安全
文章平均质量分 80
个人学习网络安全中整理的一些笔记
小鹿乱创
从心髓微处用力,自然笃实光辉。
展开
-
Dom破坏(Dom Clobbering)
文档对象模型(DOM)允许JavaScript对其进行操作。我们可以对HTML插入特定id或name的标签,来达到执行命令时使命令错误的指向我们自定义标签的目的。原创 2023-09-30 19:13:47 · 197 阅读 · 0 评论 -
wazuh安装
wazuh官网:https://wazuh.com/wazuh是一款基于主机的IDS(HIDS),有着十分强大检测的功能,并且是一款免费的开源工具。原创 2023-08-21 21:26:36 · 372 阅读 · 0 评论 -
构造不包含字母和数字的webshell
在处理字符变量的算数运算时,PHP 沿袭了 Perl 的习惯,而非 C 的。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再转换成二进制再进行异或,异或完成后,又将结果从二进制转换成了ASCII值,再通过ASCII值转换成字符串。的变量进行自增操作,在PHP中未定义的变量默认值为null,null == false == 0,我们可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。异或的二进制的值是00100001,对应的ASCII值是33,对应的字符串的值就是!原创 2023-08-14 19:58:59 · 82 阅读 · 0 评论 -
Nodejs沙箱绕过案例
在沙箱内部引入了外部的环境,然后利用原型对象的`constructor`属性指向`Function`构造函数,来返回`process`对象,进而使用子进程(`child_process`)模块来执行任意命令。原创 2023-08-02 21:23:44 · 125 阅读 · 0 评论 -
IPSEC VPN详解
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现原创 2023-04-22 19:20:01 · 12109 阅读 · 1 评论 -
非对称密钥的应用
对称加密指通信双方共用一个密钥进行对话加密,显然这样的通信并不安全,同时对于服务器来说需要保存上万对密钥,因此我们需要非对称加密来解决这个问题。原创 2023-04-14 16:03:44 · 222 阅读 · 0 评论 -
防火墙ASPF技术、NAT、接口模式、双机热备
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。原创 2023-04-14 15:45:17 · 780 阅读 · 0 评论 -
APT简介
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。原创 2023-04-07 21:51:31 · 377 阅读 · 0 评论 -
恶意软件与反病毒网关
恶意软件(Malware即“malicious software”),是以多种途径感染合法用户计算机及予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且表现出多种形式,有些形式包括病毒、蠕虫、木马、间谍软件等。原创 2023-03-31 21:14:53 · 444 阅读 · 0 评论 -
IDS简介
IDS(intrusion detection system):入侵检测系统。对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。原创 2023-03-31 21:15:16 · 378 阅读 · 0 评论 -
防火墙简介
防火墙虽然具有路由交换功能,但与路由器的不同点是路由器是连通性设备,主要用于确保网络连通和数据转发,而防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,同时还必须允许两个网络之间可以进行合法的通信原创 2023-03-23 20:40:30 · 2987 阅读 · 0 评论 -
复现urlcode编码绕过xss限制的两个案例
复现urlcode编码绕过xss限制两个例子,GET传递的参数直接输出在src中会存在反射型xss漏洞,本次复现的目的是利用url编码规则构造url绕过xss限制。原创 2022-11-10 14:56:04 · 1100 阅读 · 0 评论