- 博客(59)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 信安软考 第十九章 操作系统安全保护
操作系统(operating system),以下都简称OS操作系统负责计算机系统的资源管理,支撑和控制各种应用程序运行,为用户提供计算机系统管理接口。操作系统是构成信息网络系统的核心关键组件,其安全可靠程度决定了计算机系统的安全性和可靠性。一般来说,操作系统安全是指满足安全策略要求,相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行。
2022-10-19 23:14:25
5222
1
原创 信安软考 第十七章 网络安全应急响应技术原理与应用
网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、 分析、响应和恢复等工作网络安全应急响应是网络空间安全保障的重要机制,《中华人民共和国网络安全法》(第五章监测预警与应急处置)中明确地给出了相应的法律要求。
2022-10-18 23:38:24
1406
原创 信安软考 第十八章 网络安全测评技术与标准
常见的网络漏洞扫描工具有Nmap、Nessus、 OpenVAS。,是从风险管理角度,评估系统面临的威胁以及脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响,提出有针对性的抵御威胁的方法措施,将风险控制在可接受的范围内,达到系统稳定运行的目的,为保证信息系统的安全建设、稳定运行提供技术参考。网络信息系统安全风险测评从技术和管理两方面进行,主要内容包括系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析等,出具风险评估报告,提出安全建议。
2022-10-18 20:09:49
2480
原创 信安软考 第十六章 网络安全风险评估技术原理与应用
网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然地威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学的评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。简单的来说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。网络安全风险评估涉及。
2022-10-18 19:17:11
2582
原创 信安软考 第26章 大数据安全需求分析与安全保护工程
大数据被列为网络安全等级保护2.0的重要保护对象,主要包括大数据自身及其平台、业务、隐私、运营等方面的安全保护技术。阿里巴巴面向电商行业提供的大数据平台,从业务、数据和生态三个层面来保护数据安全与隐私,如图。(涉及数据的采集、存储、使用、传输、共享、发布、销毁等全生命周期多个方面)(涉及物理环境、网络通信、操作系统、数据库、应用系统、数据存储)(保护数据的安全流动和共享,防止数据扩散、数据滥用问题)(如大数据分类分级、安全服务及平台的安全维护)(3)数据失真与大数据污染安全风险。(6)数据交易安全风险。
2022-10-17 23:32:43
1551
原创 信安软考 第十五章 网络安全主动防御技术与应用
入侵阻断是网络安全主动防御的技术方法,其基本原理是通过对目标对象的网络攻击行为进行阻断,从而到达保护目标对象的目的。
2022-10-16 21:43:27
5081
原创 信安软考 第二十章 数据库系统安全
数据库是网络信息系统的基础性软件,承载着各种各样的数据,成为应用系统的支撑平台。数据库库安全是指数据库的机密性、完整性、可用性能够得到保障,其主要涉及数据库管理安全、数据安全、数据库应用安全以及数据库运行安全。国外主流的数据库系统有MS SQL、MySQL、Oracle、DB2等,国产数据库系统主要有人大金仓、达梦等。目前所面临的数据库安全主要有:(1)授权的误用合法用户越权窃取、修改或破坏机密资源,授权用户将自身的访问权限不适当的授予给其他用户(2)逻辑判断和汇聚。
2022-10-16 20:23:10
1866
原创 信安软考 第二十五章 移动应用安全需要分析与安全保护工程
移动应用系统包括三个部分:**移动应用(APP)**、**通信网络**(包括无线网络、移动通信网络、互联网)、**应用服务端**(有相关服务器构成,处理来自app的相关信息数据)
2022-10-16 16:31:43
1572
2
原创 信安软考 第十四章 恶意代码防范技术原理
恶意代码(Malicious code),是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另一外一台计算机系统,未经授权认证访问或破坏计算机系统。通常许多人认为“病毒”代表了所有感染计算机并造成破坏的程序,但实际上,换成“恶意代码”更为贴切,病毒只是恶意代码的一种。恶意代码的种类包括。
2022-10-13 21:50:34
2264
原创 信安软考 第十二章 网络安全审计技术
网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。我国国家标准GB 17859《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级开始要求提供审计安全机制。
2022-10-12 22:33:33
4961
原创 信安软考 第十三章 网络安全漏洞防护技术原理
网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常被称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控性下降、真实性不保等。根据安全补丁的状况,将漏洞分为普通漏洞和0-day。普通漏洞指安全厂商已有修补方案的漏洞,0-day是指系统或软件中新发现的、尚未提供补丁的漏洞。
2022-10-11 21:49:23
2292
原创 信息安全软考 第十章 入侵检测技术原理应用
美国专家讲入侵定义为“非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作”。我们一般认为,入侵应与受害目标相关联 ,该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是否为入侵的依据是:对目标的操作是否超出了目标安全策略范围。因此入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
2022-10-11 20:58:43
2393
原创 信安软考 第十一章 网络物理隔离技术与应用
随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。同时,内部网的用户因为安全意识薄弱,可能有意或者无意地建敏感数据泄露出去。因此,就有专家提建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁”。《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机系统不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。尽管物理隔离能够强化保障涉密信息系统的安全,却不便于不同安全域之间的信息交换,尤其是低级别安全域向高级别安全域导入数据。
2022-10-11 19:38:21
1647
原创 信安软考——第七章 访问控制技术原理与应用
在网络信息化环境中,资源不是无限开放的,而是在一定约束条件下,用户才能使用 (例如,普通网民只能浏览新闻网站,不能修改其内容)。由于网络及信息所具有的价值,其难以避免地会受到意外的或蓄意的未经授权的使用和破坏。 而访问控制是指**对资源对象的访问者**授权、控制的方法及运行机制的管理。
2022-09-05 23:04:25
2923
1
原创 信安软考——第六章 认证技术原理和应用 笔记记录
> 1. ==认证概述※==> 2. 认证语认证过程> 3. ==认证技术方法※==> 4. 认证主要产品于技术指标> 5. 认证技术应用>
2022-08-29 23:16:07
1951
原创 信息安全软考—— 第五章 物理与环境安全技术 学习笔记
1. 物理安全概念与要求> 2. 物理环境安全分析与防护> 3. 机房安全分析与防护 ==**※**==> 4. 设备通信线路安全分析与防护> 5. 设备实体安全分析与防护> 6. 存储介质安全分析与防护
2022-08-25 23:05:09
2722
2
原创 信息安全软考——第四章 网络安全体系与网络安全模型 知识点记录
网络安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人员安全素质的综合。一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
2022-08-24 22:47:13
1789
原创 信息安全软考 第二章 网络攻击原理与常用方法笔记总结
网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。信息泄露攻击完整性破坏攻击拒绝服务攻击非法使用攻击。......
2022-08-16 21:51:56
3340
原创 信息安全工程师软考——第一章 网络信息安全概述笔记!!!!
第一章有八小节,在正式的考试中,会有2-3分的选择题,2-3分的案例题,主要是考概念。虽然分低,但都是一点一点积累来的,也希望你付出的时间、努力,最终能牢牢拿下这5分!
2022-08-08 22:26:38
2575
原创 公司里的VMware vSphere是用来干嘛的?—— vSphere服务器架构简单讲解
在vSphere这款产品出来前,服务器的架构是这样的,就是和正常的pc主机一样。要么安装的是windows操作系统,要么安装的是linux操作系统。但事实上,一台企业服务器如果只安装一台操作系统,它的资源利用率在很多情况下可能不会超过百分之十。(企业中服务器的配置不是一般电脑能比的,运行内存1个T是什么概念。)所以为了充分利用计算机资源,于是就出现了VMwareVsphere这套虚拟服务化的产品。vSphere这款产品出来后,服务器的架构如下。......
2022-07-31 17:14:02
3829
原创 Java正则表达式总结 ^_^
引用B站韩顺平正则表达式精讲菜鸟教程正则表达式30分钟入门教程Java正则表达式介绍 正则表达式(Regular Expression)—— 是一种对字符串操作的逻辑公式,用事先定义好的特殊字符和特殊字符组合来组成一个“规则字符串”。再利用这个“规则字符串”来表达对字符串的过滤。 正则表达式不是只java才有,很多语言都支持正则表达式进行字符串操作。Java.until.regex包主要包括如下三个类Pattern类 pattern对象是一个正则表达式的编译表示。Pattern
2021-12-07 15:35:33
655
原创 泛型——简要概述
引用:B站韩顺平 零基础30天学会java菜鸟教程-Java泛型泛型介绍 Java泛型(genetics)是JDK 5中引入的一个新特性,泛型提供了编译时类型安全检测机制,该机制允许程序员在编译时检测到非法的类型。泛型的本质是参数化类型,也就是所操作的数据类型被指定为一个参数。 Java泛型可以保证如果程序在编译时没有发出警告,运行时就不会产生ClassCastException异常(也就是类型安全检测机制),同时,代码更加简洁、健壮。下面用一个实例详细分析: 编写程序,.
2021-11-22 21:53:15
507
原创 Mysql数据库——UDF提权
Mysq数据库——UDF提权 在mysql数据库中,函数分为两类,普通函数,无需外部插件支持;用户自定义函数(UDF),需要外部文件支持,例如dll文件(windows系统)或者so文件(linux系统)。 UDF(user defined function)用户自定义函数,是mysql的一个拓展接口,用户可以通过自定义函数,实现在mysql无法顺利实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。 本blog主要分析的是windows下的mysql UD
2021-10-05 09:37:25
582
原创 linux——SUID提权
一、Linux之特殊权限——SUIDLinux的文件操作除了普通的读®、写(w)、执行(x)权限外,还有一些特殊的权限。但都可以使用chomd和chown命令来设置。他们分别是SUID、SGID、Stricky Bite,ACL's,SUDO and SELinux等这里只针对SUID进行讲解什么是SUID呢?SUID(Set User ID)是给予文件一个特殊类型的权限。具体作用就是把可执行程序所有者的权限赋予可执行程序,无论执行程序的是哪位用户,可执行程序都拥有它的所有者的权限。没有设置SU
2021-10-03 10:17:38
2343
原创 [网鼎杯 2020 朱雀组]phpweb ( ̄︶ ̄)↗写给努力学习的你
本题涉及知识点date函数理解PHP反序列化一、分析创建环境,打开连接后出现一个****的图片date()函数的报错信息和时间?并且从html源码script脚本中发现,网页是每5秒就刷新一次抓包func=datep=Y-m-d h:i:s a (该参数是一个时间格式)分析:web页面出现了date函数因设置不当的报错,同时也出现了Y-m-d h:i:s a格式对应的时间。数据包中提交的是date和Y-m-d h:i:s a两个值。!!难道是.
2021-10-02 11:46:40
137
原创 ctfshow 36D练手赛 超超超级详解 ==
1、不知所措.jpg这题对我这个新手来说真的是一言难尽…太吃经验了,老手肯定是分分钟解决打开页面,这里的意思是变量$file必须要有test首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test??自动给我加了一个php难道是存在一个test.php文件?尝试,输入test自动补php,index.php?file=test.php,这是一个文件包含?也确实存在,貌似是文件包含,但是它说flag不在这儿既然是文件包含,尝试用php:
2021-09-30 17:05:32
1278
2
原创 [安洵杯 2019]easy_serialize_php (PHP字符逃逸应用,宝(/ω\)看看我吧 )
题目平台:buuctf题目名称:[安洵杯 2019]easy_serialize_php本题涉及知识点extract() 变量覆盖PHP反序列化:正常情况下,序列化的对象是一个类的实例,但实际上,数组也能序列化字符逃逸 (知识点学习链接 ) <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g
2021-09-27 17:12:09
217
原创 PHP反序列化——字符逃逸漏洞(肯定能看懂的!)
1、引子在php中,反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,例如<?php $str = "a:2:{i:0;s:4:"flag";i:1;s:6:'mikasa';}" var_dump(unserialize($str));?>#输出结果/*array(2){ [0]=> string(4) "flag" [1]=> string(6) "mikasa"}*/一般情况下,按照我们的正常理解,上面例子中变量$str是一
2021-09-26 23:15:33
1831
1
原创 [BJDCTF2020]ZJCTF,不过如此 (ಠ_ಠ,题目名字就这样,我不是,我没有)
题目地址:https://buuoj.cn本题涉及的知识点php伪协议 https://segmentfault.com/a/1190000018991087preg_replace /e 参数的代码执行 https://xz.aliyun.com/t/2557PHP中的可变变量审计代码<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&am
2021-09-26 17:18:40
71
原创 诸神之眼——nmap入门教程
文章参考了李华峰等的《Kali Linux2网络渗透测试实践指南》一、简介nmap(network mapper,网络映射器),其基本功能有三个,一是探测一组主机是否在线,其次是扫描主机端口,嗅探所提供的网络服务;还可以推断出主机所用的操作系统主机发现功能:向目标计算机发送特定的数据包组合来判断其网络状态是否开放端口扫描:检测目标主机所开放的端口服务及版本检测:判断目标计算机上运行的服务类型及版本信息操作系统检测:判断目标计算机的操作系统类型和版本信息二、基本使用方法2.1、最简单的扫描
2021-07-08 16:16:13
2147
原创 Linux_Shell编程基础学习笔记
笔记摘要于B站韩顺平图解Linux教程91~104一、Shell的简单概述1.1Shell是什么在计算机科学中,shell俗称外壳(用来区别于内核),它类似于Windows的DOS,能够接收用户的命令并翻译给操作系统执行,是用户与操作系统(内核)之间的桥梁。Shell是一个命令行解释器,它为用户提供了一个向Linux内核发送请求以便运行的界面系统级程序,用户可以用Shell来启动、挂起、停止甚至是编写一些程序查看shell查看系统支持哪些shell cat /et
2021-07-06 19:11:58
384
原创 你还在困扰NAT模式下主机和虚拟机不能ping的问题吗?Please Click in!
因为最开始一次意外,导致我的VMware网络设置中的nat模式的IP配置出现了问题,然后这个难题困扰了我很久很久,我不得不一直使用桥接模式。但今天我终于解决了!!!最重要的是,你的电脑里有一块叫VMnat8的虚拟网卡,它的作用相当于一个路由器。你虚拟机的网段必须要和VMnat8一致,而且虚拟机的网关要是和VMnat8保持一致首先,看看你的linux的网络配置情况ip:192.168.1.128 掩码:255.255.255.0 网段即为:192.168.1.0再看看你的VMnat的网络
2021-06-29 23:23:14
114
3
原创 SQL注入笔记——入门绝对没有问题
一、SQL注入概述1.1什么是SQL注入 SQL注入是后台服务器对于前端用户提交的数据没有严格的合法校验和过滤,导致前端提交到后端的数据可以被攻击者恶意修改,即构造特定sql注入语句来欺骗服务器执行SQL语句实现对数据库的任意操作1.2为什么会有SQL注入研发人员在开发过程中代码逻辑不严谨造成的,例如没有对SQL参数进行严格过滤未启用框架的安全配置,列如PHP的magic_quotes_gpc(魔术引号开关)未启用防火墙等其他安全防护设备由于前端用户传入的用户名和密码参数
2021-06-29 14:36:39
256
3
原创 B站韩顺平版Linux学习笔记(很全啊!)
老韩学习是视频一、Linux概述unix和LInux的关系LInux的应用领域服务器领域Linux在服务器领域的应用是最强的LInux免费、稳定、高效等特点在这里得到了很好的体现,尤其是在一些高端领域尤为广泛嵌入式领域linux运行稳定、对网络的良好支持性、低成本,且可以根据需要进行网络裁剪,内核最小可达到几百kb的特点,使近些年来在嵌入式领域的应用得到非常大的提高主要应用:机顶盒、数字电视、网络电话、程控交换机、手机、PDA、智能家居、智能硬件等都是其应用领域。以后在物联
2021-06-20 10:46:18
15965
13
原创 对javaScript的简单学习——笔记
笔记内容是根据尚硅谷javaweb教程编辑1、JavaScript介绍Javascript语言诞生主要是完成页面的数据验证。因此它运行再客户端,需要运行浏览器来解析执行javascript的代码。js(javascript的缩写)与java没有任何关系,是那个年代为了趁java的热度改的名。js是弱型型语言、java是强类型语言js的特点:交互性(它可以实现信息的动态交互)安全性(不允许直接访问本地硬盘)跨平台(只要是可以解释js的浏览器都可以执行,和平台无关)2、javaScript和
2021-06-06 16:09:12
101
1
原创 前端三剑客——css 学习笔记
CSS技术简单的阐述笔记是为了方便复习回顾用笔记来源是b站尚硅谷讲解的javaweb教程1、介绍css是层叠样式表单。是用于(增强)控制网页样式并允许将样式信息与网页内容分离的一种标记性语言。2、语法规则选择器:浏览器根据“选择器”决定受css样式影响的HTML元素(标签)属性(property)是你要改变的样式名,并且每个属性都有一个值。属性和值被冒号分开,并由花括号包围,这样就组成了一个完整的样式声明(declaration)例如P{color:blue}多个声明:如果要定义不止一
2021-05-28 14:39:52
397
原创 前端三剑客之——html 学习笔记
HTML部分笔记是为了方便以后自己复习所记录笔记内容是根据尚硅谷javaweb教程来的1、HTML简介Hyper Text Markup Language(超文本标记语言) 简写:HTMLHTML通过标签来标记要显示的网页中的各个部分。网页文件本身是一种文本文件,通过在文本文件中添加标记符,可以告诉浏览器如何显示其中的内容(如:文字如何处理,画面如何安排,图片如何显示等。2、创建HTML<!DOCTYPE html> <!-- 约束,声明 --><
2021-05-27 23:07:11
224
python程序大作业——特殊人物人脸识别加报警(实验报告+源码!!!!!)
2020-12-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人