网络安全
文章平均质量分 67
蜗牛学苑网络空间安全专业,致力于建设一套体系全面的、有技术深度的、受企业认可的、以渗透测试和系统入侵为主导的安全攻防体系课程。
覆盖渗透测试 ·安全测试 ·系统入侵 ·内网渗透 ·域渗透 ·安全运营 ·安全开发 ·代码审计等方向。
蜗牛学苑_武汉
这个作者很懒,什么都没留下…
展开
-
CSRF漏洞攻击
(1)避免在URL中明文显示特定操作的参数内容;(2)使用同步令牌(Synchronizer Token),检查客户端请求是否包含令牌及其有效性;(常用的做法,并且保证每次token的值完全随机且每次都不同)(3)检查Referer Header,拒绝来自非本网站的直接URL请求。(4)不要在客户端保存敏感信息(比如身份认证信息);(5)设置会话过期机制,比如20分钟无操作,直接登录超时退出;(6)敏感信息的修改时需要对身份进行二次确认,比如修改账号时,需要判断旧密码;原创 2024-07-05 17:27:24 · 1016 阅读 · 0 评论 -
Linux之文本三剑客
sed(Stream EDitor)是一个强大而简单的文本解析转换工具,可以读取文本,并根据指定的条件对文本内容进行编辑(删除、替换、添加、移动等),最后输出所有行或者仅输出处理的某些行。原创 2024-07-04 19:32:03 · 517 阅读 · 0 评论 -
木马蚁剑使用
数据库对文件的权限确认。原创 2024-07-03 09:47:45 · 321 阅读 · 0 评论 -
数据库三大范式
1)下面图形中不符合2NF,sname只能sid有关,cname只跟cid有关,所以该两列违反了2NF。**定义:**主要针对的是属性,要求表中的每个列具有。,除了主键之外的列,应该跟主键直接相关,而非间接相关。设计关系数据库时,遵从不同的规范要求,设计出合理的。被称为不同的范式,各种范式呈递次规范,,而不是只跟连个主键中的某一列相关。的表,要求除了联合主键之外的。1)下图不符合第三范式。原创 2024-06-24 09:53:00 · 296 阅读 · 0 评论 -
XSS跨站攻击漏洞
xss全称为:Cross Site Scripting,指跨站攻击脚本,XSS漏洞发生在前端,攻击的是浏览器的解析引擎,XSS就是让攻击者的JavaScript代码在受害者的浏览器上执行。XSS攻击者的目的就是寻找具有XSS漏洞的网页,让受害者在不知情的情况下,在有XSS漏洞的网页上执行攻击者的JavaScript代码。XSS是提前埋伏好漏洞陷阱,等着受害者上钩。既然攻击者是执行JavaScript代码,所以攻击的语句应该能让JavaScript运行。第一种 反射型。原创 2024-06-23 21:52:49 · 1210 阅读 · 4 评论 -
Linux的shell语法
shell解释器,介于操作系统内核与用户之间,充当了一个“命令解释器”的角色,负责接收用户输入的操作指令(命令)并进行解释,将需要执行的操作传递给内核执行,并输出执行结果。原创 2024-06-22 11:14:33 · 559 阅读 · 0 评论 -
Linux常用命令
Linux常用命令原创 2024-06-13 21:07:53 · 589 阅读 · 0 评论 -
Crontab定时器
安装部署centos,默认就开启了。原创 2024-06-11 10:15:39 · 323 阅读 · 0 评论 -
python之语法糖
一.语法糖语法糖不是糖,而是编程语言中的某些特殊写法,这些写法让书写起来更加简洁,容易理解,因此被叫做语法糖二.语法糖分类数字分隔符a = 10_0000_0000交换变量值a = 1;b = 2a,b = b,a连续比较式a = 90if 80<=a<=100:print(‘优秀’)字符串乘法a = ‘_’*10列表拼接a = [1,2,3]b = [4,5,6]c = a + b列表切片a = [1,2,3,4,5,6,7,8,9]a[0]打包原创 2024-06-11 08:56:34 · 210 阅读 · 0 评论 -
sqlilabs靶场安装
1 把靶场sqli-labs-master.zip上传到 /opt/lampp/htdocs 目录下2 解压缩3 数据库配置找到配置文件,修改数据库配置信息。原创 2024-06-06 11:49:03 · 405 阅读 · 0 评论 -
kali系统baopoWiFi密码
取决强大的密码字典,如果别人密码设置的足够安全,也无法破解成功,并不是100%破解。BSSID:AP的MAC CH:信道 ENC:wifi加密方式。原创 2024-05-31 16:16:03 · 166 阅读 · 0 评论 -
Python登录漏洞复现
3)安装requests网络请求库。2)安装ddddocr图形识别库。原创 2024-05-31 14:55:25 · 767 阅读 · 0 评论 -
burpsuite拦截和爆破
解压:打开后创建快捷方式到桌面。原创 2024-05-31 14:54:23 · 411 阅读 · 0 评论 -
ensp-三层交换技术
单臂路由有明显的缺陷,单臂路由的链路使用率高,可能会造成网路拥塞,造成网络不可用可以让多个交换机连接路由器的不同接口,但是路由器的接口毕竟有限,不像交换机一样有那么多接口使用三层交换解决路由器接口不够用问题。原创 2024-05-25 17:14:14 · 630 阅读 · 0 评论 -
redis未授权访问漏洞
将你自己的公钥写入别人的redis中,在对其redis进行保存为持久化文件,持久化文件的路径需要是。攻击机通过redis-cli把自己的公钥,写入到了靶机的redis数据库中的字符串keys。靶机的redis-server中有一个字符串keys里面就有了攻击机的公钥。利用redis漏洞,getshell,我们需要利用RDB还是AOF?肯定是RDB,因为RDB是二进制文件的格式!,且文件的持久化命名需要是。原创 2024-05-17 18:46:39 · 377 阅读 · 0 评论 -
Linux防火墙iptalbes
安全框架:netfilter,因为netfilter处于Linux的内核中,要和它进行交互,需要一个工具,这个工具就是iptables。1)准备两台linux,A作为我的防火墙,用来做转发,B是httpd,作为内网服务器,一台作为我的防火墙,用来做转发。定义:目的地址转换,企业在内网部署了一个项目,外网访问内网的时候,不想暴漏内网的地址,则需要目的地址转发。2)A安装iptables,作为防火墙,增加一个网卡ens37,用于实现内网转发B,网络模式设置为主机模式。原创 2024-05-13 15:16:16 · 783 阅读 · 0 评论 -
Windows注册表
注册表(Registry)是Microsoft Windows中的一个重要的数据库,用于[存储系统]和[应用程序]的设置信息。早在[Windows 3.0]推出[OLE]技术的时候,注册表就已经出现。随后推出的[Windows NT]是第一个从系统级别广泛使用注册表的操作系统。但是,从[Microsoft] [Windows 95](操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用。原创 2024-05-08 19:45:54 · 433 阅读 · 0 评论 -
python的scapy库基础使用
Scapy是一个功能强大且灵活的Python库,用于操作和探索计算机网络中的数据包。它允许用户构建各种类型的网络数据包,并支持多种网络协议,如TCP、UDP、ICMP、ARP等。Scapy不仅可以发送和接收数据包,还可以捕获、修改和解析网络流量,使用户能够深入研究网络通信并进行网络安全测试。原创 2024-04-30 12:14:09 · 644 阅读 · 2 评论 -
Python的多线程
1、程序是指一组指示计算机或其他具有信息处理能力装置执行动作或做出判断的指令,通常用某种程序设计语言编写,运行于某种目标计算机体系结构上。程序的通俗定义就是:一段可执行的代码2、进程是计算机中的软件程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。一个运行起来的程序就是一个进程3、线程是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有操作系统资源,但是该线程可与同属进程的其他线程共享该进程所拥有的全部资源。原创 2024-04-23 20:09:54 · 979 阅读 · 0 评论 -
python跳出嵌套循环
如上代码所示,想要在内层循环里,输入666时,此时num2 = ‘666’,会执行print(‘哈哈哈哈’),执行break语句,把内层循环终止掉,但是外层循环依旧还是会继续,依旧会进入到num1 = input(‘输入一个数:’)语句,此时我们可以引入一个变量flag,赋值初始值为False,当执行了print(‘哈哈哈哈’)语句后,重新赋值flag = True,外层循环体加入if语句,控制是否break,就可以实现在内层循环控制内层循环终止与外层循环终止。原创 2024-04-16 20:07:17 · 445 阅读 · 0 评论 -
03-进程-网络命令-软件安装-SSH免密登录
命令: yum作用:yum会从指定的服务器自动下载rpm包并且进行安装,优点是可以自动处理依赖关系,并且一次安装所有的软件包。原创 2024-04-09 19:39:00 · 805 阅读 · 0 评论 -
02-Linux进阶
普通用户:zhangshan,普通用户账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的家目录中拥有。若该用户同时还包含在其他的组中,则这些组称为该用户的附加组(或公共组)。程序用户:安装程序后自动生成的,在安装 Linux 操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般。基于某种特定联系(如都需要访问 FTP 服务)将多个用户集合在一起,即构成一个用户组,表示该组内所有用户的账号称为组账号。属主:文件的创建者对这个文件拥有的权限。原创 2024-04-09 19:38:08 · 547 阅读 · 0 评论 -
01-Linux基础
在NAT模式中,主机网卡直接与虚拟NAT设备相连,然后虚拟NAT设备与虚拟DHCP服务器一起连接在虚拟交换机VMnet8上,这样就实现了虚拟机联网。Linux是一种开源的操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核。硬链接直接创建了一个相互关联的普通文件,任意一方发生变更的时候,另一方同步变更。桥接模式是指与物理机(安装了VMware的电脑),使用同一个物理网卡,和物理主机使用同一个段的ip。4、安装位置点击一次,选择自动配置分区,点击左上方的“完成”按钮。原创 2024-04-09 19:36:51 · 619 阅读 · 0 评论 -
ENSP和windows实现VPN技术
概述虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器硬件、软件等多种方式实现。网络分类公网公用网络专用网络一种:直接在两端拉网线,国防光缆,实现起来难度大二种:向运营商申请专线,费用高私网背景例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。应用场景远程访问酒店,出差外地访问公司的内网服务器,外网访问内网点对点。原创 2024-04-09 11:01:47 · 1192 阅读 · 0 评论 -
华为ensp路由器实现dhcp技术
DHCP:动态主机配置协议,目的自动给主机分配IP信息(IP地址,子网掩码,dns,网关)客户端发送discover报文,服务器响应offer报文,客户端发送request报文,服务器响应ack报文。原创 2024-04-06 11:47:36 · 515 阅读 · 1 评论 -
ENSP启动失败,无法启动设备一直停在#井号的问题
安装ensp,启动路由器交换机启动报40错误,41错误,启动后不出现#号,启动后一直出现#号等问题解决方案原创 2024-03-31 09:23:23 · 3538 阅读 · 3 评论 -
Python连接redis并借助未授权访问漏洞
在测试中我们经常python去访问数据库mysql或者redis,帮助我们完成一些批量操作或者断言的场景。同时,python基于其本身特色,也可以爬虫、做网络攻击等。本文重点介绍python如何连接redis,以及利用未授权访问host漏洞。原创 2024-03-27 22:15:55 · 268 阅读 · 1 评论 -
2024启航
从2022年开始,互联网行业就业市场开始缩水,市场对于技术人员的要求也越来越苛刻,作为在IT行业待了这么多年的技术人员,从当下开始分享一些测试方向、网络安全方向的知识,为同行们贡献一点微薄之力,同时也约束自己,时刻前行。原创 2024-03-26 23:18:45 · 105 阅读 · 0 评论