做梦都在改BUG-CSDN博客

原创继“蓝屏”事件之后，微软再次出现全球性宕机

最初触发事件是分布式拒绝服务（DDoS）攻击，从而激活了我们的DDoS保护机制，但初步调查表明，我们在防御措施实施中的错误放大了攻击的影响，而不是减轻了它的影响。据了解，本次微软中断问题受影响的服务包括：Azure App Services、Application Insights、Azure IoT Central、Azure Log Search Alerts、Azure Policy，以及 Azure门户本身和部分Microsoft 365和Microsoft Purview服务。

2024-08-07 14:20:47 228

原创 GitHub星标4000！清华大牛的CTF竞赛入门指南，真的太香了！

想进入网络安全行业、实现从学校到职场的跨越，参加CTF竞赛是很好的成长途径。通俗而言，CTF是模拟“黑客”所使用的技术、工具、方法等手段发展出来的网络安全竞赛，有了手段之后需要的就是经验与黑客感(HackorFeel)。CTF赛题涉及的领域很广，市面上也早有在知识广度上均有所覆盖的CTF书籍，但没有深入单一领域的内容，尤其是Pwn方向的。Pwn是网络安全攻防最有魅力的部分，对于原教旨攻防人士来说，Pwm才是原汁原味的技术体现。二进制Pwn一直是CTF比赛的热点和难点。

2024-08-06 19:25:23 548

原创针对一个有意思的钓鱼免杀样本的详细分析

近日跟踪到一个钓鱼样本，比较有意思，沙箱没有跑出行为，如下所示：做安全，免杀是一个永恒的话题，是一场猫捉老鼠的游戏，通过研究一些对抗型的攻击样本，可以更好的了解攻击者在使用什么技术。

2024-08-06 14:26:18 865

原创网安科班精选！爱荷华大学教授的网络安全零基础入门教程！

网络就像一把双刃剑，给我们的生活、交流、工作和发展带来了便利，但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用，还关系到企国家、军队、企业的信息安全和社会的经济安全，让人又爱又恨。今天给大家分享的这份手册，主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头，通过分析网络漏洞、探测、攻击和减少攻击的方法，来研究不同的网络协议。

2024-08-05 16:31:15 502

原创我的 Electron 客户端被第三方页面入侵了

公司有个内部项目是用 Electron 来开发的，有个功能需要像浏览器一样加载第三方站点。本来一切安好，但是某天打开某个站点的链接，导致整个客户端直接变成了该站点的页面。这一看就是该站点做了特殊的处理，经排查网页源码后，果然发现了有这么一句代码。

2024-08-05 14:32:09 953

原创全网热议！GitHub发布的最简单的黑客入门教程，你值得拥有！

黑客(hacker)泛指擅长IT技术的人群、计算机科学家，黑客们精通各种编程语言和各类操作系统，伴随着计算机和网络的发展而产生成长黑客一词，最初曾指热心于计算机技术、水平高超的电脑专家，尤其是程序设计人员，后逐渐区分为白帽、灰帽、黑帽等，其中黑帽即骇客(cracker)。在媒体报道中，黑客一词常指软件骇客(software cracker)，而与黑客(黑帽子)相对的则是白帽子(维护计算机和互联网安全)因为这份教程本来就是带大家入门所以，内容方面会简单很多，方便小伙伴们的学习和阅读。

2024-08-02 16:42:05 291

原创 B站安全开发流程落地实践

1.1 SDL诞生背景随着互联网技术的快速发展，网络系统及应用在给人们的生活带来巨大便利的同时，信息安全问题也逐渐成为用户和企业关注的焦点。然而，安全问题的管理和解决需要一个系统的、完整的解决方案，在缺乏有效解决方案的情况下，很容易因为开发人员的疏忽或缺乏安全设计，导致系统存在安全漏洞。这些漏洞一旦被恶意用户利用，将会造成严重的安全风险或经济损失。在此背景下，微软在2004年正式提出了安全开发生命周期模型（SDL），并在其软件开发过程中广泛应用。

2024-08-02 16:20:12 720

原创网安零基础入门神书，全面介绍Web渗透核心攻击与防御方式！

Web安全是指Web服务程序的漏洞，通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。“渗透测试”作为主动防御的一种关键手段，对评估网络系统安全防护及措施至关重要，因为只有发现问题才能及时终止并预防潜在的安全风险。根据网络安全调查统计，75%的网络攻击行为都是来自Web应用层面而非网络层面所以，学习Web安全的重要性不言而喻。Web安全吸引越来越多的人学习，有人是被其炫酷感染，有人是出于对技术的热爱，但大多数人还是为了高薪资和职场发展。

2024-08-01 15:40:44 570

原创史上最高！这家企业向勒索软件支付了超5.4亿元赎金

安全内参7月31日消息，一个名叫黑暗天使（Dark Angels）的勒索软件网络犯罪团伙，从一位未具名的受害者那里获取了全球有史以来最大金额的赎金。美国知名零信任安全公司Zscaler的研究人员表示，该团伙勒索了7500万美元（约合人民币5.42亿元），几乎是此前公开报道的勒索软件赎金最高记录的两倍。2021年3月，美国保险巨头CNA Financial遭受勒索软件攻击后被迫支付4000万美元（约合人民币2.89亿元）。

2024-08-01 14:39:19 380

原创网安人必须人手一份的《Linux私房教程》，GitHub星标286K！

Linux是一套免费使用和自由传播的操作系统内核，是一个基于POSIX和Unix的多用户、多任务支持多线程和多CPU的操作系统内核。在每一章的结束会有一个重点回顾，来帮助大家重新梳理学习到的内容。今天给小伙伴们分享一份Linux私房教程，这份教程完全是从零基础开始带你一步步深入的，不管是零基础的小伙伴还是已经在行业内沉浸多年的小伙伴都是有帮助的。因为有很多小伙伴是非科班出身，对于计算机软/硬件方面的概念不是很熟悉，想要了解Linux的概念还是有些难度的，所以单独增加了这一章来帮助小伙伴学习。

2024-07-31 16:33:41 634

原创手摸手带你进行XSS攻击与防御

简单来说，通过设置CSP来控制浏览器加载页面时允许执行的资源来源，这样来减少XSS攻击。

2024-07-31 15:36:49 1245

原创史上最大规模宕机事件的10个重要教训

网络安全公司CrowdStrike旗下的猎鹰传感器（Falcon Sensor）的一次软件更新引发了一场全球危机，导致全球安装有Windows系统计算机出现大规模的蓝屏死机（blue screen of death,即BSOD），结果数千架航班被迫停飞、医院陷入混乱、支付系统崩溃，直接影响了数百万用户，成为历史上最大的 IT 故障。初步统计，宕机事件给财富 500 强企业造成高达 54 亿美元的损失。

2024-07-31 14:27:17 577

原创爆赞！终于有大佬把网络安全零基础入门教程给讲明白了！

网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。网络安全在不同环境和应用中有不同的解释，例如系统运行的安全、系统信息内容的安全、信息通信与传播的安全等。

2024-07-30 15:19:26 545

原创揭秘攻击者规避XDR检测的惯用手法及应对建议

XDR（扩展威胁检测和响应）解决方案在帮助企业识别和减轻网络攻击威胁方面发挥了重要作用。然而一直以来，针对恶意软件的检测与绕过都是一场防守者和攻击者之间的军备竞赛，不断有新的技术被应用到博弈之中。研究人员发现，目前的攻击者正在大量使用检测规避、漏洞利用和禁用监控等方式来绕过XDR工具，以实施恶意攻击。，并对其中容易发生的检测规避情况提出防护建议和策略。

2024-07-30 14:22:52 503

原创安全人士可以从CrowdStrike事件中汲取的五点教训

CrowdStrike错误更新导致全球范围Windows蓝屏事件已经发酵数日，该事件被业内人士看作是“历史上最大规模系统崩溃事件”，震惊了整个世界。这次事件并非是某个国家级黑客组织或大师级黑客的杰作，而是CrowdStrike更新文件的一个错误，导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。

2024-07-29 15:46:30 466

原创实战基于terraform-compliance实现IaC安全

随着云计算的普及和企业对基础设施即代码（IaC）的采用增加，确保云基础设施的安全和合规性变得至关重要。Azure作为领先的云服务提供商之一，为企业提供了强大的基础设施和服务，而Terraform作为流行的IaC工具，则为云资源的自动化部署和管理提供了有效的解决方案。然而，单纯依赖Terraform配置并不足以保证部署的安全性和符合性。因此，利用符合性测试工具对IaC代码进行全面的安全审计和合规性检查显得尤为重要。

2024-07-29 15:12:07 1001

原创什么是 CSRF？如何防止 CSRF 攻击？

CSRF，全称 Cross-Site Request Forgery，中文翻译为跨站请求伪造，它是一种网络安全漏洞，攻击者通过伪造用户的请求，利用用户在已登录的情况下的身份验证信息，向服务器发送恶意请求，从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下，攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求，导致服务器误以为是用户发送的合法请求。用户登录到一个网站，并且被骗点击了攻击者构建的另一个网站链接，这代表了 CSRF 的“跨站点”部分。

2024-07-27 14:28:17 1324

原创不断发展的AI监管如何影响网络安全

除了行政命令，美国对人工智能监管的分散式方法也体现在加州等州制定自己的法律指南。作为硅谷的所在地，加州的决定可能会极大地影响科技公司开发和实施人工智能的方式，一直到用于训练应用程序的数据集。虽然这绝对会影响所有参与开发新技术和应用程序的人，但从纯粹的 CISO 或网络安全领导者的角度来看，重要的是要注意，虽然美国的环境强调创新和自我监管，但总体方法是基于风险的。美国的监管环境强调创新，同时解决与人工智能技术相关的潜在风险。法规侧重于促进负责任的人工智能开发和部署，重点是行业自我监管和自愿合规。

2024-07-26 15:57:26 526

原创 EdgeOne安全专项实践：上传文件漏洞攻击详解与防范措施

通过本文，我们深入探讨了文件上传漏洞攻击的多种案例和防范措施，以及在搭建攻击靶场时的实际操作。从前端和后端的校验漏洞，到利用Apache配置文件和文件包含漏洞的攻击方式，每一步都展示了安全防护的重要性。在学习和实践过程中，我们不仅仅关注如何进行攻击，更着重于如何保护自己的服务器免受此类攻击。我们使用了EdgeOne作为一个解决方案的示例，展示了如何利用其提供的防护规则来有效防御文件上传漏洞。无论是在靶场搭建过程中的细节操作，还是在攻击案例的分析过程中，安全意识和防护措施的实施都显得至关重要。

2024-07-26 15:02:01 1021

原创「漏洞复现」建议升级！旧版 Cecil 存在路径遍历漏洞！

本篇博文主要内容是通过修复方案来分析 Cecil 存在跨目录任意读取文件漏洞的原因，并对此进行复现。

2024-07-25 14:52:07 462

原创 100行代码手把手带你实现Feisitel加密算法

Feistel 加密算法，或者叫做 Feistel 网络，是一种块加密（block cipher）模型，很多常见的加密算法都具有 Feistel 结构，如 DES、blowfish 等。Feistel 将明文分割成固定大小(block size)的块（如 32bit、64bit），然后对于每个块进行若干轮操作，每轮操作需要用到一个 key，因此总计需要循环轮数个 key。解密时需要用相同的 keys，因此这是一种对称加密算法。

2024-07-25 14:21:26 270

原创豆瓣评分8.6！破晓大牛仅用一份手册就把Web安全讲明白了！

纵观国内网络安全方面的书籍，大多数都是只介绍结果，从未更多地考虑过程。而今天给小伙伴们分享的这份手册恰恰是从实用角度出发，本着务实的精神，先讲原理，再讲过程，最后讲结果，是每个从事信息安全的从业人员不可多得的一本实用大全。

2024-07-24 22:02:54 1040

原创从 NextJS SSRF 漏洞看 Host 头滥用所带来的危害

本篇博文主要内容是通过代码审计以及场景复现一个 NextJS 的安全漏洞（CVE-2024-34351）来讲述滥用 Host 头的危害。

2024-07-24 21:58:23 631

原创【漏洞复现】Nodebb 被爆未授权拒绝服务攻击

本篇博文主要内容是通过代码审计来分析 Nodebb 存在拒绝服务攻击的原因，并对此进行复现。严正声明：本博文所讨论的技术仅用于研究学习，旨在增强读者的信息安全意识，提高信息安全防护技能，严禁用于非法活动。任何个人、团体、组织不得用于非法目的，违法犯罪必将受到法律的严厉制裁。漏洞的 CVE 编号为，适用于 Nodebb 版本小于 2.8.10；Nodebb 是一个基于 Node.js 构建的开源社区论坛平台，该平台的特点之一是利用 Socket.IO 进行即时交互和实时通知。

2024-07-24 21:55:30 913

原创 11K star！开源WAF的NO1，不花钱也能搞定安全

总的来说，雷池一款非常不错的WAF产品，尤其最为开源产品它的功能和完成度非常的高，尤其还是国产的开源项目，必须要加分，希望可以发展的越来越好。从产品能力角度完全可以满足企业或个人的如此需要，如果你有WAF的需要，而有在成本方面存在疑虑，那么可以来试试雷池的社区版。

2024-07-23 15:47:14 480

原创信息安全: MAC（消息认证码）算法，保护数据完整性和真实性的利器

消息认证码（Message Authentication Code，简称 MAC）是一种通过使用秘密密钥生成的，用于验证消息完整性和真实性的码。MAC 能够确保消息在传输过程中未被篡改，并且发送者的身份是可信的。HMAC 的结构K_o（外部密钥块）和 K_i（内部密钥块）。最终的哈希值就是 HMAC 的输出。HMAC 的特点高安全性：由于 HMAC 的结构，攻击者很难从 MAC 值中恢复出秘密密钥。灵活性：HMAC 可以使用任何安全的哈希函数，如 SHA-1、SHA-256。标准化。

2024-07-23 15:14:03 561

原创探索网络安全：浅析文件上传漏洞

在接下来的章节中，我们将继续深入探讨如何攻击和防护文件上传漏洞，以及如何通过简单的方法检查服务器资源。网络安全是一场没有硝烟的战争，它要求我们时刻保持警惕，不断学习与适应。无论是采用强密码、数据加密，还是定期更新软件、安装安全软件，每一项措施都是我们构建网络安全防线的基石。同时，我们也应意识到，技术手段之外，提升安全意识、培养安全习惯同样至关重要。

2024-07-23 15:10:56 878

原创编程入门必备的《Python王者归来》全彩版真的太香了！

在当下全民互联网，大数据的时代，Python已然成为了学习大数据、人工智能时代的首选编程语言，Python因上手简单被越来越多的人所喜爱，近几年更是在各类语言使用排行榜中稳居第一，而且每年是用人数还在直线上升。

2024-07-18 16:39:26 456

原创 Python函数式编程入门窥探

在python中一切皆为对象，不仅函数可以表现得像对象，甚至对象也可以表现得像函数，我们只需要去实现python对象中的__call__这个实例方法。

2024-07-18 15:28:32 787

原创 GitHub爆赞！标星120K的Python程序设计人工智能案例手册

Python简单易学，且提供了丰富的第三方库，可以用较少的代码完成较多的工作，使开发者能够专注于如何解决问题而只花较少的时间去考虑如何编程。此外，Python还具有免费开源、跨平台、面向对象、胶水语言等优点，在系统编程、图形界面开发、科学计算、Web开发、数据分析、人工智能等方面有广泛应用。尤其是在数据分析和人工智能方面，Python已成为最受开发者欢迎的编程语言之一，不仅大量计算机专业人员选择使用Python进行快速开发，许多非计算机专业人员也纷纷选择Python语言来解决专业问题。

2024-07-17 16:09:17 889

原创计算机视觉的基础概念与入门

之前学习了一下 Python 环境下计算机视觉方面的一些应用（主要是 OpenCV）.但是对于计算机视觉方面的种种概念都是一笔带过，计算机视觉是一个很大的领域，在深入它之前，有必要对其中的一些基础概念有一个宏观的理解。学完了图像的基础概念，后续就是 OpenCV 的常见用法了。通过图像的处理实现美颜的功能，整体风格的转变基于像素点的模型，来搜索相似或者相同的图片对图像特定的区域添加蒙版或者遮挡，对图片进行裁剪等。。。。。。太多太多了

2024-07-17 15:37:36 732

原创 Python教授耗费13年总结的400页《Python工匠》手册

但是今天咱们要讨论的一件事儿，是对于一些入门了的盆友，写了不少代码，一到面试就卡bug，又或者在项目中运用Python，代码不怎么样，却自我感觉良好，结果到处出漏洞，一堆的烂摊子。我相信，这样的朋友肯定不少，可是目前市面上能帮助大家解决这种问题的书籍又非常稀缺，今天我就给大家推荐一本能帮助你解决燃煤之急的书籍。如果你知道主攻哪个方向，只需重点去学习。不过，不论哪个方向，Python 编程的核心知识都是需要掌握的。Web 开发、数据分析、网络爬虫、自动化运维、后台开发、机器学习.......

2024-07-16 14:21:53 314

原创 Python数据结构：元组详解（创建、访问、不可变特性）

Python中的元组（Tuple）是一种重要的数据结构，与列表类似，但元组是不可变的，这意味着一旦创建，就无法修改。元组的不可变性使其在某些场景下比列表更具优势。本文将详细介绍Python元组的创建、访问、不可变特性，并附上一个综合复杂的例子，全面展示元组在实际编程中的应用。

2024-07-16 14:09:27 2036

原创 Python数据结构：列表详解（创建、访问、修改、列表方法）

Python中的列表是一个非常强大的数据结构，它允许我们存储、访问和操作一系列的数据。列表可以包含任何类型的对象，包括数字、字符串、甚至其他列表。本文将详细介绍Python列表的创建、访问、修改以及列表方法，并附上一个综合的例子，全面展示列表在实际编程中的应用。

2024-07-16 13:58:30 5625 1

原创计算机视觉的基础概念与入门

之前学习了一下 Python 环境下计算机视觉方面的一些应用（主要是 OpenCV）.但是对于计算机视觉方面的种种概念都是一笔带过，计算机视觉是一个很大的领域，在深入它之前，有必要对其中的一些基础概念有一个宏观的理解。学完了图像的基础概念，后续就是 OpenCV 的常见用法了。👉 通过图像的处理实现美颜的功能，整体风格的转变👉 基于像素点的模型，来搜索相似或者相同的图片👉 对图像特定的区域添加蒙版或者遮挡，对图片进行裁剪等。。。。。。太多太多了作者：志字辈小蚂蚁。

2024-07-15 15:47:08 740

原创字节跳动内网开源的《Python项目开发实战》，GitHub飙升！

这些部分的内容加起来，它的实战项目就是十分丰富的，但这本书更适合已经具有一定基础的Python开发者阅读，对于基础比较薄弱的学习者，小妖建议可以先读一些入门的Python书籍。第三部分，“服务公开”，这个部分就涉及到了更多的实战项目，主要也是为大家讲解如何搭建和运用正式环境公开web服务，以及性能调节的方法。第二部分，主要讲“团队开发周期”，介绍书中的极客们在多人团队开发中遇到的问题，以及如何提高开发效率的技术和技巧。第四部分，“加速开发的技巧”，这部分主要是介绍加速开发的小方法。

2024-07-13 16:20:50 321

原创 Python数据结构：字典详解（创建、访问、修改、字典方法）

本文将详细介绍Python字典的创建、访问、修改及其方法，并附上一个综合详细的例子，全面展示字典在实际编程中的应用。为了更好地理解Python字典的创建、访问、修改及其方法的应用，下面提供一个综合详细的例子，模拟一个简单的图书管理系统。链接：https://juejin.cn/post/7390631421328031781。如果有重复的键，后面的字典值会覆盖前面的字典值。fromkeys() 方法用于创建一个新字典，以序列中的元素为键，统一设置值。items() 方法返回字典中所有的键值对，形式为元组。

2024-07-13 15:15:51 3037

空空如也

空空如也