创 dvwa之 SQL Injection(Blind) 盲注
一、简介SQL Injection(Blind),即SQL盲注,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注思路:手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。盲注分
2020-06-08 11:05:11
530
原创 dvwa之SQL Injection
一、简介SQL Injection是一种常见的注入攻击类型,其攻击方式是在客户端的输入数据中插入SQL命令,然后发送到服务端,服务端对数据进行解析,并执行一些非预期的操作。成功的SQL注入攻击能够从数据库中读取敏感数据、篡改数据库数据、对数据库执行管理员操作,甚至执行系统命令,从而造成整个系统被攻击者控制。二、Low1、服务器端代码<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST
2020-06-05 07:31:17
248
原创 dvwa之 Insecure CAPTCHA
一、简介CAPTCHA是谷歌提供的一种用户验证服务,全称为:Completely Automated Public Turing Test to Tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试),简单来说就是用来区分人类和计算机的一种手段,可以很有效的防止恶意软件、工具人大量调用系统功能,比如注册、登录等。二、Low1、服务器端代码<?phpif( isset( $_POST[ 'Change' ] ) && ( $_POS
2020-06-01 09:15:28
273
原创 File Inclusion--文件包含漏洞
一、简介为了提高代码的复用性,开发人员往往将业务功能封装成模块放入一个文件中,需要的时候包含对应的文件即可。如果包含者为对被包含的文件进行检查,那么很有可能造成灾难性的后果。File Inclusion分为LFI(Local File Inclusion,本地文件包含)和RFI(Remote File Inclusion,远程文件包含),LFI指使用文件包含函数包含执行本地(Web应用所在主机)文件,利用LFI可以查看系统任意文件内容,如果具备一些条件,也可以执行命令;RFI需要一定的条件,以PHP应用
2020-05-27 13:58:31
717
原创 dvwa之csrf
一、简介CSRF是指在受害人不知情的情况下,以其身份向服务器发送服务器发送请求,从而执行非法操作(转账,改密等)。以转账为例,受害人A使用浏览器登录某银行网站B完成查看余额操作后,在未退出的情况下访问了攻击网站C,C利用浏览器中的Session伪造转账请求发送给B,由于B发现该转账请求包含用户登录信息,转账成功。Cross-site是指受害者在访问网站C时给网站B发送了请求,request forgery是指该请求是网站C伪造的,并不是A的本意。二、Low1、服务器端代码<?phpif(
2020-05-15 08:38:26
349
原创 命令注入(Command Injection)
一、Low1、服务端代码<?phpif( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping command. if( stristr( php_uname( 's' ), 'Windows NT' ) ) { // Windows $cmd = shel
2020-05-10 18:36:05
1019
原创 burpsuite 捕捉不到localhost(127.0.0.1)包
情况一、设置了不使用代理的IP,将其去掉即可情况二、不允许劫持localhost包:主要针对firefox浏览器,打开about:config页面,搜索network.proxy.allow_hijacking_localhost双击变为true。
2020-05-10 06:07:46
4289
6
原创 dvwa学习-brute force(暴力破解)
一、简介:Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且全部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
2020-05-09 16:05:48
1797
原创 DVWA 实验环境搭建
DVWA一、简介DVWA(Damn Vulnerable Web Application,脆弱的web应用程序)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。二、环境搭建(如果使用在线环境,此步骤可省略)1. web应用服务器和数据器搭建dvwa是一个web应用...
2020-05-09 07:36:41
941
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人