【安全工具】自动化CRLF漏洞检测工具 回车换行(CRLF)注入攻击是一种当用户将CRLF字符插入到应用中而触发漏洞的攻击技巧。CRLF字符(%0d%0a)在许多互联网协议中表示行的结束,包括HTML,该字符解码后即为\ r\ n。这些字符可以被用来表示换行符,并且当该字符与HTTP协议请求和响应的头部一起联用时就有可能会出现各种各样的漏洞,包括http请求走私(HTTP RequestSmuggling)和http响应拆分(HTTP Response Splitting)。一般有两种应用场景:1、注入请求头导致html解析。
【安全研究】免杀对抗之源码免杀 0x01 免杀分类渗透测试中常需要免杀马,这块的内容交叉且形式多样。常见的免杀方式,源码混淆、DLL文件替换、文件修改、加壳、花指令免杀、签名等。免杀的内容比较偏向破解、反编译范畴的安全研究,也是武器库中的必不可少的部分。本文章是系列教程,各种免杀方式都会涉及,本次分享的是源码免杀。0x02 源码免杀这里以Python做免杀为例,其他语言如C#、GO、Ruby等免杀思路相同。免杀的大致步骤可以分为如下,视情况可以采用部分步骤:加载器选择-ctypes-DLL&其他,加载shellcode
【安全工具】自动化爬虫+漏洞验证 有时候承接渗透测试任务或是挖掘SRC时会被规定,不能采用漏洞扫描工具如AWVS、Appscan等,那这个时候针对SQL注入的验证除了手动验证还有什么效率高的方法呢。不借助集成工具验证但我们可以分开验证。就拿SQL注入验证来说,本质上就是爬取网站URL,再去验证是否有注入,集成工具的验证方式大多都有攻击性行为,但我们可以采用sqlmap来辅助验证,点到即止,最多读到数据库名,这跟我们安全平台提交漏洞的截图差不多,属于验证行为。
遗传算法在组卷中的应用 最近看到之前做的项目,是关于使用遗传算法实现智能组卷的。所以这次为大家分享遗传算法的基本原理,以及在实际场景中的应用。"揭开算法神秘的面纱"在学习计算机相关知识时,我们必定会遇到算法的学习,我大学的老师说计算机中最值得学,最有价值的就是算法。以致于当时懵懵懂懂的我就跟着小伙伴一起边上数据结构边刷入门算法题了。以学习算法为目标的同学,对于蓝桥杯、ACM等比赛多少都有听过,但却相当一部分人不了解算法的真实应用,对此很是迷茫,甚至是觉得刷算法题就只是来参加比赛。对于算法的学习,应该更有规划,了解算法的实际应用
国内DCS系统发展现状 先简单给各位介绍下DCS系统。DCS系统大多用于工业控制领域,主要用于控制生产制造系统,所体现的是控制功能分散而管理功能集中,属于分布式控制系统。实现集中管理和生产控制器交互,完成生产任务。与信息系统不同的是,在工业控制生产环境,对信息传递的实时性要求非常高,信息的延误可能会导致生产事故,因此多采用局域网通信。DCS系统适用于石油石化、水资源处理(如:污水处理厂)以及工业发电(火电、核电等)。在DCS系统的应用环境中是用的专用工控协议,很多人对工控协议有所误解,认为在工业控制中所用的专用协议,安全性肯定比
工业控制网络安全 在信息化和工业化深度结合,即两化融合的趋势下,智能制造也应运而生,例如现在的电厂都推行智慧电厂。在工业生产环境利用传感装置获取各环节、各设备的信息,利用计算机自动化采集用于搭建管控平台,亦或是利用庞大的数据进行建模,分析工业生产环境所存在的问题、系统所存在的脆弱性等,这样的做法在工控行业越来越常见。这种新的模式便于对工厂的数据进行集中式管理,使得现场设备操作更加智能化和科学化,尽力减少以往手动操作导致的误操作和人为主观的判断。工业环境中的智能制造,对工控网络也提出了更高的要求,必须比常用网络结构更加稳定
IEC61508相关工控安全的要求 当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。工控安全本身就是一个覆盖面广,涉及到的设备及流程复杂,要求从业者对信息安全和工业控制现场设备都有一定了解。但有时看一些资料的时候,对于工控设备一些相关标准还不是很清楚,这些标准不同于等保2.0、能源局36号文、国网1084号文、南网3号文等的相关要求。对于工控现场设
Linux下的实模式 最近有小伙伴给我提了个问题,在Linux系统实模式下,有哪些操作可以正常运行,分别有哪些比较常见的行为。猛的一惊,虽说我不是专业搞这个的,但好歹也用了挺久的Linux系统,这是个啥子噢。之前把系统折腾坏了也没见过这玩意,所以悄悄地去补课,这次就给大家尽可能简洁地分享下,Linux下的实模式(Real Mode)和安全模式(Protected Mode)到底和怎么一回事。要了解它们的含义及区别,还是要从寻址方式开始了解:实模式下,虚地址到实地址转换:DS段寄存器左移4位与偏移地址相加,得到物理地址,最大
BurpSuite 爆破的一次坑 这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Markdown编辑器你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
关注
