- 博客(215)
- 资源 (4)
- 收藏
- 关注
RSS订阅
原创 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
综上所述,0day 漏洞是指漏洞被公开披露后即被攻击者利用的漏洞,1day 漏洞是指在第一天内发布修复程序的漏洞,而 nday 漏洞则表示补丁修复延迟的漏洞。推荐阅读一、网络安全常用术语解读系列(持续更新中)「 网络安全常用术语解读 」杀链Kill Chain详解「 网络安常用全术语解读 」点击劫持Clickjacking详解「 网络安常用全术语解读 」悬空标记注入详解「 网络安常用全术语解读 」内容安全策略CSP详解「 网络安全常用术语解读 」同源策略SOP详解。
2024-04-21 13:42:37
10224
原创 不报辅导班一次性通过CISSP经验分享(附:备考教材、往年真题及个人学习笔记)
CISSP(Certified Information Systems Security Professional,注册信息系统安全专家)是一种国际认可的信息安全管理专业认证。CISSP认证由国际信息系统安全认证联盟(ISC)²提供,是全球范围内最受尊敬的信息安全专业认证之一。CISSP认证涵盖了信息安全的多个领域,包括安全和风险管理、资产安全、安全工程、通信与网络安全、身份和访问管理、安全评估与测试、安全运营。要获得CISSP认证,考生需要通过CISSP考试。
2023-11-12 16:37:20
6611
16
原创 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞。
2023-03-11 13:06:32
12011
原创 暗网:互联网冰山下的隐秘世界,你真的了解它吗?一文揭秘!
暗网是互联网匿名技术催生的一片复杂生态。它像一把锋利的双刃剑,一面是弱势群体在绝境中寻求庇护的希望之光,另一面则是犯罪者藏污纳垢的阴暗角落。对我们绝大多数人而言,深入了解其运作原理和潜在威胁,不是为了探险猎奇,而是为了筑起更坚固的数字防线。🌐 暗网是互联网需特殊工具访问的匿名隐蔽层。🧅 Tor浏览器通过"洋葱路由"实现匿名访问。⚖️ 技术中性,用途分善恶:保护隐私 vs. 非法交易温床。🛡️个人信息在暗网被交易,导致被攻击!防护是关键!🚫切勿因好奇尝试访问暗网!风险极高(法律、安全、心理)!
2025-07-18 07:49:09
690
原创 网络安全职业指南:探索网络安全领域的各种角色
本文旨在为对网络安全领域感兴趣的粉丝读者提供一份全面的职业指南。我们将探讨网络安全领域中各种不同的职业角色,包括其职责、所需技能以及职业发展路径,帮助你了解网络安全领域的职业选择,并为你的职业规划提供参考。
2025-07-15 22:49:11
1396
原创 认证鉴权技术解析:COOKIE | SESSION | TOKEN | JWT | SSO
认证鉴权中会反复提到COOKIE、SESSION、TOKEN、JWT、SSO,你能说出他们之间的区别与联系么?1、Cookie → Session(状态服务端化) → Token(无状态化) → JWT(标准化) → SSO(多系统集成)如果需要存储大量数据,可以考虑使用其他浏览器存储方式,例如localStorage或sessionStorage;:企业内网中,登录OA系统后无需再输入密码即可访问CRM、财务系统。HTTP 协议天然无状态,每次请求独立,无法自动关联用户身份。:用户登录后,服务端返回。
2025-07-09 21:31:29
574
原创 Session的工作机制及安全性分析
Session 是一种服务器端技术,用于在用户与 Web 服务器之间建立持久的会话。与 HTTP 协议的无状态性相反,Session 允许服务器跟踪用户的状态,并在多个请求之间保持用户的身份和数据。Session 是一种重要的服务器端技术,用于在用户与 Web 服务器之间建立持久的会话。理解 Session 的工作机制对于开发安全的、可扩展的 Web 应用至关重要。
2025-07-07 22:09:20
666
原创 什么是单点登录SSO?有哪些常用的实现方式?
单点登录 (Single Sign-On, SSO) 是一种身份验证方案,允许用户使用一组凭据(例如,用户名和密码)访问多个应用程序或网站。这意味着用户只需登录一次,就可以访问所有被授权的系统,而无需为每个系统单独登录。举个简单例子,你登录了百度账号(https://www.baidu.com/),接下来你再访问以下站点都将是登录状态,无需再重复登录。百度网盘:https://pan.baidu.com/百度文库:https://wenku.baidu.com/
2025-07-05 21:55:47
701
原创 什么是HOST头部攻击?那个让网站“送错外卖”的危险漏洞
想象一下,你走进一家热闹的餐厅。服务员问:“您是哪一桌?”你随口答道:“8号桌!”——于是你的菜就被送到了8号桌。但如果有人故意谎报桌号呢?HOST头部攻击就是网络世界的“谎报桌号”,让服务器把敏感信息送到攻击者手中!
2025-06-23 07:14:22
912
原创 什么是HTTP慢速攻击?看不见的“温水煮青蛙”,如何瘫痪你的服务器?
超时时间是生命线:务必低于30秒;监控连接状态:突发长期空闲连接即告警;混合防护:配置调优+流量清洗+架构优化。🔑核心认知:慢速攻击不是“洪水猛兽”,而是“滴水穿石”。防御的核心在于主动切断异常连接,而非被动增加资源!参考资料CC攻击的变异品种——慢速攻击.pdfp=6277 (访问密码: 6277)免责声明:本文技术方案需根据业务场景测试调整,盲目配置可能导致服务中断。本文仅供学习交流,使用工具时需遵守相关法律法规,且勿用于非法用途。关注我,带你用“人话”读懂技术硬核!🔥。
2025-06-21 19:23:03
785
原创 一文读懂网络安全中的“三权分立”:分权制衡如何守护你的数据安全?
三权分立是一种源自政治学的管理理念,核心思想是将权力拆分为相互独立、相互制约的三种角色。在网络安全领域,这一原则被创新性地应用为: 系统管理员(运维)、安全管理员(策略)、审计管理员(监督) 三个角色的权限分离。历史原型15世纪威尼斯银行规定:金库需三人持不同钥匙同时开启,任何两人无法单独取走黄金。现代映射在IT系统中,"三权分立"指将系统管理权系统管理员:负责日常运维(用户增删/补丁更新)安全管理员:制定安全策略(权限分配/审计规则)审计管理员:监督操作行为(日志分析/违规追责)
2025-06-18 22:35:06
945
原创 Burp Suite的必备神器:4款高效插件让渗透测试战斗力飙升!
在渗透测试的世界里,Burp Suite早已成为渗透测试人员不可或缺的核心工具。然而面对日益复杂的Web应用和API接口,原生功能有时仍显得力不从心(重复操作和复杂场景让我们抓狂)。此时,。
2025-06-18 22:31:29
691
原创 重磅新规来袭!6大新国标将重塑数据、AI和隐私保护格局,速看(附下载)
数字世界不是法外之地,这六大国标就像“数字交通规则”,守护每个人的安全驰骋。下次使用AI产品时,你可以查看服务商是否声明符合新国标。发现APP过度索权?对照标准,理直气壮说“不”!你准备好拥抱更安全的未来了吗?🔒🤖💡2025年11月1日实施的6项网络安全国标.zip(访问密码: 6277)网络安全领域国标分类汇总大全V1.0版:耗时近一个月梳理出425份标准文档(附下载)到处都在提数据安全,可什么是数据安全?有哪些相关法律法规和技术国标?你的企业准备好接招了吗?评论区聊聊你对新国标的看法!👇。
2025-05-30 21:08:16
2229
原创 如何让两个不同的输入生成相同的MD5哈希值?
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,能将任意长度的输入(如文件、字符串)转换为固定长度的128位(16字节)哈希值。其设计初衷是为数据生成唯一的“指纹”,用于校验文件完整性、密码存储等场景。然而,MD5的抗碰撞性(即找到两个不同输入生成相同哈希值的能力)早在2004年被中国学者王小云攻破,这使得它在安全敏感领域被逐步淘汰。MD5算法就像一台精密验钞机,能将任意长度的数据压缩成128位的"数字指纹"。理想情况下:不同文件 → 完全不同哈希值 ✅。
2025-05-21 07:34:31
1053
原创 商用漏洞扫描器的盲区:为什么越权漏洞总被漏检?
漏洞原理:水平越权:普通用户A能访问用户B的数据(如订单/聊天记录)垂直越权:普通用户能执行管理员操作(如删除用户)真实案例:若想了解更多关于越权漏洞的细节原理,请参阅往期博文:你的隐私正在”裸奔“?横向越权漏洞:4步堵住数据泄露的“黑洞”!「 典型安全漏洞系列 」09.权限提升漏洞详解(共9/14期机场安检机检测危险品商用扫描器原理:特征匹配:对比已知漏洞特征库(CVE、OWASP Top 10)模糊测试:自动生成异常参数进行探测流量分析:监控HTTP请求/响应中的危险信号典型扫描流程:壁垒1:业务
2025-05-21 07:31:17
656
原创 图解七大加密模式:从ECB到GCM,彻底搞懂数据如何“上锁”
分组密码算法只能加密固定长度的分组,待加密的明文长度一般会大于分组长度,这里就需要对分组密码算法进行多次迭代,从而实现对明文的全部加密,迭代的方式就称为分组密码的。某公司使用ECB模式加密合同文档,攻击者通过替换特定密文块,将“支付金额100万”篡改为“支付金额900万”。因此,每个密文块不仅依赖于当前明文,还依赖于前一个密文块,这提供了自同步的能力,即使某个块在传输中出错,错误只会影响有限的后续块。明文块的长度与分组密码算法的分组长度相同,所以一般明文会被分割为多个明文块。
2025-05-14 21:48:26
1357
原创 全流量解析:让安全防御从“被动挨打”升级为“主动狩猎”
全流量解析如同网络的“历史记录仪+预警雷达”,让安全防御从“被动挨打”升级为“主动狩猎”。无论是应对APT攻击,还是满足合规需求,它都已成为企业网络安全体系的基石。正如安全圈常说的:“没有全流量,安全分析就是盲人摸象。两问两答Q1:全流量分析会拖慢网络吗?A1:专业设备采用旁路镜像,对业务零影响。一般千兆网络解析延迟<3ms。Q2:流量分析与日志分析有何区别?A2:日志是文字记录,流量分析是全程录像。前者告诉你"有人刷卡进门",后者能还原"进门后做了什么"。参考文档全流量检测分析系统技术规范.pdf。
2025-05-14 21:21:26
1318
原创 揭秘AI安全框架如何守住智能时代底线(附原报告下载)
随着大模型能力的不断增强,大模型的安全性、可靠性、可控性正面临前所未有的挑战。大模型安全作为一个新兴的安全领域,多家头部企业、安全团队均在积极探索潜在安全问题及风险收敛的解决方案。最近一年,各大厂商/组织发布了多份大模型安全架构技术白皮书/研究报告,可为大模型的研发及应用提供安全指导。大模型安全框架(来源:大模型安全与伦理研究报告2024-腾讯研究院)大模型自身安全框架(来源:大模型安全研究报告2024-阿里云&信通院)大模型安全实践总体框架(来源:中国信息通信研究院)
2025-05-08 22:45:25
747
原创 TLS 1.3:一把打不开旧锁的新钥匙,为何难成主流?
TLS 1.3 是 TLS 协议的重要升级版本,旨在提升安全性、性能和效率。相比之前的版本,TLS 1.3 去掉了许多不安全或冗余的功能,并引入了更现代的加密算法。据统计,超过 50% 的 Web 服务器仍然支持 TLS 1.0 和 TLS 1.1,尽管这两个版本的协议已在2021 年被 IETF 正式弃用。TLS(传输层安全协议)是一种用于在网络中保护通信的数据加密协议,广泛应用于 HTTPS、SMTP、IMAP 等场景。:强制使用临时密钥交换(如 ECDHE),确保即使长期密钥泄露,历史通信仍安全。
2025-05-08 22:39:56
1200
原创 SSL证书有效期缩短到47天,企业IT应该如何应对?
凌晨2点,某电商平台突然全线瘫痪,用户无法下单付款。运维团队紧急排查发现:SSL证书过期导致HTTPS服务中断。尽管最终在30分钟内完成续期,但损失已超百万。这意味着,所有网站将面临更频繁的“数字驾照年检”。:国际CA/B论坛宣布,SSL证书最长有效期将。看看现有证书还能撑多久?评论区晒出你的结果!
2025-04-27 21:32:17
1183
原创 一文看懂JWT如何重塑网络身份认证:从“身份证”到“数字令牌”
当你在巴黎用手机登录某国际电商平台,系统瞬间识别身份并展示法语界面;随后在东京用平板访问同一平台,购物车商品分毫不差——这背后是**JWT(JSON Web Token)**在默默支撑。这个看似简单的令牌技术,正在重构互联网的信任体系。:从Session到JWT,不仅是技术的迭代,更是互联网信任体系的重构。, 检查JWT存储是否安全?评论区分享你的加固方案!// 发起API请求。打开你的项目代码,搜索。
2025-04-27 21:27:32
939
原创 企业为何要禁止“片断引用开源软件代码”?一文看透!
开发者从开源项目(如GitHub、StackOverflow)复制部分代码片段(如某个函数、类库)到企业私有代码库中,:某创业公司复制了GPL协议的代码片段但未声明,产品上市后被原作者起诉,被迫。开发者A复制了2015年的开源代码(基于Python 2,2000年发布)半年后,黑客通过该代码中的隐藏后门,盗取百万用户信用卡信息。(2018年):攻击者劫持npm包,在压缩代码中植入恶意脚本。扫描项目,揪出危险的“代码食材”,欢迎评论区晒出问题或提问!:即使原项目修复,私有代码中的恶意片段仍长期存在。
2025-04-25 21:25:25
1233
原创 企业为何要求禁用缺省口令?安全风险及应对措施分析
缺省口令通常是设备或软件在出厂时预设的密码,广泛存在于各种网络设备、应用程序和系统中,常见于:网络设备(路由器、摄像头) →数据库 →云平台 →办公设备(打印机、门禁) → 密码贴在设备标签上(图1)。禁止缺省口令的难点本质是安全与便利的博弈。企业需从技术工具、流程设计、供应商管理、文化建设四方面构建闭环,彻底堵住这一最低成本、最高风险的漏洞。下一步行动立即扫描内网中存在缺省口令的设备联系设备供应商获取批量改密方案将本文转发给IT团队,启动安全整改推荐阅读。
2025-04-24 22:08:37
1502
1
原创 KMS工作原理及其安全性分析
KMS核心价值✅密钥不落地:全程密文传输,内存中无残留✅权限可管控:精细化控制谁能用、怎么用✅运维自动化:自动轮换、审计、灾备工具推荐云服务商方案:AWS KMS、阿里云KMS、华为云KMS开源方案:HashiCorp Vault(自建KMS)最后一问你的系统还有多少密钥在“裸奔”?立即执行,开启KMS改造!参考链接关注我,带你用“人话”读懂技术硬核!🔥。
2025-04-24 22:05:08
1481
原创 为什么要禁止密钥硬编码,三招锁死密钥安全!
身份凭证:如数据库密码、API密钥、云服务AccessKey、SSH私钥加密材料:如RSA私钥、SSL证书、JWT签名密钥核心原则✅永不硬编码:代码/配置文件中禁止出现明文密钥✅动态获取:运行时从安全来源(KMS、Vault)解密✅最小权限:按需分配权限,定期轮换密钥灵魂一问你的项目中有多少密钥还在“裸奔”?立即执行,评论区截图打卡,立Flag整改!自动化密钥检测技术白皮书(共26页).pdf(访问密码: 6277)点击下方关注公众号,带你用“人话”读懂技术硬核!🔥。
2025-04-16 23:19:14
1443
原创 黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱
通过利用这一漏洞,攻击者可以通过发送特制的请求,获取服务器内部的敏感信息,甚至完全控制服务器。本文将深入探讨SSRF漏洞的工作原理,以及黑客如何利用一张图片来实施攻击,揭示这一致命陷阱的本质。某电商平台允许用户上传头像,技术小哥贴心设计了“智能URL检测”——自动抓取用户提供的网络图片用来生成缩略图。服务器未经严格检查,直接执行用户提供的URL地址,导致被诱导访问内网系统、云平台密钥库等敏感区域。:SSRF(服务端请求伪造)漏洞——让服务器成为黑客的“提线木偶”。SSRF(服务端请求伪造)就像一个“
2025-04-16 23:01:26
1007
原创 别让“临时管理员”变后门!手把手教你防范sudo提权漏洞
sudo提权本质✅ 配置失误 + 权限逃逸 → 管理员变“背锅侠”。安全准则✅ 能不给sudo就不给✅ 必须给就精确到命令+参数✅ 定期审计,宁可误杀不可放过最后一问你的服务器上是否存在这种“自杀式配置”?立即执行sudo -l检查,评论区截图打卡,揪出隐患!关注我,带你用“人话”读懂技术硬核!🔥。
2025-04-07 22:22:09
920
原创 常用密码学算法分类
密码学是信息安全的重要组成部分,广泛应用于数据保护、身份验证和信息完整性等领域。了解不同类型的密码学算法有助于选择合适的技术来满足特定的安全需求。
2025-04-02 07:17:38
339
原创 四大加密攻击全揭秘:从“盲猜”到“任意门”破解
前两种攻击方式(唯密文攻击、已知明文攻击)只能被动等待,因为他们无法得知加密机和解密机,无法自己构造明密文对。虽然更容易执行攻击,但攻破的难度也比较高。后两种攻击方式(选择明文攻击、选择密文攻击)是主动攻击,他们可以主动提供相关的明文或者密文,得到对应的密文或者明文,虽然攻破的难度变低了,但却加大了执行攻击的难度(因为要获得加密机和解密机的权限)。CCA攻击中,虽然攻击者可以获得解密机,但是解密机有一个限制,你不能直接使用想要解密的密文,否则就变成社会工程学攻击了。
2025-03-25 07:10:05
902
原创 常用密码学算法分类
密码学是信息安全的重要组成部分,广泛应用于数据保护、身份验证和信息完整性等领域。了解不同类型的密码学算法有助于选择合适的技术来满足特定的安全需求。
2025-03-25 07:08:27
596
原创 Web安全策略CSP详解与实践
CSP不是银弹,但它是现代Web安全的基石。与其在遭受攻击后补救,不如现在花10分钟为你的网站穿上“防弹衣”。安全无小事,防护正当时!
2025-03-22 20:34:49
1182
原创 静态代码检查为啥要编译?揭秘“代码体检”背后的隐藏关卡!
✅必须编译:AST和类型信息是深度检查的基础;✅预处理关键:宏和头文件会彻底改变代码逻辑;✅工具选择:高精度检查需集成编译器(如LLVM/Clang)。记住:没有编译的静态检查,就像用体温计量发烧——能测温度,却查不出病毒感染!📚 扩展阅读Clang静态分析官方指南静态程序分析课程材料打包(南京大学).zip(访问密码: 6277)📢 互动话题:你在项目中用过哪些静态检查工具?欢迎评论区分享经验!关注「全栈安全」公众号,回复“静态分析”获取南京大学静态程序分析课程材料!🔧。
2025-03-15 21:40:01
654
原创 手把手教你加固Docker安全:从入门到实战,告别容器裸奔时代!
✅四要要最小权限原则(--cap-drop要定期扫描镜像(Trivy+Clair);要启用安全模块(AppArmor/SELinux);要隔离敏感数据(加密卷+Vault)。❌四不要不要以root运行容器;不要暴露不必要的端口;不要使用latest标签;不要忽略日志监控。📚 扩展阅读OWASP Docker安全指南:Docker官方安全最佳实践:📢 互动话题:你在项目中遇到过哪些Docker安全问题?
2025-03-10 21:18:19
1221
原创 你的隐私正在”裸奔“?横向越权漏洞:3步堵住数据泄露的“黑洞”!
如果用户A(自己ID是1001)手动修改URL为,就能看到用户B的病历!这就是典型的横向越权漏洞。✅漏洞本质后端未校验“请求者身份”与“数据归属者”是否一致;攻击成本极低,只需修改参数即可绕过权限控制。横向越权:同级用户间的数据越界访问(如用户A→用户B);纵向越权:低权限用户访问高权限功能(如普通用户→管理员);防御核心永远不要信任前端传参,后端必须二次鉴权!📚 扩展阅读业务安全设计实战手册:📢 互动话题:你遇到过哪些离谱的权限漏洞?
2025-03-10 21:15:25
784
原创 如何安全地传输和存储用户密码?从原理到实战,一文讲透!
安全措施作用推荐方案哈希+加盐防止彩虹表攻击HTTPS加密传输TLS 1.2/1.3 + 强加密套件客户端加密减少服务端风险多因素认证防御密码泄露最后提醒定期审计密码存储方案,更新至最新算法。强制用户使用高强度密码(至少8位,含大小写字母、数字、符号)。监控日志,发现异常登录行为及时预警。安全不是一次性的工作,而是一场持续的战争。从今天开始,希望我们都能彻底告别明文存储和HTTP,让系统真正坚如磐石!互动话题你的系统是否还在使用MD5或明文存储密码?
2025-03-05 21:49:57
1856
原创 你以为密码加个盐就安全了?PBKDF:让黑客抓狂的“密码炼金术”
✅一定要做:存密码前用PBKDF2“炼”一下;✅盐要够随机:用系统级随机函数生成;✅迭代次数卷起来:每年根据硬件升级调整次数。下次开发时,别再说“我用了MD5加密”——那是上个世纪的锁,PBKDF2才是现代保险柜!📚 扩展阅读如何安全地传输和存储用户密码?从原理到实战,一文讲透!战略解码:后量子密码学时代即将到来,到2029年多数传统密码算法将不再安全!(附下载)什么是完全前向保密(PFS)?📢 互动话题:你见过哪些“奇葩”密码存储方式?评论区聊聊~
2025-03-05 21:44:00
836
原创 零信任架构的致命盲区:90%企业忽略的API安全陷阱
零信任不是“银弹”,API安全需要独立的安全设计和持续监控。企业需建立API资产清单,定期进行渗透测试(尤其关注机器身份)。短期行动计划资产梳理:使用工具(如Postman、Apigee)自动化发现所有API端点。威胁建模:针对每个API设计攻击树(参考MITRE CAPEC)。防御加固:部署API专用防火墙(WAAP)并启用实时行为分析。长期行动计划。
2025-02-23 22:21:48
1332
原创 什么是完全前向保密(PFS)?
完全前向保密是一种密码学特性,它确保即使攻击者获取了长期密钥(如私钥或主密钥),也无法解密过去的通信内容。简单来说,就是每一次的通信会话都有其独立的加密密钥,且这些密钥之间没有关联。PFS就像给每段对话都安排了特工级别的"阅后即焚完全前身保密的概念最早可追溯至 Diffie-Hellman 密钥交换协议(1976年提出),其临时模式(Ephemeral Diffie-Hellman, DHE)为前向保密提供了基础。
2025-02-23 22:19:10
1421
MFC多媒体播放器【录音+录像+播放音乐、视频、图片等】
2015-01-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人