- 博客(3)
- 收藏
- 关注
原创 网络安全学习笔记-3,4
Web App一般非常小,内容都是app内的网页展示,受制于网页技术本身,可实现功能少,而且每次打开,几乎所有的内容都需要重新加载,所以反应速度慢,内容加载过多就容易卡死,用户体验差,而且app内的交互设计等非常有效。1)静态文件会占用大量带宽 2)加载速度 3)存储空间 影响: 上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储,便于管理(只用来存储数据:如网校) 1、修复上传安全 2、文件解析不一样 3、带来了Accesskey隐患(key被泄露可以控制阿里云下的服务器和应用等)
2024-06-23 20:14:01 712
原创 网络安全攻防笔记-基础1、2
前后端分离 原理:前端JS框架,API传输数据 影响: 1、前端页面大部分不存在漏洞(页面简单,观察页面简洁程度就可分析出来) 2、后端管理大部分不在同域名 3、获得权限有可能不影响后端(因为有可能同一个域名,一个是子域名)#建站分配站 1.托管 2.申请() 原理:利用别人域名模版建立 影响:实质安全测试非目标资产(网站是在别的平台申请,攻击的是别人的平台)#站库分离: 原理:源码数据库不在同服务器 存储:其他服务器上数据库&云数据库产品 影响:数据被单独存放,能连接才可影响数据。
2024-06-13 16:51:54 1482
原创 ATT&CK 侦察-主动扫描
主动扫描:通过网络流量探测受害者基础设施的扫描,向目标网段主动发送特定探测数据包然后根据响应结果获取目标资产的存活状态、资产信息。主动扫描达到的目的:一 发现阶段:1检测目标网段哪些主机存活(存活ip) 2检测存活主机哪些端口开放。二 识别阶段:3检测开放端口运行哪些协议、服务。4检测服务运行在什么操作系统(OS)上。三 爬取阶段:5目标服务信息抓取,可深入分析。
2024-06-11 10:44:28 1816 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人