安全
菜鸟之小菜
菜鸟的路别人不懂!
展开
-
如何将其它javaweb项目变成可以成功在自己eclipse环境中运行的javaweb项目?
说明:此文档仅适用于以下两种情况 (1)myeclipse项目需要在eclipse环境中运行 (2)eclipse项目,但是无法在自己的电脑eclipse环境中运行 注意:以下统称这两种情况为“其它项目”具体有以下几个步骤:(1)新建一个eclipse的javaweb项目(必须确保此项目可以成功运行JSP页面) 注意:新建项目时,要生成在WE...原创 2019-06-05 20:17:14 · 3761 阅读 · 2 评论 -
密码学基础总结
密码学的几个常见概念古典密码与现代密码对称加密与非对称加密单向散列函数编码与加密数字签名与数字证书古典密码与现代密码区分古典加密和现代加密的一个很重要的因素是,古典加密一般都是比较简单的,而现代加密基本不存在手工解密的可能古典加密又分为以下两种:<1>置换密码:把明文中的字母重新排列,字母本身不变,只改变其位置。<2>代换密码:暂不补充现代加密:...原创 2019-06-05 20:13:10 · 358 阅读 · 0 评论 -
ISCC2019-MISC-Writeup-Aesop's chest and key lie within. To find it.
0x00下载附件发现是一张图片:0x01就是这样一张跳来跳去的图片,用notepad++打开在结尾处有这么一段类似base64的编码:0x02第一反应当然是base64解码一下,得出的结果是:0x03没错,就是乱码了,所以就去百度了一下,发现是AES加密,于是AES解密一下?发现无法解密,如下图:0x04于是想到应该是有秘钥,再观察一下图片,发现...原创 2019-06-03 20:08:07 · 330 阅读 · 0 评论 -
ISCC2019-WEB4-Writeup
0x00这道题整体思路是变量覆盖:PHP中会产生变量覆盖的函数有以下几种可能: $$使用不当(PHP中这种写法表示可变变量) extract函数使用不当 parse_str函数使用不当(本题就是这个函数导致的变量覆盖) import_request_variables使用不当 开启全局变量 以上这些变量覆盖的例子可查看如下博客:ht...原创 2019-06-03 20:08:29 · 365 阅读 · 0 评论 -
ISCC2019-MISC-最危险的地方就是最安全的地方
0x00 下载附件是一个压缩包: 0x01 解压压缩包是一张损坏的图片 那么就notepad++打开看一下有没有什么明显的隐写? 打开之后在最后几行明显看到了隐写的二维码,如下: 0x02 <1>binwalk...原创 2019-06-03 20:09:10 · 801 阅读 · 0 评论 -
安卓逆向神器——AndroidKiller报错那些事
最近两天在做安卓逆向的题,以前从来没接触过逆向,对安卓开发的认识也是相当肤浅,但是遇见安卓逆向,想要结果就要付出代价,不怂,干它就完事了。作为一个搞安全的时时刻刻都在接触以前没接触过的软件,没接触过的技术、知识…… 从网上找来绿色版的AK,打开看看发现页面很清爽,插件也很多,功能指定很强大了(还没用,以后熟悉了写一篇介绍AK强大功能的博客)。让人感觉很舒服,貌似版...原创 2019-05-13 14:06:32 · 1748 阅读 · 0 评论 -
RS256和HS256的区别
0x00提要: RS256:采用SHA-256 的 RSA 签名 HS256:带有 SHA-256 的 HMAC RSA是一种加密,这个是了解的,那HMAC是什么?答:Hash-based Message Authentication Code(哈希运算消息认证码)0x01以下内容为转载:原文链接:https://www.jianshu...转载 2019-05-16 21:13:00 · 7897 阅读 · 0 评论 -
JSON Web Token 入门教程
原文地址如下:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html已经转载过一篇JWT的文章了,但是觉得认识还是有些肤浅,这篇文章比上次转载的文章质量要高一些,看完之后还是会有些疑问,再慢慢查查吧!如果有需要的话,就最近写篇文章讲讲这个,或者,再转载几篇质量高的文章JSON Web Token(缩写 JWT)...转载 2019-05-16 20:37:31 · 351 阅读 · 0 评论 -
详谈单点登录——SSO
转载自https://yq.aliyun.com/articles/636281且版权归原作者所有,如您觉得小菜有侵权行为请联系小菜,小菜将及时删除背景在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营...转载 2019-05-15 21:23:39 · 139 阅读 · 0 评论 -
JSON WEB TOKEN
什么是JWT(JSON WEB TOKEN)转自于:http://www.jianshu.com/p/576dbf44b2ae 文章错别字、语义错误及一些专有名词的小错误 小菜略有修改什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分...转载 2019-05-15 21:17:54 · 108 阅读 · 0 评论 -
Webshell免杀套路
0x00 说明一下,之所转载这篇文章的原因 因为前几天详细看了几个小马,想研究一下免杀的技巧,研究了下火绒安全对小马的免杀效果,跟下面描述的效果差不多,不过像D盾,360网站安全卫士等等的这些WAF效果我就不清楚了 其实总结下来,免杀的技巧大概就是各种方式的编码(包括base64、ascii的转换……),各种字符串的组合(绕过特征码) 转载自4...转载 2019-05-14 09:40:53 · 2186 阅读 · 0 评论 -
一个渗透的“骚”思路
以下思路都是思路而已^_^我没有实践过,只是想到可以这么做。 有时候去挖一些企业的漏洞的时候,会很难下手(只是对菜鸟的我来讲)如果从外部不能下手,那就从内网突破呢?没毛病啊,如果可以的话,到公司附近,想办法连上公司的wifi,了解网络的小伙伴应该都知道wifi一般都是内网了,而且内网里也是安全最薄弱的地方,可能没有防火墙,没有IDS,没有IPS,这些防护设备对渗透...原创 2019-06-05 20:20:49 · 259 阅读 · 0 评论