安全项目【笔记】

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量171 收藏
点赞数
分类专栏: 笔记 文章标签: 安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51494407/article/details/134520329
版权

安全项目

基线检查

密码复杂度,有效期,administrator有没有禁用

等保测评

是否举办了安全意识培训,是否有应急响应预案,有没有第一负责人

红蓝对抗

攻击

公安组织人员进行网络攻击演习

防守

各单位自己组织人员进行值守,防火墙,waf,态势感知

红蓝对抗不限制资产

渗透测试限制资产

如 www.1000phone.com 中

渗透测试只可以渗透以下其中的 oa.www.1000phone.com,而红蓝对抗不限

image-20231120141323659

渗透测试

远程:客户提供公网的资产,域名,ip,渗透测试人员在远程进行工作

现场:客户的资产外网不可见,9

攻击网站,尝试自己会的所有漏洞

安全服务

看设备,上架设备

应急响应

服务器失陷,处理病毒,阻断传播,写报告

风险评估

机房有没有灭火器,有没有凭证

主机扫描,web渗透,基线检查

技能树

windows

工具,环境

linux

拿下了一台linux服务器,如何进一步内网渗透

php

一句话木马,代码审计

前端

敏感信息泄露,xss漏洞,小程序渗透

web漏洞

针对web服务的攻击

python

写脚本,tamper

网络

上架设备,

名词

POC

验证漏洞是否存在

POC:全称 ’ Proof of Concept ',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。

exp

漏洞利用

EXP:全称 ’ Exploit ',中文 ’ 利用 ',指利用系统漏洞进行攻击的动作。

payload

具有危害的代码

Payload:中文 ’ 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。

fuzz

模糊测试

在计算机领域, Fuzz Testing (模糊测试)是一种测试方法,即构造一系列无规则的“坏”数据(“坏”数据:非正常数据)插入应用程序,判断程序是否出现异常,以发现潜在的bug。在信息安全领域,也有人尝试引入fuzz testing思想进行安全漏洞挖掘,而且效果不错。

一般涉及生成数据列表,并让程序按数据列表内容请求测试的都可以称为fuzz

SQL 注入流量特征

误报

XSS

验证

输入各种字符查看是否原样回显

文件上传

头像、接收文件的弹框(意见箱等)、上传发票、

文件上传路径:

  • 右键打开图片路径
  • 查看返回包中的内容
  • 审计前端代码

文件包含

识别语言并解析执行,无关后缀

远程文件执行:文件包含函数在哪个主机上,代码在哪执行

CSRF 和 SSRF 区别

  • CSRF 跨站请求伪造

  • SSRF 服务器段的请求伪造(更严重)

    • 挖掘:参数值类似 url

文件包含

识别语言并解析执行,无关后缀

远程文件执行:文件包含函数在哪个主机上,代码在哪执行

CSRF 和 SSRF 区别

  • CSRF 跨站请求伪造

  • SSRF 服务器段的请求伪造(更严重)

    • 挖掘:参数值类似 url
wuuuenoi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件项目管理笔记
Alphasxd的博客
05-13 1万+
第一章.软件项目管理概述 1.实现项目目标的制约因素有: 项目范围 成本 进度计划 客户满意度 2.项目管理包括: 启动过程组 计划过程组 执行过程组 控制过程组 收尾过程组 3.什么是项目: 为了创造一个唯一的产品或者提供一个唯一的服务而进行的临时性的努力,所以说项目具有临时性特性 4.过程管理就是对过程进行管理,目的是要让过程能够被共享,复用,并得到持续的改进 5.项目与日常运作的区别与共同点: 项目 日常运作 以目标为导项 通过效率和有效性的体现 通过项目经理及其团队工
网络安全法学习整理笔记
神二娃子的博客
04-08 1万+
网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 网络运营者:是指网络的所有者、管理者和网络服务提供者。 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 15万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
小迪安全学习笔记
m0_73148547的博客
03-10 1594
小迪安全课程的笔记
小迪安全笔记
ANYOUZHEN的博客
03-14 6308
1.后门 黑客留下的一个方便下次进入的网址 2.脚本语言主流php java python 3.常见漏洞 上传 代码执行 sql注入 变量覆盖 逻辑漏洞 反序列化 xss
网络安全学习笔记
yxltx_的博客
12-17 4356
渗透测试方法论 渗透测试 是实施安全评估(即审计)的具体手段 方法论 是制定、实施信息安全审计方案时,需要遵循的规则、惯例和过程 人们在评估网络、应用、系统或者三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结了一套理论,即渗透测试方法论 种类 •黑盒测试 •白盒测试 •脆弱性评估与渗透测试 安全测试方法论 科学的方法认识安全弱点 开放式 Web 应用程序安全项目(www.owasp.org.cn),GitHub上也有 ...
项目-安全架构
Tech Station
06-15 2168
    网站安全至关重要,项目越大越应该注重安全问题,以下通过六个方面进行项目安全性方面的控制. 一:权限控制      1)将用户分权限,不同权限的用户具有不同的功能,不可以进行跨权限进行非正常操作。      2)将不可被直接访问的页面隐藏,使其只能通过页面内部跳转进行访问。      3)实现:对于1)可以使用安全性框架进行权限管理,例如:shiro、spring security等...
芋道项目笔记(自用
hazelzhiye的博客
08-15 3694
摘了几个自己认为的重点.jpg
小迪安全培训2023期笔记汇总-持续更新
今天是几号的博客
03-03 9831
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
功能安全学习笔记20230806
08-06
功能安全的学习最好还是基于项目实践去学习吧,只是看书和找其他资料我认为是不足够的。该学习笔记只是作为功能安全知识框架的补充,不是详细的培训资料,也无具体的示例,权且当个补充即可。
网络安全-渗透完整笔记
03-27
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用...
项目经理笔记.docx
08-28
软考项目经理笔记
Android项目实战,手机安全小卫士.zip
03-10
为了满足广大Android开发爱好者与从业者的学习需求,我们精心整理并上传了一份全面而实用的Android项目资源包。这份资源包内容丰富,涵盖了从基础知识到实战应用的全方位内容,旨在为开发者们提供一个便捷、高效的...
安全笔记
02-12
安全笔记一个新的Flutter项目。入门该项目是Flutter应用程序的起点。 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门:要获得Flutter入门方面的帮助,请查看我们的,其中提供了教程,示例,有关移动...
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 134
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 922
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 464
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 401
Web应用防火墙的重要性
小迪安全 vpc项目实战笔记
12-26
小迪安全 VPC 项目实战笔记是关于小迪安全团队在虚拟私有云(VPC)领域的实际操作、经验总结及技术分享。VPC 是一种基于公共云平台的网络隔离和安全控制技术,对于企业构建安全可靠的云端网络环境非常重要。 在这份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值