互联网安全
文章平均质量分 54
二进制程序猿
人生的天平永远会青睐努力的人
展开
-
对DNS系统的几点舆论热点的辩证性思考
科学理性教会你,你可以屈服于真理,但绝不能屈服于威权DNS系统,顾名思义是一个域名服务系统,在社会层面,很多人喜欢拿他同我们的国家互联网治理放到差不多等同的位置,甚至有些人这么描述哪些经典的事件:以互联网为基础的信息网络是进行国家信息化建设和实现国家信息化战略的基础设施,域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和...原创 2019-12-07 23:54:23 · 567 阅读 · 1 评论 -
Rail下安装php测试环境
在Rail系统中安装php环境,因为Rail系统中已经自带了先关的配置,各位小白们跟着我一直做下去就可以。没有标明“(此步骤不可缺少)”即可以省略掉的步骤。安装 Apache2: sudo apt-get install apache2(此步骤不可缺少)安装PHP模块: sudo apt-get install php5(此步骤不可缺少)安装Mysql sudo apt-get in原创 2016-10-27 09:49:03 · 331 阅读 · 0 评论 -
TWCTF中的一道MISC题目-glance.gif图片
题目如下所述: 题目给出了一幅图,里面提供的hint是a glance https://pan.baidu.com/s/1o7Iaw5c题目解答:(1)题目显示是一幅gif图片,从中间闪烁可以看到有内容,在这里科普gif图片,图片是由一帧一帧图片组成,可以将gif图片分解成一个一个图片(2)利用google查一下gif图片的split工具,将gif分解成一幅图片,不多说,加上地址:http:/原创 2016-09-05 21:12:24 · 4895 阅读 · 1 评论 -
PHP运行模式(cgi,fast-cgi,cli,web模块模式)
PHP运行模式有4钟: (1)cgi 通用网关接口(Common Gateway Interface)) (2) fast-cgi 常驻 (long-live) 型的 CGI (3) cli 命令行运行 (Command Line Interface) (4)web模块模式 (apache等web服务器运行的模块模式)CGI 通用网关接口 CGI即通用网关接口(Common Gate原创 2016-08-25 20:37:53 · 860 阅读 · 0 评论 -
Kail下如何关闭防火墙
kali关闭iptables 安装:apt-get install ufw关闭:ufw disable # To disable the firewall开启:ufw enable # To enable the firewall原创 2016-09-04 22:10:31 · 11564 阅读 · 2 评论 -
linux下nc神器简介
nc在Linux和windows下的安装 netcat(简称nc)被誉为网络安全界的‘瑞士军刀’,相信很多人都认识它吧。它是一个简单但实用的工具,通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具, 能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能。 nc在linux下原创 2016-09-04 22:09:53 · 1013 阅读 · 0 评论 -
xampp安装方法及部分问题解决方法(记录一下,以备后用)
一、xmapp安装方法 下载地址:http://www.apachefriends.org/zh_cn/xampp.html 下载xampp即可。建议不安装到C盘。毕竟安装到C盘,占用C盘启动大小 二、xmapp安装后apache无法启动问题1.没有安装VC环境 要判断是否是这一问题十分简单,只要单独运行C:\xampp\apache\bin\httpd.exe时(这个是我的安装路径),提原创 2016-08-25 11:09:21 · 1090 阅读 · 0 评论 -
Kail下安装php测试环境
在Rail系统中安装php环境,因为Rail系统中已经自带了先关的配置,各位小白们跟着我一直做下去就可以。没有标明“(此步骤不可缺少)”即可以省略掉的步骤。安装 Apache2: sudo apt-get install apache2(此步骤不可缺少)安装PHP模块: sudo apt-get install php5(此步骤不可缺少)安装Mysql sudo apt-get in原创 2016-08-24 17:39:12 · 1233 阅读 · 0 评论 -
nmap识别端口的6中状态
一、Nmap所识别的6个端口状态 open(开放的) closed(关闭的) filtered(被过滤的) unfiltered(未被过滤的) open|filtered(开放或者被过滤的) closed|filtered(关闭或者被过滤的)二、Nmap所识别的6个端口状态 1、open(开放的)应用程序正在该端口接收TCP 连接或者UDP报文。发现原创 2017-02-11 22:46:29 · 2140 阅读 · 0 评论 -
中国网络安全企业50强(来源自安全牛公司)
中国网络安全企业50强一、50强榜单(注:本图为矩阵图,与传统的数轴、象限图不同,本矩阵图的横轴的走向为从右往左,即左上角为最重要的位置,更为符合国内的阅读习惯。左上角出现的企业,意味着在规模和影响力两大指标体系中均处于高端。) 50强综合排名:主要业务领域:防火墙、入侵检测/入侵防御、统一威胁管理、抗DDoS、VPN、云WAF。主要业务领域:防火墙、网络隔离、转载 2017-03-04 10:24:43 · 14843 阅读 · 0 评论 -
Linux 配置永久DNS解析服务器的方法
永久修改网卡DNSsudo –icd /etc/resolvconf/resolv.conf.dvim base添加如下内容nameserver 8.8.8.8nameserver 8.8.4.4:wq 保存退出,这样重启后设置就不会丢失了。其实你cat head文件会找到图片中头部注释的那段话,不难推测resolv.conf文件就是根据/etc/resolvconf/r原创 2017-04-11 17:03:53 · 1087 阅读 · 0 评论 -
URL中“#” “?” &“”号的作用
#10年9月,twitter改版。一个显著变化,就是URL加入了”#!”符号。比如,改版前的用户主页网址为http://twitter.com/username改版后,就变成了http://twitter.com/#!/username 这是主流网站第一次将”#”大规模用于重要URL中。这表明井号(Hash)的作用正在被重新认识。本文根据HttpWatch的文章,整理与井号有关的所有重要知识点原创 2017-04-06 09:01:20 · 305 阅读 · 0 评论 -
sql注入绕过的一些方法
1. 使用注释,例如: SELECT/*foo*/username,password/*foo*/FROM/*foo*/users 在MySQL中甚至可以在关键字中间插入注释,例如SEL/*foo*/ECT username,password FR/*foo*/OM users2. 避免使用关键词,例如: select ename, sal from emp w原创 2017-05-03 23:46:53 · 1444 阅读 · 0 评论 -
xrandr 常用命令 用于双显示器 切换屏幕
xrandr常用命令(这里的VGA与LVDS分别换成第1步中的设备名,如VGA1、LVDS1):xrandr --output VGA --same-as LVDS --auto打开外接显示器(--auto:最高分辨率),与笔记本液晶屏幕显示同样内容(克隆)xrandr --output VGA --same-as LVDS --mode 1280x1024打开外接显示器(分辨率为原创 2017-05-04 09:25:50 · 8588 阅读 · 0 评论 -
sublime Text3 注册码
最好还是购买正版主持版权。:D。以下两枚注册码用最新的Sublime Text 3 3114的版本亲测可用。如果不能用了留言通知我~—– BEGIN LICENSE SJOLZY.CN —–Alexey PlutalovSingle User LicenseEA7E-8607763DC19CC1 134CDF23 504DC871 2DE5CE55585DC8A6 25转载 2017-05-04 09:55:46 · 733 阅读 · 0 评论 -
安全开发相关注意事项
1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参数也是可以导致注入漏洞的。2.旁注:就是说在保证自己的程序没问题的同时,也要保证同台服务器的其他站点没问题。至少要设置好系统权限,即使别人的站点出问题也不能影响自己的站点。3.上传:尽量不要有上传功能,如果必须有上传功能。也要做到以下方面:不能让用户定义路径、文件名,限制好可上传的文件类型转载 2017-05-13 22:46:04 · 543 阅读 · 0 评论 -
知乎小白关于ctf竞赛训练 积累的资料
一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络转载 2016-09-04 11:06:16 · 36591 阅读 · 14 评论 -
CTF训练
在线CTF练习平台 发表于 2015 年 3 月 7 日 由 YouMeng 在线的ctf,教学,训练,不关闭。国外 we challenge——–最经典 http://www.wechall.net/西普学院 http://www.simplexue.com/ 有在线视频教程http://ctf.idf.cn/ IDF实验室 CTF训练营 有ctf资料,工具,知识一个在线的ctf原创 2016-09-03 15:07:11 · 4264 阅读 · 1 评论 -
对kali的若干升级问题解决方法
不能更新问题参见上篇博文无法安装vmwaretool解决方法: 1、首先确实你的kali是否已经更新,如果没有更新,请先更新。 2、如果你试图安装vmtool仍然出现需要你输入head库地址时,一定是你的版本没有更新,没有所需的文件头库 3、原创 2016-04-20 17:51:13 · 468 阅读 · 0 评论 -
关于Kali更新出现证书错误问题
关于Kali更新出现证书错误问题参见http://zhidao.baidu.com/link?url=_mnvnhtQWVRJxPsofbW_hP_Yh387LLcjcEhBwe77Mm7T3wamqQdazl-MPm8hJF1ffkbmYZXyOi7exgu-8VacP3xN6cX1FMu0lVbLq5–IbG发现如下几点错误:1.最好采用镜像,不要采用原来地址,例如kali原始地址。由于kali原创 2016-04-20 17:04:46 · 950 阅读 · 0 评论 -
DNSSEC 原理、配置与布署简介
DNSSEC 原理、配置与布署简介Posted on May 16,2011 by Duan Haixin作者:段海新,清华大学信息网络工程研究中心摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。1 DNSSEC的背景和目的域名系统(D转载 2016-03-27 11:56:43 · 3093 阅读 · 0 评论 -
nslookup指令简明教程
nslookup常用工具指令查询IP地址 nslookup最简单的用法就是查询域名对应的IP地址,包括A记录和CNAME记录,如果查到的是CNAME记录还会返回别名记录的设置情况。其用法是: nslookup 域名 以下是A记录的返回情况。 nslookup命令会采用先反向解释获得使用的DNS服务器的名称,由于我这里使用的是一个内部的DNS服务器所以没有正确的反向记录,导致结果的前原创 2016-03-27 11:55:30 · 474 阅读 · 0 评论 -
为什么世界上只有13个root域名解析服务器
为什么世界上只有13个根域名服务器这个故事比较久远,且听我慢慢道来1.Why are there only 13 DNS root servers (or is it a completely wrong information)2. Where* are these servers located, are all of them located in United States3.Which o原创 2016-03-27 11:51:02 · 1908 阅读 · 0 评论 -
URL、URN 、URI的区别和联系
最近做域名相关实验,发现一个很有意思的问题。URL、URI,很可能还有URN,它们之间的区别和联系是什么。虽然,现在我们简单地把 URN 和 URL 都看做 URI,但严格来说URI可以进一步划分为URL、URN或者这两者的组合,所以了解这三者之间的区别将会非常有趣并让人受益匪浅。如果你恰好在某个地方碰到了这些东西,那么至少应该知道它们的含义。我认为,尽管对一般人来说,不了解这三个缩略词之原创 2016-03-25 19:00:16 · 520 阅读 · 1 评论 -
CName 和 A类记录的区别
因为最近研究DNS问题,仔细对资料进行梳理,发现自己对CName和 A Record的不是很清楚,下面对A记录查询如下(1)what is A record?A记录是IP解析,直接将域名指向某个IP,如果IP有所变动,那么A记录那边也必须更改。(2)什么是CNAME别名解析CNAME是别名解析,别名解析是先将域名解析到主机别名再转跳到IP,这样主机IP改原创 2016-03-22 17:49:09 · 4859 阅读 · 0 评论 -
同源策略概念 简述
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。同源策略是由Netscape提出的一个著名的安全转载 2016-04-02 14:29:52 · 2412 阅读 · 0 评论 -
Python3.x与2.x的区别(记录下,以备自己忘了)
1.性能 Py3.0运行 pystone benchmark的速度比Py2.5慢30%。Guido认为Py3.0有极大的优化空间,在字符串和整形操作上可 以取得很好的优化结果。 Py3.1性能比Py2.5慢15%,还有很大的提升空间。 2.编码 Py3.X源码文件默认使用utf-8编码,这就使得以下代码是合法的: >>> 中国 = 'china' >>>原创 2016-04-21 20:22:44 · 418 阅读 · 0 评论 -
网络安全,渗透测试相关书籍(备份用)
http://www.amazon.cn/Advanced-Persistent-Threat-Hacking-The-Art-and-Science-of-Hacking-Any-Organization-Wrightson-Tyler/dp/0071828362/ref=sr_1_2?ie=UTF8&qid=1410155072&sr=8-2&keywords=Advanced+Persist原创 2016-04-23 00:20:34 · 1195 阅读 · 0 评论 -
html基础
HTML基础1.标签是HTML语言汇总最基本的单位。2.标签是由一个起始标签和一个技术标签所组成,起分隔或标记文本的作用。3.一个HTML文档总是以 开始,以结束。4.标题字标记是用来标识标题的型号的,用来表示5.更改字体的类别、字号和颜色可以使用标记,其包含的标签有Face 、Size、Color;6.在HTML中,段落主要由标记。7.行中断标记位。8.在html中使用标记来强制浏览器不换行显示具原创 2016-08-23 21:54:39 · 308 阅读 · 0 评论 -
谁是卧底-CTF题目writeup
题目 武林中某知名杀手在一次任务中失败,然后逃窜到了人群中,当时那个社会并没有我们现在这么发达,满地都是文盲,而这些文盲甚至连一句完整的英文都说不出来,所以其实只要用心去发现,就会很容易发现这个稍微有些文化的杀手是谁哦~答案wctf{杀手的英文名} 链接: http://pan.baidu.com/s/1bnq6nmR 密码: 988uwriteup1.初步分析 下载文件,初步发现:原创 2016-08-22 21:22:24 · 2478 阅读 · 0 评论 -
curl命令详解
对于windows用户如果用Cygwin模拟unix环境的话,里面没有带curl命令,要自己装,所以建议用Gow来模拟,它已经自带了curl工具,安装后直接在cmd环境中用curl命令就可,因为路径已经自动给你配置好了。linux curl是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称url为下载工具。 一,curl命令参数,有好多转载 2016-09-10 08:09:51 · 510 阅读 · 0 评论 -
CTF入门指南1(Capture the flag)
英文教程:https://trailofbits.github.io/ctf/intro/careers.html1、逆向工程建议你得到一个IDA Pro的副本,这有免费版和学生认证书。尝试下crack me的问题。写出你的C语言代码,然后进行反编译。重复这个过程,同时更改编译器的选项和程序逻辑。在编译的二进制文件中“if”声明和“select”语句有什么不同?我建议你专注于一个单一的原始架构:x8原创 2016-08-15 15:33:45 · 6604 阅读 · 0 评论 -
CTF入门指南2-相关靶场平台
相关靶场平台:1、IDF实验室:http://ctf.idf.cn/2、实验吧公司产品:http://www.shiyanbar.com/3、四叶草安全 这个公司做web比较强:http://www.seclover.com/4、XCTF_OJ练习平台 XCTF-OJ (X Capture The Flag Online Judge)是由XCTF组委会组织开发并面向XCTF联赛参赛者提供的网络原创 2016-08-15 16:09:09 · 4705 阅读 · 0 评论 -
linux下重命名文件或移动文件夹
inux下重命名文件或文件夹的命令mv既可以重命名,又可以移动文件或文件夹.例子:将目录A重命名为Bmv A B例子:将/a目录移动到/b下,并重命名为cmv /a /b/c 其实在文本模式中要重命名文件或目录的话也是很简单的,我们只需要使用mv命令就可以了,比如说我们要将一个名为abc的文件重命名为1234就可以这样来写:mv abc 1234,但原创 2016-07-05 10:35:36 · 800 阅读 · 0 评论 -
hash哈希长度扩展攻击解析(记录一下,保证不忘)
起因这是 ISCC 上的一道题目,抄 PCTF 的,并且给予了简化。在利用简化过的方式通过后,突然想起利用哈希长度扩展攻击来进行通关。哈希长度扩展攻击是一个很有意思的东西,利用了 md5、sha1 等加密算法的缺陷,可以在不知道原始密钥的情况下来进行计算出一个对应的 hash 值。 这里是 ISCC 中题目中的 admin.php 的算法:$auth = false;if (is原创 2016-04-23 22:07:06 · 21283 阅读 · 3 评论 -
DNS系统原理及部分流程
一、域名系统1、域名系统概述 域名系统DNS(Domain Name System)是因特网使用的命名系统,用来把便于人们使用的机器名字转换成为IP地址。域名系统其实就是名字系统。为什么不叫“名字”而叫“域名”呢?这是因为在这种因特网的命名系统中使用了许多的“域(domain)”,因此就出现了“域名”这个名词。“域名系统”明确地指明这种系统是应用在因特网中。转载 2016-03-17 20:16:31 · 652 阅读 · 0 评论