- 博客(1331)
- 收藏
- 关注
RSS订阅原创 Web 安全之路径遍历攻击详解
路径遍历攻击的核心原理在于利用目标系统处理用户输入时的不安全或疏忽行为,尤其是当应用程序接受用户提供的文件名或路径,并据此进行文件操作(如读取、写入或执行文件)时。攻击者会提交精心构造的恶意路径,其中包含了特殊的字符序列或编码,使得原本应该在限定目录下的文件操作跨越了预设边界,进而访问到服务器文件系统的其他位置。
2024-08-27 13:00:00
841
原创 Web 安全之点击劫持(Clickjacking)攻击详解
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
2024-08-27 12:00:00
1294
原创 Web 安全之 Permissions Policy(权限策略)详解
Permissions Policy 为 web开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
2024-08-27 11:15:00
740
原创 Web 安全之 CSV 注入攻击详解
CSV 是一种简单的文件格式,用于存储表格数据,每行一个数据记录,每个记录由逗号分隔的多个字段组成。CSV文件因其简单性和跨平台性而被广泛使用,在数据导出和导入中尤其常见。CSV 注入攻击是攻击者通过某些方式在 CSV 文件中注入恶意的代码,并利用电子表格软件处理 CSV文件时的特性来执行恶意代码实现非法操作的攻击方式。这种攻击通常发生在应用程序在处理 CSV文件时,没有正确地校验或转义用户输入的特殊字符,从而被攻击者利用在 CSV 文件中注入恶意代码。
2024-08-27 10:00:00
596
原创 Web 安全 PHP 代码审查之常规漏洞_rips工具漏洞利用生成的php代码如何使用(3)
这些是seay 第一个版本的部分功能,现在最新版本是2.1。
2024-08-27 09:00:00
884
原创 Web 安全 PHP 代码审查之常规漏洞
工欲善其事,必先利其器。我们做代码审计之前选好工具也是十分必要的。下面我给大家介绍两款代码审计中比较好用的工具。功能介绍RIPS 是一款基于 PHP 开发的针对 PHP 代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员 Johannes Dahse 开发,程序只有 450KB,目前能下载到的最新版是0.55。在写这段文字之前笔者特意读过它的源码,它最大的亮点在于调用了 PHP 内置解析器接口。
2024-08-26 13:00:00
1838
原创 VPN深度解析:构建安全网络的关键技术
VPN,即虚拟私人网络(Virtual PrivateNetwork),是一种网络技术,用于在公共网络上创建一个安全的网络连接。它允许用户通过加密的隧道在互联网上发送和接收数据,从而保护数据免受拦截和窥探。VPN不仅加密数据,还能隐藏用户的IP地址,提供匿名性和绕过地理位置限制的能力。这使得VPN成为了保护个人隐私、安全访问敏感资源(如远程办公系统)、以及安全浏览公共Wi-Fi网络的重要工具。无论是个人用户还是企业,VPN都提供了一种在不安全的网络环境中安全通信的有效手段。
2024-08-26 12:00:00
1097
原创 vite中配置 https 安全超文本网络协议
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-26 11:00:00
1424
原创 V2022全栈培训笔记(WEB攻防47-WEB攻防-通用漏洞&Java反序列化&EXP生成&数据提取&组件安全)
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。
2024-08-26 10:00:00
869
原创 ToDesk企业版使用测试:破解企业远程办公难题,更安全更高效_todesk部署码(1)
远程控制这个词大家应该都不陌生了,可以说是已经成为了我们日常生活和工作的重要工具。但是目前大多数人接触到的都是针对个人用户的远程控制软件,其实现在对于企业来说,将远程控制部署到日常工作的过程中是非常有必要的,不仅是为了应对外部环境的变化莫测,更能有效地提高企业内部的高效安全管理。对于企业来说,选择远程控制软件的需求无非就是:快速安装、适配性强、安全、私有化部署等。但是传统的远程解决方案不仅画面模糊、延时卡顿,远程体验大打折扣;而且无法细分远程连接权限,管理难度大;
2024-08-26 09:00:00
837
原创 HNU-计算机网络-实验5(自选)-安全相关编程实验
Rust语言有点类似python,在包管理这方面做的比c/c++好,有很多可以直接调用的包,但是这些包的迭代很快,版本号成为了一个很重要的因素,我上次只是误把pnet的"0.34.0"写成了"0.31.0"(这是pnet_transport的版本),就无法使用了。另外,是语言的官方文档。此外,理解实验的意思花了一些时间,包括向任课老师袁老师请教,向实验出题的陈学长请教,终于大概理解了这个实验想要我们干什么(实验题目的文档确实很晦涩难懂),这也导致了这个实验花的时间真的有点多了,尤其还是在接近期末周。
2024-08-25 13:00:00
687
原创 Goby安全测试工具和Goby联动
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
2024-08-25 11:00:00
859
原创 Gallia:一款针对汽车安全的可扩展渗透测试框架
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈!
2024-08-25 10:00:00
915
原创 FCIS 2023网络安全创新大会:洞察前沿技术,探索安全新境界(附大会核心PPT下载)
FCIS2023网络安全创新大会是全球网络安全领域最具影响力的年度盛会之一。本次大会以“洞察前沿技术,探索安全新境界”为主题,旨在促进全球网络安全技术的交流与合作,推动网络安全行业的创新与发展。大会设有多个主题论坛、技术研讨、创新展示和互动体验区,涵盖了网络安全技术的各个方面,包括云计算安全、物联网安全、人工智能与机器学习在网络安全中的应用、区块链技术在网络安全领域的创新等。与会者将有机会与业界领袖面对面交流,共同探讨网络安全领域的挑战与机遇。
2024-08-25 09:00:00
692
原创 FastAPI完全指南:实现高效、安全的Web开发
在快速发展的互联网时代,高效的Web开发变得尤为重要。Python作为一门广受欢迎的编程语言,其众多Web框架中,FastAPI凭借其出色的性能和易用性,成为了一个炙手可热的选择。FastAPI是一个用于构建API的现代、高性能的Web框架,它基于Python3.6+的类型提示,提供了快速、直观且易于学习的API开发体验。响应类型FastAPI允许你定义多种响应类型,包括JSON、HTML、纯文本等。return “文档定制FastAPI允许你自定义这些文档的一些方面,如标题、描述和版本号。
2024-08-24 13:00:00
1331
原创 Docker-bench-security安全CIS基准测试工具
Docker-bench-security安全CIS基准测试工具介绍使用Docker来容纳您的应用程序和服务可以为您提供开始即用的一些安全优势,但默认的Docker安装仍然有一些空间可用于一些与安全相关的配置改进。在为了促进互联网安全创造了。随后,Docker团队发布了一个安全审计工具- Docker Bench forSecurity,在Docker主机上运行此清单并记录它发现的任何问题。在本教程中,我们将安装Docker Bench for Security,然后使用它来评估Ubuntu。
2024-08-24 12:00:00
534
原创 Day66:WEB攻防-Java安全&;SPEL表达式&;SSTI模版注入&;XXE&;JDBC&;MyBatis注入
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024-08-24 11:00:00
745
原创 CTF常用工具_实时更新
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!
2024-08-24 10:00:00
974
原创 CTF比赛必备常用工具
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
2024-08-24 09:00:00
638
原创 2024年网络安全最新Web服务器配置安全(1)
Web服务器是提供网站和应用程序的基础设施,安全配置是确保Web服务器及其上运行的应用程序的安全性和稳定性的重要步骤。本文将探讨Web服务器安全配置的要点,包括常见的安全漏洞、配置建议和注意事项,以及如何保持Web服务器的安全性。在配置Web服务器安全性时,需要了解一些常见的Web服务器安全漏洞,以便更好地识别和解决问题。Web服务器安全配置是保护Web应用程序和用户数据的关键步骤。在配置Web服务器时,需要了解常见的Web服务器安全漏洞,并采取相应的措施来防范和解决这些漏洞。
2024-08-23 12:00:00
609
原创 2024年渗透测试:账号安全_怎么测试不收集用户任何用户信息,2024软件测试精选面试实战总结整理
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-23 11:00:00
1580
原创 2024年被黑客攻击了,登录流程要怎么做才安全_攻击快去登录,实战篇
本文梳理了设计登录流程需要考虑的一些关键点。世界上没有绝对安全的系统,有价值的网站和应用都是黑客攻击的重点对象。工作中务必重视安全问题,发现漏洞及时修复。也要考虑网站数据的重要程度,采取合适的防护措施。为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
2024-08-23 10:00:00
792
原创 2023最新版—Brup_Suite安装配置----最详细的教程(测试木头人)
Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。我们在做Web安全测试时也会用到此工具。
2024-08-23 09:00:00
733
原创 【网络安全篇】php伪协议-漏洞及其原理
🏆今日学习目标:🍀学习php伪协议✅创作者:贤鱼⏰预计时间:35分钟🍁贤鱼的个人社区,欢迎你的加入🍁如果有需要可以查看下面文章。
2024-08-22 12:00:00
713
原创 【网络安全】你不能错过的一本红蓝攻防鸿篇巨著
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
2024-08-21 13:00:00
799
原创 【网络安全】关于CTF那些事儿你都知道吗?
CTF比赛是快速提升网络安全实战技能的重要途径,已成为各个行业选拔网络安全人才的通用方法。1.线下CTF比赛培训中存在严重的“最后一公里”问题,线下培训讲师的水平参差不齐。2.国内高等院校和职业院校的网络空间安全学科与专业缺乏实战型、系统化的教材和配套实验课程。例如,Base64编码是网络安全行业必备的基础知识,但是学校的教材并不涉及该知识点,也没有专门的实验课对该知识进行讲解。3.大部分CTF比赛书籍对想学习网络空间安全技术的新人不够友好,很多初学者找不到快速、有效的学习方法。
2024-08-21 12:00:00
1713
原创 【网络安全】-安全常见术语介绍
在学习信息安全领域时,了解一些常见的术语是非常重要的。这些术语涵盖了各种安全概念和技术,对保护个人和组织的数字资产至关重要。本章将介绍一些常见的安全术语,旨在帮助小白用户更好地理解和应对不同的安全挑战。防火墙是一种网络安全设备,用于监控和控制网络流量。其主要目的是阻止未经授权的访问,保护内部网络免受恶意攻击和未经授权的访问。恶意软件是指一类意图破坏、窃取信息或者以其他恶意目的而编写的软件。这包括病毒、蠕虫、间谍软件、广告软件等。加密是一种将数据转换为难以理解的形式的过程,以保护其隐私性。
2024-08-21 11:00:00
1593
原创 【网络安全】文件包含漏洞--通过日志投毒getshell
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-21 11:00:00
710
原创 【网络安全】web安全学习指南(红队安全技能栈)
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
2024-08-21 10:00:00
1358
原创 【网络安全】渗透测试之木马免杀
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-21 10:00:00
370
原创 【网络安全】LockBit病毒入侵揭秘:如何防范与应对
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-21 09:00:00
989
原创 【网络安全】——区块链安全和共识机制
区块链技术作为一种分布式去中心化的技术,在无需第三方的情况下,使得未建立信任的交易双方可以达成交易。因此,区块链技术近年来也在金融,医疗,能源等多个行业得到了快速发展。然而,区块链为无信任的网络提供保障的同时,也面临着一些安全隐患。本文就从区块链共识层面,分析了区块链存在的攻击问题。并且我们还分析总结了未来共识算法可能的发展方向。关键字:区块链;共识算法;共识攻击;分布式安全。
2024-08-21 09:00:00
606
原创 自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
2024-08-20 13:00:00
722
原创 专为智能设备安全打造 - 基于ACM32 MCU的智能断路器方案
智能断路器是用微电子、计算机技术和新型传感器建立新的断路器二次系统。其主要特点是由电力电了技术、数字化控制装置组成执行单元,代替常规机械结构的辅助开关和辅助继电器。新型传感器与数字化控制装置相配合,独立采集运行数据,可检测设备缺陷和故障,在缺陷变为故障前发出报警信号,以便采取措施避免事故发生。智能断路器实现电子操动,变机械储能为电容储能,变机械传动为变频器经电机直接驱动,机械系统可靠性提高。断路器按其使用范围分为高压断路器和低压断路器,高低压界线划分比较模糊,一般将3kV以上的称为高压电器。!
2024-08-20 12:00:00
1818
原创 抓取电商产品数据的方法-电商平台商品详情数据-批量上架-商品搬家-电商封装API数据采集接口更高效安全的数据采集
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
2024-08-20 11:00:00
1751
原创 筑牢安全防火线,信捷科技守护贵阳公共交通平安不停歇
今年以来,各地公安机关连续通报多起火灾警示案例,一场场触目惊心的火灾事故引发社会关注。作为城市发展的重要组成部分和人员密集场所,城市公共交通的消防安全环境牵系重要民生,有效预防和减少火灾事故发生,对切实保障市民人身安全和财产安全至关重要。
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人