网络安全
文章平均质量分 69
Web安全实例和Web安全知识要点
AiENG_07
某知名啥也不是博主
干啥啥不行 吃饭第一名
发呆业务爱好者
2006年美国周刊年度风云人物
2008年感动中国组委会特别大奖
2019年年度地球卫士奖
2022年奥林匹克杯获得者
展开
-
渗透测试常见面试题【还不来看】
如果给你一个XSS盲打漏洞,但是返回来的信息显示,他的后台是在内网,并且只能使用内网访问,那么你怎么利用这个XSS?防御CSRF都有哪些方法,JAVA是如何防御CSRF漏洞的,token一定有用么?如何利用宽字符注入漏洞,payload如何构造及修复方案?不同浏览器之间,安全策略有哪些不同,比如chrome,firefox,IE。sqlmap如何对一个注入点注入,sqlmap如何注入一个post的包?你平时用的比较多的漏洞是哪些?如何防范 XSS 漏洞,在前端如何做,在后端如何做,哪里更好,为什么?原创 2023-12-11 18:35:02 · 189 阅读 · 2 评论 -
HTTP协议
HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。。HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。原创 2023-12-07 11:31:15 · 219 阅读 · 0 评论 -
CFS三层靶机内网渗透
方法二、直接通过正向代理工具neo-regroge建立socks通道,导入流量(无法使用icmp探测存活)上传tunnel文件,建立连接。登录后:重点关注上传(头像、文件、编辑器)、导出(文件、sql语句)、自定义模版(网站结构、默认页面更改),ssrf。查找当前cms的历史漏洞,若无历史漏洞,下下策为找源代码审计,大部分系统不开源故不存在代码审计过程;接下来就可以开始内网渗透了,现在忘掉配置是的网卡信息,IP信息,后台信息等等,开始全真模拟。搭建正向代理,不需要在对方服务器中额外开通端口,利用后端代码。原创 2023-12-05 18:31:21 · 618 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(一)
实训3-1 Linux操作系统账户安全管理实训目的:1.复习Linux操作系统中用户和用户组管理的相关操作方法;2.掌握锁定用户的两种配置方法;3.掌握禁止普通用户切换到root账户的配置方法;实训要求:1.修改主机名为AAA_YY;其中AAA为姓名缩写,YY为学号末尾2位;2.新建用户AAA01,AAA02,其中AAA为姓名缩写;3.使用两种修改用户shell的方法(/bin/nologin和/bin/false),分别修改用户AAA01和AAA02的shell,使得无法从root切换到这原创 2021-09-25 15:20:09 · 349 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(八)
实训3-8 Linux操作系统日志安全管理(三)实训目的:1.掌握配置自定义日志文件轮循功能的方法;实训要求:注意:①请按照实训3-1中要求修改主机名;②请确保在实训3-6中所要求的在日志服务配置文件/etc/rsyslog.conf中添加的文件/var/log/admin_AAA.log配置正确;1.在目录/etc/logrotate.d/中新建文件admin_AAA,并且编辑该文件,要求:a.每日轮循;b.新建存储文件的权限为文件所有者可读写,组成员可读,其他用户无权限,文件所有者为r原创 2021-10-18 19:00:00 · 178 阅读 · 0 评论 -
网络安全技术 第二章----数据加密与PKI技术(二)
(14分)单选题 2-13.发送者为了保证传输消息的完整性和不可否认性,采用了( )对所传输消息的hash值进行非对称加密计算而形成了数字签名;A 发送方的私钥B 接收方的私钥C 发送方的公钥D 接收方的公钥(14分)单选题 2-3.在非对称加密算法中,通信者需要对( )秘密保存;A 解密算法B 私钥C 加密算法D 公钥(14分)单选题 2-9.在数字签名的应用中,为了保证消息的真实性,接收方使用( )对数字签名进行验证;A 接收方的公钥B 发送方..原创 2021-09-25 14:59:38 · 861 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(二)
实训3-2 Linux操作系统口令安全管理实训目的:1.掌握修改root密码的方法;2.掌握设置GRUB密码的方法;3.掌握口令屏蔽命令;4.掌握设置口令复杂度策略的方法;实训要求:注意:要求在实训前请按照实训3.1中要求修改主机名;1.在未设置GRUB密码的情况下,通过GRUB单用户模式在不知道root账户密码的情况下修改root账户的密码;2.配置GRUB口令,并尝试设置GRUB口令后是否还能如实训要求1中的方法修改密码,最后删除所设置的GRUB口令;3.通过命令设置/etc/pas原创 2021-10-17 14:40:49 · 516 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(九)
实训3-9 Linux操作系统增强安全管理实训目的:1.掌握关闭开机启动服务的方法;2.掌握修改系统banner的方法;实训要求:注意:①本次实训需要两台主机,请分别修改主机名为AAA_YY_01和AAA_YY_02,其中AAA_YY_01配置为ssh服务器,AAA_YY_02配置为ssh客户端;1.查看系统中邮件服务是否为开机启动,禁止其开机启动,禁止后查看该服务状态;2.配置文件/etc/issue,要求在系统登录前除了显示默认配置内容外,还要添加显示系统日期、时间和主机网络名信息,配置原创 2021-10-19 07:00:00 · 173 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(四)
实训3-4 Linux操作系统权限安全管理实训目的:1.复习文件/目录权限的配置方法;2.复习文件/目录所有者(组)的配置方法;3.掌握权限掩码值的配置方法;实训要求:注意:要求在实训前请按照实训3-1中要求修改主机名;1.新建用户AAA01,分别查看root账户和AAA01账户的默认umask值,并使用umask命令临时修改root账户的umask值为027,在root账户的家目录/root下新建目录test_AAA.dir和文件test_AAA.txt,查看新建目录和文件的初始权限是否符合原创 2021-10-17 19:30:00 · 475 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(七)
实训3-7 Linux操作系统日志安全管理(二)实训目的:1.掌握配置日志服务器的方法;实训要求:注意:①本次实训需要两台主机,请分别修改主机名为AAA_YY_01和AAA_YY_02,其中AAA_YY_01配置为日志客户端,AAA_YY_02配置为日志服务器;②关闭两台主机的防火墙;1.修改日志客户端主机AAA_YY_01的/etc/rsyslog.conf文件,将在实训3.6中所配置的将所有服务的info信息(/var/log/admin_AAA.log文件所记录内容)以TCP的方式发送给原创 2021-10-18 12:00:00 · 464 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(三)
实训3-2 Linux操作系统口令安全管理(二)实训目的:1.掌握设置账号口令老化时间的方法;2.掌握重复密码限制使用的配置方法;3.掌握口令锁定策略的配置方法;实训要求:注意:要求在实训前请按照实训3-1中要求修改主机名;1.新建用户AAA01并设置密码,查看其口令老化时间,修改文件/etc/login.defs中对应位置,将口令老化时间设置为1000+YY天(YY为学号末尾2位),再新建用户AAA02并设置密码,对比两个账号的口令老化时间差异;2.使用chage命令分别查看用户AAA01原创 2021-10-17 19:00:00 · 469 阅读 · 0 评论 -
第四章----网络攻击与防范(一)
(12分)单选题 4-5.下列哪种端口扫描方式会与目标主机完成3次握手过程?A TCP Connect扫描B TCP SYN扫描C TCP FIN扫描D UDP ICMP端口不可达扫描(12分)单选题 4-2. 在ARP欺骗中,嗅探者发送大量的伪造ARP应答,是为了修改( )ARP缓存;A 被嗅探者的;B 局域网中所有主机;C 交换机;D 路由器;(16分)多选题 4-7. 请问下列哪些值可能会成为攻击者识别远程主机OS的“指纹”;A TCP初始窗口值B ICMP错..原创 2021-11-12 18:39:11 · 3713 阅读 · 0 评论 -
第四章----网络攻击与防范(二)
(10分)单选题 4-8.在DNS欺骗过程中,攻击者伪造的DNS应答内容最初将被存放到( )中;A 本地DNS服务器的数据库中;B 上级DNS服务器的缓存中;C 本地DNS服务器的缓存中;D 上级DNS服务器的数据库中;(10分)单选题 4-17.在IP欺骗的源路由攻击方法中,攻击把自己的真实IP地址设置为?A 发送给被欺骗主机的IP数据包的目的IP地址B 发送给被欺骗主机的IP数据包的源路由地址列表中C 发送给被欺骗主机的IP数据包的源IP地址D 不设置在任何地方(8分)..原创 2021-11-12 18:41:48 · 3674 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(五)
实训3-5 Linux操作系统网络安全管理实训目的:1.掌握限制root用户通过ssh或者telnet远程登录系统的配置方法;2.掌握设置主机访问控制;实训要求:注意:①本次实训需要两台主机,请分别修改主机名为AAA_YY_01和AAA_YY_02,其中AAA_YY_01为实训中主配置主机,AAA_YY_02为测试用主机;②在实训前请确保主机AAA_YY_01中安装了openssh、telnet、telnet-server和xinetd软件包,主机AAA_YY_02中安装了openssh和te原创 2021-10-17 20:00:00 · 824 阅读 · 0 评论 -
第六章----计算机病毒
(8分)判断题 6-1.未达到发作条件的病毒会潜伏在计算机中,此时它不具备任何威胁;A) 正确B) 错误(12分)多选题 6-7.下列哪些措施是防范计算机病毒的有效措施?A 及时更新杀毒软件的病毒库;B 不打开来历不明的邮件和文件;C 安装并启用入侵检测系统;D 及时为操作系统和应用软件打补丁;(8分)判断题 6-9.任何病毒在进入计算机系统后都不会立即发作,而是等到病毒中设定好的时间到达时才被触发;A) 正确B) 错误(8分)判断题 6-5.当被宏病毒感染的.doc文..原创 2021-11-12 18:54:24 · 3230 阅读 · 0 评论 -
网络安全技术 第二章----数据加密与PKI技术(一)
(8分)判断题 2-6.在加密过程中,密钥长度直接关系到秘钥破解的难易程度;A) 正确B) 错误(16分)多选题 2-11.下列关于3DES描述正确的是:A 2DES加密算法是3DES算法的简化版,对明文依次进行2次DES计算;B 3DES加密算法使用相同的算法进行加密和解密,但是输入的密钥顺序相反;C 3DES加密算法是使用3个不同的密钥依次对明文进行3次DES计算;D 3DES加密算法通过增加密钥长度能更好的抵抗密钥穷举攻击;(16分)多选题 2-5.下列关于hash计算的特..原创 2021-09-25 14:54:13 · 605 阅读 · 0 评论 -
网络安全技术 第一章----网络安全概述(一)
(10分)单选题 1-7.加密算法中采用变换明文字母的顺序或者位置来隐藏明文信息的方法是:A 替代B 置换C 扰乱D 扩散(10分)单选题 1-6.单一字母替代法作为一种加密算法,可以采用哪种方法进行破解?A 穷举法B 差分密码分析C 统计分析D 密码字典(10分)单选题 1-8.信息的电子化存储相对于纸质化存储来说,容易被非法篡改而不留痕迹,此种情况是破坏了信息的:A 完整性B 可用性C 真实性D 可控性(16分)多选题 1-3.用户A向用户B发送消息告知今天..原创 2021-09-25 14:23:19 · 605 阅读 · 0 评论 -
网络安全技术 第三章----操作系统安全(六)
实训3-6 Linux操作系统日志安全管理(一)实训目的:1.掌握读取用户登录信息的命令使用方法;2.掌握日志配置文件的修改方法;3.掌握配置文件隐藏属性的方法;实训要求:注意:请按照实训3-1要求修改主机名;1.使用lastlog命令读取root账户的最后登录信息;使用last命令读取root账户最后3条登录信息;使用lastb命令读取所有登录失败信息;2.修改日志服务配置文件/etc/rsyslog.conf,要求将所有服务的info等级信息全部记录到/var/log/admin_AAA原创 2021-10-18 07:00:00 · 245 阅读 · 0 评论 -
第四章----网络攻击与防范(三)
(12分)多选题 4-21.在DDoS中,攻击者使用控制傀儡机去控制攻击傀儡机发起攻击的原因是:A 攻击者能同时发动更多的攻击傀儡机同时发起攻击;B 攻击结束后清理日志更简洁更安全;C 攻击者直接控制的傀儡机数目减少,使得攻击操作更为简洁;D 控制傀儡机与攻击傀儡机处于同一局域网内,更容易实施控制操作;(8分)判断题 4-22.针对UDP Flood攻击的指纹学习防御方法的假设基础是:攻击者为了达到短时间耗尽网络资源的目的,会采用复制或者组合等方式快速产生海量无意义大载荷UDP报文,这些U..原创 2021-11-12 18:44:25 · 1539 阅读 · 0 评论 -
网络安全技术 第一章----网络安全概述(二)
(8分)单选题 1-10.安全管理员因为自身安全意识薄弱,在配置防火墙的过滤规则时将默认规则设置为允许通过使得大量非法数据包能穿过防火墙访问到内网,给内网带来了巨大的安全隐患,请问安全管理员的行为属于:A 故意破坏者B 不守规则者C 刺探秘密者D 非恶意行为者(8分)单选题 1-16.攻击者向服务器发送大量的非法报文使得服务器瘫痪而无法应答合法用户的服务请求,请问这种攻击方法称为:A 缓冲区溢出攻击B 拒绝服务攻击C 木马程序攻击D 中间人攻击(8分)单选题 1-15.重放..原创 2021-09-25 14:48:09 · 344 阅读 · 0 评论 -
网络安全技术 第二章----数据加密与PKI技术(三)
(12分)多选题 2-30.在SSL握手协议中,客户端和服务器端交换3个随机数生成了协商密钥之后,又使用协商密钥对之前发送的消息进行了加密验证,请问这么做的目的是什么?A 服务器端验证客户端的真实性B 通信双方验证通信消息的完整性C 客户端验证服务器端的真实性D 通信双方验证协商密钥的正确性(4分)判断题 2-16.数字证书中肯定包含有一个或者多个数字证书拥有者的公开密钥;A) 正确B) 错误(12分)多选题 2-18.A和B希望进行保密通信,但是遭受了中间人攻击,主要是因为( ..原创 2021-09-25 15:10:35 · 705 阅读 · 0 评论 -
第五章----Web应用常见漏洞原理与防范
(12分)单选题 5-1.( )攻击的主要特征为攻击者直接将恶意JS代码上传到具有XSS漏洞的服务器中,当其他用户浏览该页面时,站点即从数据库中读取恶意JS代码发送给受害者,并在受害者浏览器上执行。A 反射型XSSB 存储型XSSC DOM型XSSD 突变型XSS(12分)单选题 5-4.如果用户提交用户名和密码后系统会动态生成如下SQL语句:select count(*) from admin where username=‘admin’ and password=‘pas..原创 2021-11-12 18:51:17 · 3738 阅读 · 0 评论 -
用bat制作图片马——一句话木马
此命令关闭在控制台中回显命令,因此只有命令的输出可见,而不是命令本身。: 使用二进制拷贝将图像文件和 PHP 文件合并,并创建一个新的图像文件。使用 copy 命令将两个文件的内容合并,创建一个新的图像文件。: 提示用户将 PHP 文件拖放到窗口中,并按 Enter。: 提示用户确保图像文件和 PHP 文件位于相同的路径下。: 提示用户将图像文件拖放到窗口中,并按 Enter。提示用户输入图像文件和 PHP 文件的路径。: 用于接收用户输入的 PHP 文件路径。: 用于接收用户输入的图像文件路径。原创 2023-11-29 19:20:50 · 724 阅读 · 0 评论 -
内容安全策略(Content Security Policy,CSP)
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容。内容安全策略(Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。原创 2023-10-16 11:45:01 · 197 阅读 · 0 评论 -
OWASP Top 10
注入攻击是指攻击者通过恶意输入,将攻击代码插入到正常的执行流程中,从而实现对应用程序的控制。不安全的反序列化是指攻击者发送恶意序列化数据给应用程序,从而使应用程序在反序列化数据时,执行恶意代码,实现攻击。破解身份认证是指攻击者通过猜测或使用暴力破解等手段,获取合法用户的凭证,从而进入应用程序系统中,访问保护的数据和资源,或伪造用户身份,实现非法操作。页面中嵌入脚本,使用户在访问这个页面时,脚本被执行,攻击者就能够利用脚本实现攻击,如窃取用户信息、伪造会话信息等。参数等,实现未授权的访问。原创 2023-05-24 08:40:21 · 388 阅读 · 0 评论