网络安全
文章平均质量分 75
小名空鵼
雷池社区版好用
展开
-
2023年国内最好用的免费 WAF(防火墙) 软件!!!
2023年国内最好用的免费 WAF(防火墙) 软件!!!原创 2023-10-27 16:59:20 · 1774 阅读 · 0 评论 -
使用WAF防御网络上的隐蔽威胁之反序列化攻击
反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。原创 2024-01-29 11:35:31 · 608 阅读 · 0 评论 -
雷池WAF社区版的使用教程
所有的对50005端口的请求都会被转发到我们部署的DVWA网站,实际上隐藏了DVWA网站的ip。关于动态口令需要使用相关的软件,推荐一个浏览器的插件(如图),在谷歌浏览器使用非常丝滑。最近听说了一款免费又好用的WAF软件,雷池社区版,体验了一下虽然还有很多改进的空间。1.一个自定义的站点,可以使用网上一些开源的站点,因为用来学习,这里使用。这里就比较厉害了,雷池没有使用传统的账号密码,使用了动态口令的方式。配置完成的以后的原理是 ,对外公开雷池的地址和配置的50005端口。原创 2023-11-04 15:32:58 · 1571 阅读 · 0 评论 -
JAVA安全入门之反射
的作用是通过反射获取一个类的某个特定的公有方法,然后利用这个方式来获取。是一门静态语言,我们通过反射就可以达到动态的语言的特性。2、如果你知道某个类的名字,想获取到这个类,就可以使⽤。可以看到在这里抛出了异常,在此先不细说中间是怎么校验的。这里做了一些操作,可以自己跟一下,这里就不过多叙述了。1、如果已经有了一个类的实例,我们只需要用。如果你已经加载了某个类,只是想获取到它的。看到这个名字就能看出来,他就是一个类的。来导入类,这一点是攻击者想要的,而。的方式来加载内部类,从而一系列操作。原创 2023-10-31 12:00:52 · 512 阅读 · 0 评论 -
威胁建模的理解
四个维度理解1.动词,威胁建模,强调了分析和发现产品自身缺陷的执行过程2.名称,威胁建模,是一个已经固化的发现风险的框架体系,当我们的产品通过结合这个框架去执行时,能够发现潜在的风险3.威胁建模师一种通过理想化攻击者发起一些列攻击行为,从中发现更多深入的安全风险4.威胁建模有时是一种比较抽象的概述,例如篡改的风险,在应对不同的产品会做出不同的调整和变化。原创 2021-02-02 21:06:36 · 1893 阅读 · 0 评论 -
漏洞定级标准参考
SRC漏洞定级标准分资产,核心资产,一般资产,边缘资产严重漏洞:1.不需要登录直接获取设备root权限的漏洞,包括但不限于上传Webshell,任意代码执行,远程命令执行等2.不需要登录直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等3.不需要登录直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的帐密校验逻辑、支付逻辑漏洞等高危漏洞:1.需要登录的重要业务铭感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据原创 2021-01-28 11:21:07 · 8832 阅读 · 0 评论 -
测试需要掌握的安全基础知识
什么是漏洞?安全漏洞是信息系统在生命周期的各个阶段(设计,实现,运维等)产生的某一类问题,这些问题会对系统的安全(机密性,完整性,可用性)产生影响漏洞和bug的关系是什么?漏洞不等于bug, BUG影响功能,不一定涉及安全性,不构成漏洞大部分漏洞源于bug,漏洞和bug有一个交集常见的web漏洞有哪些SQL注入 (通过插入sql语句到参数中,让其后台sql服务器解析执行进行攻击)变量类型分类 数字型(报错注入),字符型(盲注)...原创 2021-01-26 11:27:45 · 535 阅读 · 3 评论