- 博客(32)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 Dynamic Games of Complete Information
Dynamic Games of Complete InformationEntry gameAn incumbent monopolist faces the possibility of entry by a challenger.The challenger may choose to enter or stay out.If the challenger enters, the incumbent can choose either to accommodate or to fight.T
2020-05-30 20:46:03
1002
原创 Pure Strategy Game
Game Theory博弈论博弈论中有一些数学性质,要把握其中的逻辑,知道其是什么、能够解决什么类型的问题。博弈论研究的是人以及人与人之间的关系。什么是博弈?任何需要顾及到个体利益的决策过程,都是博弈。博弈的特点分布式:一般没有中央控制单元,博弈者各自为政;多成员:至少包含两名或以上博弈者;相互联系:一名博弈者的决定,可能会影响其他博弈者。基础是稳定(纳什均衡),目标是利益最大化。完整博弈过程分析博弈过程:例如大国博弈(贸易出口),或个人博弈(股票投资)一种逻辑:每个博弈者(Game
2020-05-23 13:03:33
2458
原创 【网络与系统安全实验】欺骗攻击及防御技术
【网络与系统安全实验】欺骗攻击及防御技术概述在Internet上,计算机之间相互进行的交流建立在两个前提之下:1、认证(Authentication)认证是网络上的计算机用于相互间进行识别的过程,经过认证的过程,获准相互交流的计算机之间就会建立起相互信任的关系。2、信任(Trust)信任和认证具有逆反关系,即如果计算机之间存在高度的信任关系,则交流时就不会要求严格的认证。而反之,如果计算机之间没有很好的信任关系,则会进行严格的认证。欺骗,实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者
2020-05-15 16:45:31
19624
原创 【网络与系统安全实验】口令破解及防御
【网络与系统安全实验】口令破解及防御口令的历史与现状20世纪80年代,当计算机开始在公司里广泛应用时,人们很快就意识到需要保护计算机中的信息。仅用userID标识自己,很容易被其他人得到,出于这个考虑,用户登录时不仅要提供userID来标识自己是谁,还要提供只有自己才知道的口令来向系统证明自己的身份。口令的作用口令的作用就是向系统提供唯一标识个体身份的机制,只给个体所需信息的访问权,从而达到保护敏感信息和个人隐私的作用。口令的出现提高了登陆系统时的安全性,但依然存在问题1、口令过于简单,容易被破
2020-05-15 10:50:43
9441
原创 JavaScript之BOM
JavaScript之BOM概述BOM(browser object model)浏览器对象模型,可以实现 JavaScript 与浏览器之间的交互。BOM提供了以下几种对象:1、window 对象window 是浏览器的一个实例,在浏览器中 window 对象有双重角色,它既是通过 JavaScript 访问浏览器窗口的一个接口,又是 ECMAScript 规定的 Global 对象。2、location 对象location 对象用于获得当前页面的地址 (URL),并把浏览器重定向到新的页面
2020-05-14 15:42:27
146
原创 JavaScript之DOM
JavaScript之DOMHTML DOM(Document Object Model)文档对象模型是浏览器处理网页的一种方法,包括读、增、删、改等操作。浏览器进行网页加载时,会建立 DOM 树,并将网页元素放置在不同节点,不管简单的或者复杂的网页,都可以基于这个DOM模型进行处理。(抓一个对象施加一个方法------->DOM)DOM 将 HTML 网页的所有内容都看成节点,包括标签、元素、内容、注释等。JavaScript 可基于DOM方法对HTML网页进行可编程可拓展的高级处理,不仅
2020-05-14 13:24:41
197
原创 JavaScript快速入门学习笔记
JavaScript快速入门学习笔记JavaScript简述HTML 可以为网页搭建结构并提供内容,CSS 可以为网页提供了样式和排版。有了 HTML 和 CSS 这两个标记型语言,一个完整的网页可以制作完成并呈现到用户浏览器上,那么,为什么还需要学习 JavaScript 呢?相比 HTML/CSS,JavaScript 是一个真正意义上的 Web 前端语言,它是专门为 Web 而生的面向对象的客户端脚本语言。JavaScript语言可以直接嵌入网页运行,实现动态特效、表单验证、创建Cookies、修
2020-05-13 16:41:31
243
原创 API是什么?如何通俗的理解API呢?
API是什么?如何通俗的理解API呢?API,Application Programming Interface,应用程序接口。是一个非常抽象,但又十分重要的概念。常听到有程序员工作内容是负责编写接口,为什么要编写接口呢??举一个例子,用户登录微信后打开了一个微信小程序,点击了某个按钮(调用了某个指定的接口),就可以访问某个网站,而这里的接口就使得用户可以通过微信小程序来访问某个指定的网站。编程语言常涉及到的函数、类,其实就是所谓的接口。开发人员编写一段具体的函数(接口)用于实现用户通过某一软件或硬
2020-05-13 16:12:26
1732
原创 CSS快速入门学习笔记
CSS快速入门学习笔记概述CSS 即层叠样式表(Cascading Style Sheets),用于定义 HTML 内容在浏览器内的显示样式,如文字大 小、颜色、布局等。CSS 分为内联式、嵌入式和外联式三类(三类的优先级为距离被修饰内容越近越优先),具有继承和层叠的特点。语法CSS 的代码语法由选择器和声明组成。p { font-size:10px; } p为选择器,{font-size:10px}为声明,声明由属性和值组成,其中font-size为属性,10px为值。举例:<!
2020-05-12 18:34:46
207
原创 HTML快速入门学习笔记
HTML快速入门学习笔记HTML 介绍HTML(HyperText Markup Language)即超文本标记语言,是用来描述网页的一种语言。用 HTML 编写的文档称为 HTML 文档,也叫做Web 页面,包括了 HTML 标签、文本、图片、视频等内容。标记语言是一套标记标签(markup tag),不同于编程语言 ,markdown 语言也是一种标记语言。HTML、CSS、JavaScript 的关系:HTML、CSS、JavaScript 都是 Web 开发工程师必备的语言,HTML 用于承
2020-05-10 17:20:51
341
原创 HTTP消息报文之实体报文
HTTP消息报文之实体报文实体字段可以存在请求和响应报文中,针对实体内部进行描述。用于表示请求和响应正文的属性,包括介质类型、长度、压缩方法、最后一次修改时间等。Content-Type用于表示实体内容的介质类型。Content-Type: text/html; charset=UTF-8Content-Type: image/jpegContent-Type: application...
2020-05-07 22:38:43
296
原创 HTTP消息报文之通用报文
HTTP消息报文之通用报文通用字段可以存在请求和响应报文中。Connection用于表示连接是否可持续。Connection: keep-alive//keep-alive//closeCache-Control用于控制缓存信息。Cache-Control: no-cache//防止缓存过期的网页信息,要求获取最新缓存Cache-Control: max-age=946...
2020-05-07 22:23:39
336
原创 HTTP消息报文之响应报文
HTTP消息报文之响应报文响应头出现在响应报文中,用于服务端根据客户请求做响应。Server表示 Web 服务器信息,例如服务器是通过哪个软件来提供服务、使用的语言、加密的隧道等。为了安全性,可以关闭或修改。Server: nginx/1.4.6 (Ubuntu)Server: ApacheX-Powered-By表示服务器的程序版本,为了安全性,可以关闭或修改。X-Power...
2020-05-07 17:23:11
388
原创 HTTP消息报文之请求报文
HTTP消息报文之请求报文请求头出现在请求报文中,用于客户端将附加信息告知服务端。Host表示请求的主机和端口。例如 Host: www.pinginglab.net,该地址可以是域名也可以是 ip 地址,默认端口为80。User-Agent"用户代理"用 于将客户端的操作系统和浏览器信息告知服务器,服务端可以根据这个字段,判断并统计终端用户的类型。很多安全软件可以伪造这个字段,欺...
2020-05-07 16:26:24
758
原创 HTTP响应方法
HTTP响应方法响应状态码状态码的职责是当客户端向服务器端发送请求时,描述返回的请求结果。借助状态码,用户可以知道服务器端是正常处理了请求,还是出现了错误。状态码分类1xx 正在处理,范围: 100~1012xx 成功处理,范围: 200~2063xx 重定向,范围: 300~3074xx 客户端错误,范围: 400~4175xx 服务器错误,范围: 500~505常见状态码2...
2020-05-07 13:42:02
338
原创 HTTP请求方法
HTTP请求方法GET方法用于请求指定页面信息,一般的浏览网页便是采用 GET 方法,请求访问的内容一般会显示在浏览器地址栏中。POST方法用于请求并提交内容到指定页面信息,提交表单/上传文件便是采用 POST 方法,提交的内容不会显示在浏览器地址栏,相对 GET 安全一些。HEAD方法跟 GET 方法类似,只不过返回的响应中没有具体的内容,用于获取报头,扫描器做内容探测的时候经常会用...
2020-05-07 11:51:06
209
原创 wireshark抓取电脑访问本机web站点流量方法
wireshark抓取电脑访问本机web站点流量方法在本地搭建一个web网站,并用本机进行访问,此时的访问流量如何抓取呢?本地网站地址是 127.0.0.1 (逻辑地址),所以即使站点可以正常访问,直接点击本地连接(物理网卡)是抓取不到的。可以通过安装 Nmap 的一个 npcap 插件来解决此类问题,安装插件后,电脑会多出一张网卡。这样就可以抓取到本机访问本机站点的流量。...
2020-05-07 11:29:38
1489
原创 HTTP请求响应
HTTP请求响应客户端与服务器建立会话,抓取流量并对请求响应格式进行分析。HTTP协议抓取1、打开 Wireshark 监听电脑网卡2、浏览器输入网址访问3、过滤 HTTP 流量并追踪4、观察HTTP请求响应内容HTTP请求HTTP请求分为三个部分,请求行(Request Line)、请求头(Header)、请求信息(Body)请求行由三部分组成,第一部分是请求动作,GET...
2020-05-07 10:52:19
187
原创 HTTP协议概述
HTTP协议概述定义HTTP 即 Hyper Text Transfer Protocol(超文本传输协议),用于实现 Web 服务器到客户端之间的通信。起源HTTP 源自1960年,美国人 Ted Nelson 构思了一种通过计算机处理文本信息的方法,并称之为超文本( hypertext )。Ted Nelson 组织协调万维网协会(World Wide Web Consortium)...
2020-05-07 09:42:50
309
原创 Discuz安装与配置
Discuz安装与配置常见Web应用( CMS )博客: WordPress建站: Joomla (囧啦)、DedeCMS (织梦CMS )、EmpireCMS (帝国CMS)、PHPCMS电商: ECshop论坛: Discuz、PHPwind、 XiunobbsXAMPP路径1、安装 bitnami 拓展包时,将 Web 应用放置在 C:\xampp\apps2、安装原生 We...
2020-05-06 18:00:09
977
原创 XAMPP原理与实践
XAMPP原理与实践Web集成环境WordPress 在线建站是基于云端进行部署,所需要的系统、PHP、MySQL操作都自动完成,在线建站只需要点击界面按钮便可快速完成。而常规完整地搭建一个网站的思路是,PHP编辑环境、MySQL数据库、WordPress软件包等都需要自行下载安装,每一个软件都需要在独立部署的前提下考虑之间的兼容性,满足以上才能顺利的建成一个可供用户访问的网站。考虑到环境搭建...
2020-05-06 16:02:00
1134
原创 WordPress在线建站
WordPress在线建站简介WordPress是全球最广泛使用的内容管理系统(CMS),通过 WP 可以在几分钟内创建自己的网站;WordPress 第一版发布于2003年5月27号,作者是 Matt Mullenweg 和 Mike Little;WordPress遵循 GPL 协议发布,免费且开源,基于 PHP+MySQL 技术开发;WordPress 拥有全球最强大的插件和模板,通过...
2020-05-06 11:31:14
930
原创 冰河入侵与防御
冰河入侵与防御用于学习,禁止用于非法攻击冰河木马网络客户/服务程序,用于远程访问及控制,是国产木马的标志和代名词。环境说明WinServer 2003 为攻击机(10.1.1.31),WinXP 为靶机(10.1.1.97),相互 ping 通。操作步骤1、下载冰河木马到 Windows server 2003G_Client 为客户端,在攻击机本地打开,用来为靶机的后门程序做控...
2020-05-05 15:43:41
1195
原创 Meterpreter后渗透测试
Meterpreter后渗透测试特征Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个 meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到...
2020-05-05 15:33:31
541
原创 自动化渗透
自动化渗透将设备扫描、漏洞扫描、漏洞攻击等一系列步骤自动化,减少人工干预,提高渗透测试效率。msf > db_nmap -T aggressive -sV -n -O -v 10.10.10.130//msf 调用 nmap,扫描主机,并将扫描的内容存储进入数据库//-T Aggressive:采用最快的时间扫描//-sV :判断提供的服务和软件版本//-n:不做 DNS 解析,...
2020-05-05 10:53:09
1256
原创 社会工程学攻击案例-邮件钓鱼
社会工程学攻击案例-邮件钓鱼BT5实现root@bt:~# cd /pentest/exploits/setroot@bt:/pentest/exploits/set# ./setSelect from the menu:1) Spear-Phishing Attack Vectors2) Website Attack Vectors3) Infectious Media Gene...
2020-05-04 22:11:28
2177
3
原创 社会工程学攻击案例-网站钓鱼
社会工程学攻击案例-网站钓鱼渗透攻击原理攻击机与其他主机在同一局域网内,通过 ARP 欺骗使其他主机的流量都经过攻击机,有选择性的抓取数据包,例如攻击者想要窃取用户登录百度网站的信息,采取克隆站点的方式,来强制引导用户主机的流量。 该攻击方式需要执行以下三个步骤:1、ARP 欺骗2、域名劫持3、网站克隆BT5实现1、启动社会工程学攻击集root@bt:~# cd /pentes...
2020-05-04 17:43:51
4004
原创 社会工程学攻击案例-伪装木马
社会工程学攻击案例-伪装木马msfpayload 做后门程序root@bt:~# mkdir /root/example_01//生成目录,名称为example_01//将putty软件拷贝到此目录下(可以在gns3安装目录下找到或者到网上下载,注意要英文版)root@bt:~# cd /root/example_01/ //进入此文件夹root@bt:~/example_01# ...
2020-05-02 17:09:44
1451
1
原创 Office(word)渗透攻击实战案例
Office(word)渗透攻击实战案例MS10-087如果用户打开或预览特制的RTF电子邮件,则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比,将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。低版本的word版本会出现RTF文件漏洞。攻击复现msf > search ms10...
2020-05-02 11:48:27
1272
原创 Linux系统服务渗透攻击-Samba安全漏洞
Linux系统服务渗透攻击-Samba安全漏洞Samba安全漏洞linux 环境下常用的 samba 服务低版本存在溢出攻击。Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等...
2020-05-01 22:51:04
3007
VRRP实现网关冗余.rar
2020-04-03
BGP综合实验.rar
2020-03-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人