网络安全
关注
分享
扫一扫
文章平均质量分 78
专门为初学者准备的
Smile灬凉城666
这个作者很懒,什么都没留下…
展开
-
漏洞的防御
Referer校验是一种简单的CSRF防御措施,它检查HTTP请求中的Referer头部信息,确保请求来源是合法的。Referer头部通常由浏览器自动发送,包含了请求来源页面的URL。SameSite Cookie属性是一种防止跨站请求伪造的新方法。通过设置Cookie的SameSite属性,可以限制浏览器在跨站请求中发送Cookie。原创 2024-09-12 17:07:31 · 1293 阅读 · 0 评论 -
DVWA通关教程
单参数爆破,多参数时使用同一个字典按顺序替换各参数,只有一个数据会被替换在password的变蓝的地方添加playload在这里配置字典,可以看到payload是password的时候长度有变化,所以password就是密码。原创 2024-09-09 21:03:46 · 2033 阅读 · 0 评论 -
pikachu下
url变成了这样了,我们就可以新开个页面直接拿url去修改密码。原创 2024-09-12 16:18:12 · 919 阅读 · 0 评论 -
内网与外网的区别
内网(局域网,LAN):是指在某一区域内由多台计算机以及网络设备构成的网络,一般覆盖方圆几公里,如校园网、政府网等。它是一个封闭型的网络,主要由办公室内的计算机或公司内的计算机组成,用于实现内部设备之间的通信和资源共享。外网(广域网,WAN/公网):是连接不同地区局域网或城域网计算机通信的远程网,通常跨接很大的物理范围,从几十公里到几千公里不等。它是全球范围的互联网,是连接所有内网以及其他网络的公共网络,允许用户访问各种在线服务、网站和资源。原创 2024-09-12 17:25:57 · 1095 阅读 · 0 评论 -
upload-labs通关教程
首先准备一个php小马这是调用phpinfo这个函数,查看php的配置信息首先上传1.php发现使用BP抓不到包,猜测被前端验证了,查看网页源代码可以看到下面有一段js代码过滤了,只能传.jpg/.png/.gif,进行了白名单过滤,所以我们需要禁用前端的js代码使用这个扩展可以禁用前端代码的执行,也可以直接按F12进入开发者模式,在按F1进入设置这里可以禁用js代码右键在新窗口打开,出现下面的页面就成功了。原创 2024-09-10 16:50:30 · 1528 阅读 · 0 评论 -
PHP-SER-libs靶场通关(1-9)
就会直接终止,所以我们就要绕过这个匹配,在序列化后也就是在0:6中6的前面加上一个符号使其不被匹配上所以就有了payload。先让body成为my类里的,在让body去调用project,因为my类里没有project所以会调用__call方法。在you类中,有一个destruct方法,内将pro赋值给变量project再调用本类中的body中的project。本关对输入的param进行了一个%的过滤,而且类中的属性的变量是私有属性。当array内包裹的第一个值是对象,第二个是对象内的方法时。原创 2024-09-07 19:18:51 · 1103 阅读 · 0 评论 -
Pikachu靶场通关教程
我们尝试写入一个IP地址,比如127.0.0.1(本机的回环地址)接下来我们尝试和IP进行拼接查询语句,比如whoami,net user ,netstat -an 等等这样九爆出了用户名,接下来我们看看源代码,以下是主要的一段代码主要的问题是他没有对用户的输入进行任何的过滤,才会出现远程代码执行的漏洞。原创 2024-09-11 20:10:36 · 1471 阅读 · 0 评论 -
应急响应(Linux)
【代码】应急响应(Linux)原创 2024-08-16 14:41:07 · 1131 阅读 · 0 评论 -
xss-labs-master通关教程
abc原创 2024-09-07 15:49:26 · 1076 阅读 · 0 评论 -
应急响应(Windows)
【代码】应急响应(Windows)原创 2024-08-16 14:36:49 · 553 阅读 · 0 评论 -
PHP代码审计
目的:对源代码进行审计,寻找代码中的BUG和安全漏洞。原创 2024-09-02 08:51:43 · 1434 阅读 · 0 评论 -
OWASP Top 10安全漏洞
1. 注入漏洞(Injection)原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 常见类型:SQL注入、OS命令注入等。 防御措施:使用预编译语句或存储过程进行数据库查询;对输入进行严格的验证和清理;使用ORM框架等。2. 失效的身份认证(Broken Authentication)原理:身份认证机制不健全,导致攻击者能够绕过认证机制,冒充其他用户。 常见类型:密码猜测、会话劫持等。 防御措施:使用多因素认证增强安全性;采用强密码策略并定期更换密码;对会话管理进行加密等。原创 2024-08-06 15:26:52 · 789 阅读 · 0 评论 -
DOM常见的命令
一.DOM常见的命令(个人笔记)原创 2024-07-25 14:28:22 · 1222 阅读 · 0 评论 -
linux常见的命令
一.linux常见的命令(个人笔记)原创 2024-07-25 14:29:00 · 543 阅读 · 0 评论 -
Redis数据库
【代码】Redis数据库。原创 2024-08-15 14:52:51 · 732 阅读 · 0 评论 -
sql注入漏洞详解
1.原理:当我们访问动态网站时,web服务器会向数据访问层发起sql查询请求,如果权限验证通过就会执行sql语句(这种网站内部发起的sql语句一版没有危险,但很多情况下要结合用户输入数据动态构造sql语句,如果用户输入恶意的sql代码,web又不对动态数据进行审查,则会有意想不到的危险)联合注入,布尔盲注,报错注入,延时盲注,宽字节与二次注入,Cookie注入,http header注入(各种类型不做详解,后续可能会做)select * from where id = x and 1 = 1;原创 2024-02-28 14:57:47 · 1127 阅读 · 0 评论 -
SQLMAP自动化注入工具命令
原创 2024-07-25 14:49:37 · 119 阅读 · 0 评论 -
xss攻击
服务器对用户输入不做过滤,导致把用户输入的js代码,返回客户端执行,造成攻击。原创 2024-07-20 12:19:52 · 789 阅读 · 0 评论 -
CSRF与SSRF
CSRF定义:CSRF是一种由攻击者构造形成,利用用户在已登录的网站中提交非法请求的行为。攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。原理:CSRF攻击利用了网站对用户网页浏览器的信任。攻击者通过诱使用户访问一个恶意网页(通常是通过邮件、消息或恶意网站链接),该网页中包含了一个指向受信任网站的恶意请求。由于用户的浏览器在访问该网站时已经处于登录状态,因此这个恶意请求会携带用户的认证信息(如Cookie),从而被受信任的网站信任并执行。SSRF。原创 2024-07-22 16:29:58 · 1347 阅读 · 0 评论 -
文件上传漏洞与文件下载漏洞
文件上传漏洞是指Web应用程序在处理用户上传的文件时,由于缺乏对上传文件的严格检查和处理,导致攻击者可以上传并执行恶意文件的安全问题。原创 2024-07-22 16:36:22 · 485 阅读 · 0 评论 -
XXE漏洞
1.DTD是用来定义XML文档的合法构建模块,DTD可以声明在XML文档中,也可以作为一个外部引用。2.XML文档内部引用(XML文档内部语法 : )> //不屑默认UTF-8DOCTYPE note [ //定义此文档是 note 类型的文档。原创 2024-07-26 15:35:47 · 1238 阅读 · 0 评论 -
PHP反序列化漏洞
PHP的序列化和反序列化是PHP中用于存储或传输PHP的值的一个过程。序列化是将变量转换为可存储或传输的字符串的过程,而反序列化则是将这些字符串转换回PHP变量的过程。当序列化一个对象时,PHP会保存对象的类名、对象的所有属性(包括私有和受保护的属性),以及这些属性的值。攻击者可以通过构造一个特制的序列化字符串,该字符串在反序列化时会触发某些有害的行为,如执行任意代码、修改应用程序的状态或泄露敏感信息。反序列化是序列化的逆过程,即将序列化的字符串转换回PHP的原始数据结构。的对象,该对象有一个名为。原创 2024-07-28 09:46:32 · 937 阅读 · 0 评论 -
fastjson反序列化漏洞
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。原创 2024-08-15 15:00:41 · 813 阅读 · 0 评论 -
Dos与DDos
DoS攻击是一种恶意网络攻击手段,攻击者通过各种方式,使目标系统或网络资源无法为合法用户提供正常服务。其目标并不是非法获取数据,而是迫使服务中断,降低业务可用性。原创 2024-07-28 09:48:51 · 490 阅读 · 0 评论 -
windows安全加固
一、补丁管理及时安装补丁:定期检查和安装Windows系统及其应用程序的更新和补丁,以修复已知的安全漏洞。可以使用Windows Update功能或第三方补丁管理工具来实现。 补丁管理策略:对于无法直接访问互联网的服务器,可以建立内部补丁服务器(如WSUS),定期从微软官网下载并分发补丁。二、账户管理禁用无用账户:删除或禁用不再需要的用户账户,特别是默认账户如Guest账户。 账户权限分配:根据业务需求和最小权限原则,为每个账户分配适当的权限,避免权限过大导致的安全风险。 密码策略:设置强密原创 2024-07-29 09:34:57 · 458 阅读 · 0 评论 -
linux安全加固
1. 账号管理与认证授权分配不同账号:为不同的管理员分配不同的账号,以提高安全层级。 修改sudo权限:限制sudo的使用,确保只有必要的用户才能执行特定命令。 删除不必要的账号:删除系统不需要的默认账号,减少潜在的安全风险。 限制超级管理员远程登录:禁用root用户的远程登录,使用普通用户登录后再切换到root。 设置强密码策略:包括密码长度、复杂性、有效期和强制密码历史等,以增加密码破解的难度。2. 防火墙配置启用防火墙:使用iptables或firewalld等工具配置防火墙规则,限原创 2024-07-28 15:51:54 · 349 阅读 · 0 评论 -
逆向工程基础
定义:逆向工程(Reverse Engineering)是一种产品设计技术再现过程,即通过对已有产品进行拆解、分析、研究和再设计,以获取其设计原理、技术规格等信息。目的:在不能轻易获得必要的生产信息或设计文档的情况下,通过逆向工程推导出产品的设计原理,以支持产品仿制、改进、维护或修复等需求。原创 2024-07-29 09:44:53 · 612 阅读 · 0 评论 -
防火墙详解
防火墙(Firewall)是一种网络安全系统,它根据设定的安全规则或策略来控制网络之间的数据流。这些规则定义了哪些数据包可以被允许通过,哪些应该被阻止。防火墙通常部署在网络的边界处,作为内外网络之间的安全屏障,以防止潜在的恶意访问和数据泄露。原创 2024-07-29 14:03:20 · 713 阅读 · 0 评论 -
IPS与IDS
IDS(入侵检测系统,Intrusion Detection System)和IPS(入侵防御系统,Intrusion Prevention System)是网络安全领域中的两个重要概念,它们在保护网络免受恶意攻击方面发挥着不同的作用。下面将分别详解IDS和IPS,并比较它们之间的区别。一.IDS(入侵检测系统)定义与功能IDS是一种安全系统,用于监视网络或系统的运行状况,以发现潜在的攻击企图、攻击行为或攻击结果。它通过分析网络数据包、审查日志文件、检测异常行为或特定的攻击模式来提供网络安全防护原创 2024-07-29 14:11:21 · 2001 阅读 · 0 评论 -
堡垒机介绍
定义:堡垒机是一种用于控制和管理网络安全的重要工具,提供安全的远程访问和管理权限控制。主要功能远程访问控制:作为访问内部网络的唯一官方门户,堡垒机严格把关每一位用户的身份验证与授权流程,确保只有合法用户才能访问内部网络资源。审计与监控:堡垒机详尽记录每一次操作轨迹,包括登录日志、操作日志等,构建起一道坚不可摧的数字防线,极大提升了网络环境的整体安全性。资源管理:支持文件和数据的加密和共享,帮助用户安全地访问文件系统、共享文件夹和其他敏感信息。数据备份与恢复。原创 2024-07-29 14:16:22 · 640 阅读 · 0 评论 -
蜜罐简单介绍
定义:蜜罐是一种被设计成看似易受攻击的目标的安全系统,用于吸引黑客前来攻击,以便收集攻击者的信息、技术、工具和意图。功能识别潜在的威胁:蜜罐可以模拟各种不同类型的系统和服务,吸引攻击者前来攻击。通过监控攻击者的行为,网络管理员可以及时发现潜在的威胁,并采取相应的防范措施,保护网络安全。收集攻击者信息:蜜罐能够收集攻击者的IP地址、攻击方式、工具和技术等信息。这些信息对于分析攻击者的行为模式、识别攻击手段和制定有效的安全策略至关重要。降低风险。原创 2024-07-29 14:20:24 · 617 阅读 · 0 评论 -
Web应用防火墙
一、定义与目的WAF是一种特殊类型的防火墙,专门设计用于监视、过滤和阻挡进出Web应用的HTTP流量。其主要目的是保护Web应用免受如XSS(跨站脚本)、SQL注入、会话劫持等网络攻击。原创 2024-07-31 09:11:34 · 1555 阅读 · 0 评论