![](https://img-blog.csdnimg.cn/direct/b7d36fcf74d142278b1433002779495d.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
Web安全
文章平均质量分 80
Web安全
知白守黑V
知其白,守其黑,为天下式。
展开
-
Web应用安全攻防战:识别十大威胁,掌握防护要点
Web应用安全攻防战:识别十大威胁,掌握防护要点原创 2024-03-30 08:45:00 · 2062 阅读 · 1 评论 -
打造高效自动化渗透测试系统:关键步骤与实践
随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为广大企业组织主动识别安全漏洞与潜在风险的关键过程。然而,传统的人工渗透测试模式对测试人员的专业能力和经验水平有很高的要求,企业需要投入较大的时间和资源才能完成。在此背景下,自动化渗透测试已成为渗透测试领域的重点研究内容,并被认为是人工渗透测试的一种演进形式。原创 2024-03-21 19:29:47 · 1573 阅读 · 0 评论 -
API安全集成最佳实践:有效应对安全挑战
API集成的重要性正愈发凸显。调查数据显示,83%的受访者表示API集成在其业务战略中起着关键作用,约40%的受访者表示企业数字化转型的深入发展是推动API集成的关键推动力。原创 2024-03-17 21:07:59 · 1276 阅读 · 1 评论 -
内网渗透之路:常用命令助力信息深度探索
内网渗透之路:常用命令助力信息深度探索原创 2024-03-16 07:30:00 · 1124 阅读 · 2 评论 -
API接口安全风险大盘点:常见漏洞一览
了解接口常见漏洞,将帮助你在测试接口获取更多的思路。原创 2024-03-13 08:00:00 · 1558 阅读 · 1 评论 -
红队常用工具大揭秘:安全渗透的三大神器
有人说,历史就像任人打扮的小姑娘,每次表演都唱同样的歌。网络安全也不能免俗,红队工具似乎总是能逃避检测,给蓝队制造麻烦。造成这种局面原因有很多,但有一点是决定性的,那就是:红队只需要做对一次,而蓝队每次都需要做对。蓝队通常很难检测到红队的工具,这迫使蓝队需要与威胁狩猎团队坐下来共同研究如何查找和检测红队最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。原创 2024-02-25 09:00:00 · 530 阅读 · 0 评论 -
Nginx服务器安全加固:全面提升安全防护能力
随着互联网的不断发展,Web应用的规模和复杂性也在不断增加。Nginx作为一款高性能开源Web服务器软件,经过多年发展,已成为全球最流行的Web服务器之一,其自身的安全性尤为重要。原创 2024-02-19 20:42:30 · 1789 阅读 · 4 评论 -
为什么 HTTPS 协议能保障数据传输的安全性?
近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的 HTTP 协议在逐渐的被 HTTPS 协议所取代,那么,为什么要用 HTTPS?因为 HTTP 不安全原创 2024-01-21 00:38:42 · 1560 阅读 · 0 评论 -
2023年十大零日漏洞攻击
2023年,随着勒索软件和APT组织纷纷调整攻击策略,零日漏洞攻击快速升温并有望在2024年延续这一趋势。根据谷歌威胁分析小组今年7月发布的报告,2021年野外利用零日漏洞数量(69个)创下历史新高后,2022年有所下滑,但2023年随着重大零日漏洞利用事件的大幅增长,零日漏洞攻击重新升温,从商业间谍到勒索软件攻击,零日漏洞被广泛使用。零日漏洞利用对攻击者的财力或技能有着很高要求,但是“零日漏洞+供应链攻击”产生的倍增效应使得零日漏洞攻击的“投入产出比”极速飙升。原创 2024-01-09 19:09:17 · 1721 阅读 · 0 评论 -
实时检测网络钓鱼攻击的5种方法
网络钓鱼是网络攻击者们经常采用的一种社会工程学攻击手段,通过采用欺诈性操纵的策略,诱骗企业员工点击可疑链接、打开被感染的电子邮件,或暴露他们的账户信息。据思科公司研究报告显示,86%的企业都遇到过网络钓鱼攻击,而只要有一名内部员工沦为网络钓鱼攻击的受害者,就可能会危及整个组织网络系统的安全性。网络钓鱼并非严格意义上的“黑客攻击”,但受害者通常会有非常严重的损失。有很多流行的反网络钓鱼工具可以为企业提供保护,但为了最大限度地减小网络钓鱼的危害,企业应该优先考虑并部署实时化的检测技术。原创 2023-09-07 16:35:12 · 4997 阅读 · 0 评论 -
开展网络安全漏洞扫描的10个关键步骤
漏洞扫描技术的出现迄今为止已经超过20年,从早期完全依靠人工寻找漏洞,到开源漏扫工具的出现,再到商业漏扫平台,漏洞扫描技术的应用随着IT环境、数字业务的变化而不断发展。明确漏洞扫描的目标和范围有助于指导后续的扫描工作,并确保全面覆盖潜在的漏洞。扫描策略通常包括确定目标、创建扫描任务、设置扫描的深度和方法等,通过这些策略指定了要扫描的系统或网络、要查找的漏洞以及要使用的相关标准等。目前,市场上有多种商业版和开源版的漏洞扫描工具,企业应该充分研究这些工具的特性、功能和兼容性,选择最能满足组织应用需求的工具。原创 2023-08-02 13:08:33 · 4918 阅读 · 0 评论 -
2023网络安全HW蓝队面试题汇总
护网行动是提高国家网络安全防御能力的一种有效手段,而蓝队作为攻防演习中的防守方,也是护网行动的重要一份子。在这篇文章中,我们将汇总多篇有关护网行动蓝队初级人员面试题的资料,对这些资料进行整合和分析,为准备参加面试的蓝队初级人员提供参考,为读者提供一些实用的技巧和建议,帮助大家更好地应对蓝队初级人员面试。基础篇题目Q讲一下TOP10有哪些?A1.失效的访问控制2.加密机制失效3.注入(包括跨站脚本攻击XSS和SQL注入等)4.不安全设计5.安全配置错误6.自带缺陷和过时的组件7.身份识别和身份验证错误8.软原创 2023-05-05 15:51:57 · 22444 阅读 · 1 评论 -
Web常见漏洞描述及修复建议
漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。原创 2023-05-02 18:17:35 · 2280 阅读 · 0 评论 -
网络安全应急响应实施过程
应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。原创 2022-10-29 17:18:40 · 40169 阅读 · 1 评论 -
网络安全学习和CTF必不可少的一些网站
综合学习平台:http://edu.gooann.com/ 谷安网校http://www.jikexueyuan.com/ 极客学院http://www.hetianlab.com/ 合天http://www.moonsos.com/ 米安网http://www.ichunqiu.com/ i 春秋http://www.honyaedu.com/ -红亚http://www.baimaoxueyuan.com/ 白帽学院http://www.simplexue.com/ctf/index原创 2022-05-11 14:37:33 · 7316 阅读 · 0 评论 -
商用密码应用安全性评估过程学习指南
2022年,“密评”(即“商用密码应用安全性评估”)成了各行业关注的热词。在《密码法》的要求下,在国标《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的指导下,各地各行业积极、严谨地开展密评工作,将是推动密码应用的良好开端。各行业纷纷出台了相关标准、要求,将密评工作提上日程,关键信息基础设施、政务信息系统、等保三级以上信息系统建设,都要“过密评”。面对各式各样的产品和众说纷纭的方案,究竟密评该如何过?应该遵照哪些技术标准?关注哪些要点?有哪些误区?我们带你一探究竟。原创 2022-10-26 17:46:15 · 385913 阅读 · 0 评论 -
企业网络安全 8 条实用参考
目前在信息安全领域,攻击手段和工具、防护手段和工具都日新月异,现在大家都认可没有绝对的安全这一理念,那对一个企业来说,该如何界定相对安全的范围,或者说,有没有某种方法论,或者某个规范,来指导一个企业安全体系的建设,实现由被动接受安全厂家主动ppt式的宣传推销到根据自身需要自主选择产品的转变?原创 2022-10-24 01:06:57 · 9583 阅读 · 0 评论 -
网络安全从业者“行话”
安全从业者除了外部人员眼中的神秘,更有同行才了解的行话,下面这些行话你都掌握了吗?一、攻击篇1.攻击工具肉鸡所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动网络攻击。例如在2016年美国东海岸断网事件中,黑客组织控制了大量的联网摄像头用于发动网络攻击,这些摄像头则可被称为“肉鸡”。僵尸网络僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。原创 2022-04-24 16:50:59 · 13427 阅读 · 0 评论 -
网络安全HW系列之应急响应方法论思维导图
这个行为什么时候开始、什么时候结束,这个动作是登陆、退出、修改等、造成的结果是登陆成功/失败、上传/下载了文件、执行了代码等。信息收集主要是做:流量、日志、可疑进程的内存、失陷系统镜像、恶意样本、客户资产收集、资产相关漏洞测试报告、防御设备的日志。每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充、每次流量的渲染是否正常。根据作用去判断受害范围。加固没啥好讲的,打补丁、对系统进行限制(网络隔离、行为管理等)、升级防御设备、完善防御流程(防御设备的部署、人员的部署、规则库的升级)原创 2022-04-24 17:02:46 · 5154 阅读 · 1 评论 -
常见安全漏洞及其解决方案
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。原创 2022-05-17 12:09:35 · 19949 阅读 · 0 评论 -
最新ITIL考试题库(中英对照版初级)
1、Which role is responsible for carrying out the activities of a process?下列哪个角色负责执行进程活动?A. Process owner 过程所有者B. Change manager 变更经理C. Service manager 服务经理D. Process practitioner 过程执行者原创 2021-12-27 15:28:18 · 9316 阅读 · 0 评论 -
MySQL数据库安全配置规范
在生产中,安全相当重要,毕竟你的核心数据都在里面,MySQL因为其开源的流行性,大量个人,企业,政府单位采用,但是,很多部署的时候采用都是默认的配置,这就导致了安全的相对欠缺,你需要针对你的安全有所加强。总的来说,数据库一般划分为生产库,压测库,准生产库,测试库,开发库。下面部分主要说的是生产库,但其他库也适用。原创 2022-10-21 01:13:55 · 9066 阅读 · 0 评论 -
甲方安全开源项目清单
这是一份安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。原创 2022-08-30 16:39:02 · 26316 阅读 · 0 评论 -
网络安全工程师面试题汇总
以下为信息安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,没有填答案是希望大家如果不懂能自己动手找到答案,祝各位都能找到满意的工作~注:做这个List的目标不是很全,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。TODO LIST。原创 2022-08-30 15:32:55 · 397021 阅读 · 0 评论 -
渗透测试基本流程
在信息收集阶段,我们需要尽量多的收集关于目标系统的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等。分析渗透测试过程中可能产生的风险,如大量测试数据的处理、影响正常业务开展、服务器发生异常的应急、数据备份和恢复、测试人力物力成本…绕过检测机制:是否有检测机制,流量监控,杀毒软件,恶意代码检测等(免杀)1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块;获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)原创 2022-10-14 08:28:24 · 8664 阅读 · 0 评论 -
web安全学习指南(红队安全技能栈)
【流程】网络预置(信息收集)–>网络接入(外网突破)–>权限获取和提升–>权限维持(后门)–>后渗透。全局代理[Win]:Windows下socks客户端全局代理终极解决方案——tun2socks。越接近中心的能力点越贴近web技术栈,反之亦然。信息获取 & 远程文件操作 & 远程执行命令 & ipc$ & wmic & winrm。内网扫描神器,go语言跨平台,效率快,支持各类口令爆破,还有主机识别和web服务识别。可以提取流量中用户名&密码,NTML Hash,图片等,以及绘制网络拓扑。原创 2022-10-13 21:41:03 · 2471 阅读 · 0 评论 -
干货 | 超详细的渗透测试思维导图
经常有人问我渗透流程和思路,特此分享一张曾经在Github上看到的一张超级详细渗透测试思维导图,值得学习!原创 2022-10-12 23:44:27 · 4633 阅读 · 0 评论