标签:网络安全
  业务风险的前世今生:源于 O2O,兴于互金 业务风险就是业务中产生的各类风险,主要是指不法分子利用业务规则漏洞和技术手段,进行薅羊毛、刷单炒信、数据爬取、账户盗用、信息冒用、盗卡盗刷、交易欺诈、虚假申贷等。 移动支付的出现,让随时随地的在线交易成为可能。2013 年,一大批 O2O 服务如雨
0x00:查看文件 一个32位的文件,canary、NX、PIE保护机制均关闭。   0x01:用IDA进行静态分析 程序很简单,输入一串字符(个数限制:512),然后再输出。最后根据key变量进行条件语句执行。 在imagemagic函数中用printf(format)进行输出,大概率有格
一、漏洞概述 Apache CouchDB是一个开源的NoSQL数据库,专注于易用性和成为“完全拥抱web的数据库”。它是一个使用JSON作为数据存储格式,javascript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。   二、影响版本 小于 1.7.0 以及小
Hawkeye是干啥的? 简单来说,就是一个监控GitHub上代码的工具,你在里面添加关键字,他会自动检索GitHub里面的代码,让包含关键字的代码返回到Hawkeye平台,你就可以进行查看,并甄选。 怎么搭建呢? 首先看他的文档。https://github.com/0xbug/Hawkeye
写在前面 Composite组合模式属于设计模式中比较热门的一个,相信大家对它一定不像对访问者模式那么陌生,毕竟谁又没有遇到过树形结构呢。不过所谓温故而知新,我们还是从一个例子出发,起底一下这个模式吧。   一个简单例子 设想我们要建立一个公司的人事架构,在一个公司里,我们可以简单地分为两种员工,
文件包含漏洞原理 程序开发人员通常会把可重复使用的执行函数写在单个文件内,在使用某个函数的时候,直接可以通过文件包含函数,直接调用执行函数文件,无需多次或再次编写,这种调用文件的过程通常被称为包含产生的原因:为了代码更加的灵活,开发者会把被包含的文件设置为变量,进行动态调用,从而导致客户端可以调用
  【由浅入深_打牢基础】HOST头攻击 前几天一直准备别的事情,然后用了2/3天时间去挖了补天某厂的SRC,还是太菜了,最后提交了一个低危(还没出结果,还有点敏感信息泄露,感觉略鸡肋也没交),不过偶然发现之前提的一个公益SRC被收了(当时快半个月都没人处理)不过没money,等过几天有时间再
一篇SQL注入漏洞汇总,更新中…… 如有缺陷 望大佬指正 SQL注入产生的原因? 当程序执行逻辑时没有对用户输入的参数做过滤处理,使参数直接与后台数据库产生逻辑交互,即SQL注入黑客就可以利用各种SQL注入的方法 获取数据库敏感信息 当Web应用向后台数据库传递SQL语句进行数据库操作时。如
最近在进行信息收集的时候,尝试漏洞挖掘时。使用了DNSlog外带方法,发现自己对DNS该协议的理解比较浅,故今日发一篇对DNS协议详解,加深自己对DNS的理解 如有不足和缺陷,望指正     0x01 什么是DNS? DNS协议默认端口:TCP和UDP协议号的端口53 DNS是域名解析协议
简述文件上传漏洞 什么是文件上传漏洞? 文件上传漏洞是指程序开发者在开发任意文件上传功能时,没有考虑文件格式后缀的合法性校验或者是只考虑在前端通过JS进行后缀检验。这时攻击者可以上传一个与网站脚本语言相对应的恶意动态脚本,比如一句话木马,列如(Jsp、asp、php、aspx文件)到Web服
Day One 虚拟机基本操作 1、虚拟网络编辑器 vmnet0 一般是桥接 与物理网络直接相连 vmnet1 一般是仅主机模式 单独自己一个网络 vmnet8 一般是NAT模式 使用网络地址转换的方式与物理网络相连 2、快照 保存虚拟机当前的状态 建议使用关机快照,占用磁盘空间
系列文章 .Net微服务实战之技术选型篇 .Net微服务实战之技术架构分层篇 .Net微服务实战之DevOps篇 .Net微服务实战之负载均衡(上) .Net微服务实战之CI/CD .Net微服务实战之Kubernetes的搭建与使用 .Net微服务实战之负载均衡(下) .Net微服务实战之必须得
二、 物理层 2.1 物理层的基本概念 物理层所要解决的问题(⭐) 物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据比特流。 物理层为数据链路层屏蔽了各种传输媒体的差异,使数据链路层只需要考虑如何完成本层的协议和服务,而不必考虑网络具体的传输媒体是什么。 物理层协议的主要任务(⭐)
一. 计算机网络概述 1.1 网络、互连网(互联网)和因特网 网络由若干结点和连接这些结点的链路组成。 多个网络还可以通过路由器互连起来,这样就构成了一个覆盖范围更大的网络,即互联网(或互连网)。因此,互联网是“网络的网络”。 因特网是世界上最大的互连网络(用户数以亿计,互连的网络数以百万计)。
前言   第一篇.Net微服务实战是2020年开始的,整个系列拥有文章共9篇,抛开代码计算共有5W多字,每一篇都是我花了不少精力与心思进行打磨。   后续该系列有新增的文章会在此目录同步更新,也是主要方便自己分享与大家能快速检索到相关文章查看。 导航 .Net微服务实战之技术选型篇 .Net
一、漏洞概述 Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。该漏洞的出现的原因在于Dja
前言 之前一直说想学一下代码审计,但是由于懒还有代码审计确实比较难入门,真是一块难啃的骨头。但是没办法,现在有时间了学一下。我看网上大佬推荐的都是从bluecms1.6进行代码审计入门的,我们也来看看。 思路 思路其实就都差不多,大家也能搜到,就没什么好说的了,就以下几种嘛 根据敏感关键字回溯参
  1 import requests 2 import browser_cookie3 3 import argparse 4 5 def exploit(url): 6 cookie = browser_cookie3.chrome() 7 expurl ='
文中知识仅供学习参考,禁止非法用途。否则后果自负 SSRF漏洞整理 什么是SSRF? SSRF(Sever-side Request Forge) 是 服务端请求伪造漏洞 SSRF主要是构造恶意载荷(payload)攻击脚本,并诱导服务器发起请求,让目标服务器执行非本意的操作 SSRF常被用于,