标签:网络安全
我将用一整天突击,崭新的一本书,从0到期末80+,(仅针对本校逆天考点进行总结) 完本总结:总计历经两天半,共计15小时,总计30+页,仅带来个人的复习思路与心路历程 写本博客原因? 马上期末考试,整本书从来没有看过,尝试0基础一天学完,突破自己。 网上没有完全符合本课程的详细汇总(其中一篇总结不
Burp+Xray的联动使用 步骤如下, 1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。监听的报告输出到xray文件夹根目录下的proxy_test.html。 输入以下命令后,xray的监听就开始了。 .xray_windows_amd64.
漏洞简介 Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,
简介 GeoServer是一个开源的地图服务器,它是遵循OpenGIS Web服务器规范的J2EE实现,通过它可以方便的将地图数据发布为地图服务,实现地理空间数据在用户之间的共享。 影响版本 geoserver<2.18.7 2.19.0<=geoserver<2.19.7 2.
原理 SQL注入通过将恶意的SQL代码插入到应用程序后台的SQL语句中,以获取未授权的访问权限或者窃取应用程序中的敏感信息。通常,SQL注入攻击的目标是Web应用程序,因为Web应用程序通常需要与数据库进行交互,并且大多数Web应用程序使用的是SQL语言。 存在原因 Web应用程序没有对用户输入
原理 文件上传漏洞是应用程序在处理用户上传的文件时没有对文件进行合理的检查和过滤,而恶意文件由攻击者伪造成合法文件,从而骗过应用程序进行上传和执行恶意代码。 存在原因 开发人员没有对用户上传的文件进行充分的验证和过滤。攻击者可以通过构造恶意文件,利用上传漏洞将其上传到服务器,从而获取敏感信息或者在
以太网协议 工作原理 以太网协议是一种局域网通信协议,它通过物理层和数据链路层的协同工作,使用媒体访问控制地址和载波监听/冲突检测协议来实现计算机之间的稳定数据传输。在数据传输过程中,以太网会将数据封装成数据帧,并根据目标MAC地址来识别需要接收数据的计算机。通过这种方式,以太网协议能够保证数据的
原理 CSRF漏洞是指利用受害者尚未失效的身份认证信息( cookie、会话等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 形成原因 CSRF的形成原因主要是由于Web应用程序没有充
原理 XSS漏洞是攻击者将恶意代码注入到合法网页中,当用户浏览该页面时,恶意代码会被执行,从而获取用户敏感信息或进行其他攻击。 形成原因 网站对用户输入数据的过滤不严格或不完备,攻击者可以根据这个漏洞向网站提交恶意代码,然后再将这些代码传播给其他用户,从而造成危害。 防御措施 输入过滤:在网站接收
Three-EyedRaven 内网渗透初期,我们都希望可以豪无遗漏的尽最大可能打开目标内网攻击面,故,设计该工具的初衷是解决某些工具内网探测速率慢、运行卡死、服务爆破误报率高以及socks流量代理扫描出问题且工具落地被秒的困扰。另外,求人不如求诸己。 该工具内置Top1000端口探测同时也支持自
跨域攻击的方法介绍 目录跨域攻击的方法介绍一、内网中的域林二、跨域攻击方法三、获取域信息四、利用域信任密钥跨域五、利用krbtgt哈希值跨域 一、内网中的域林 很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根据不同职能区分的部门,从逻辑上以主域和子域进行区分,以方便统一管理。在物理层,通
0x01 XStream 基础 XStream 简介 XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。 使用 XStream 实现序列化与反序列化 下面看下如何使用 XStream 进行序列化和反
密码散列函数 密码散列函数 (Cryptographic hash function),是一个单向函数,输入消息,输出摘要。主要特点是: 只能根据消息计算摘要,很难根据摘要反推消息 改变消息,摘要一定会跟着改变 对于不同的消息,计算出的摘要几乎不可能相同 根据散列函数的上述特点,可以应用在保存密码
加密与签名 在传输信息时,会面临两个典型的问题: 如何保证发出的消息,只能被预期的接收人获取? 如何保证收到的消息,确实由预期的发送人发出? 这两个问题不难理解。例如发送的邮件可能会被监听,诈骗分子可以冒充你老板。不一定是在网络上,在任何非面对面交流的情况下,都可能存在这两个问题。例如打仗时,情报
摘要:如果遇到IB网络不通,可以试着从高层往底层逐步分析看看。 本文分享自华为云社区《常见IB网络不通问题记录》,作者: tsjsdbd 。 如果遇到IB网络不通,可以试着从高层往底层逐步分析看看。仅记录下,供难友参考: 一、NCCL不通 报错: machine-19: [0] transpo
委派攻击 目录委派攻击一、委派概述二、委派分类三、非约束委派域控主动访问控制域控四、非约束委派域控被动访问控制域控五、约束委派构造服务账户票据控制域控六、约束委派构造机器账户票据控制域控 一、委派概述 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。在域内只有
背景: 再一次净网行动中,客户要求安全改造发现了接口请求的header标头中出现如图中的敏感信息。   说明: 其意义在于告知浏网站是用什么语言或者框架编写的。解决办法就是修改该响应头为一个错误的值,将攻击者导向一个错误的方向。 准备: 这里只说windows 的iis环境,不考虑其他服务器的环
漏洞简介 LangChain是一个用于开发由语言模型驱动的应用程序的框架。 在LangChain受影响版本中,由于load_prompt函数加载提示文件时未对加载内容进行安全过滤,攻击者可通过构造包含恶意命令的提示文件,诱导用户加载该文件,即可造成任意系统命令执行。 漏洞复现 在项目下编写 tes
短地址http://www.iis.net/extensions/URLRewrite 下载页面https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads     下载链接https://download.micr