JWT令牌认证介绍及安全风险
JWT 是 “JSONWeb Token” 的简写,也就是通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全的将信息作为 JSON 对象传输.在数据传输过程中还可以完成数据加密,签名等相关处理。
人员培训和意识滞后:安全团队对新威胁的认知和响应能力不足
随着网络技术的不断发展以及日益复杂的网络攻击手段的出现, 安全已经成为了一个非常重要的话题. 其中, 人员的培训与意识的提高是保证网络安全的关键因素之一.这就要求我们的安全团队成员不仅要具备丰富的技术经验还要具备良好的安全意识和服务器端的管理知识. 否则, 我们将无法有效地识别并遏制这些安全问题的发
布尔盲注。
布尔盲注的使用方法
通过Yakit单兵作战工具进行log4j2 RCE漏洞复现(CVE-2021-44228)
在家庭局域网的另一条Ubuntu24笔记本中,使用vulhub靶场搭建,首先下载,解压并进入目录/vulhub/log4j/CVE-2021-44228中,执行docker启动命令宝塔查看靶场信息接下来我们直接访问靶机ip的8993端口即可看到靶场。
SSRF:服务端请求伪造
SSRF漏洞通常是因为服务端应用程序提供了从其他服务器获取数据的功能,但未对目标地址或协议进行适当的过滤和限制。攻击者可以通过这个漏洞发送构造好的恶意请求,让服务器以自己的身份去访问其他资源,与文件包含漏洞有些许相似。根据源码分析,发现网站后台对请求并没有进行限制,且用户前端可对参数进行控制,产生了
【Vulnhub系列】Vulnhub_Raven2靶场渗透(原创)
Vulnhub系列-Raven2靶场做题记录
等保测评中的安全测试方法
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的
网络安全与人工智能:构建坚固的数字防线
从个人的在线社交、金融交易到企业的商业运作、国家的关键基础设施,网络的触角无处不在。未来,人工智能与网络安全将深度融合,构建更加坚固的数字防线,为个人、企业和国家的网络安全保驾护航。例如,通过深度学习算法对网络流量的模式进行学习,能够快速识别出异常的流量模式,如流量突然增大、异常的数据包等。例如,在
CMS-GetShell漏洞复现
使用虚拟机为centos7.6确保docker与docker-compose已安装(如果有需要或者有时间,会做一篇安装流程)下载靶场git clone https://github.com/vulhub/vulhub.git(我这里已经下载,不再演示)进入 /vulhub/wordpress/pwn
自学黑客技术多长时间能达到挖漏洞的水平?
后来我吸取了教训,对于新手一定要简单粗暴,不能太过于复杂,越是复杂新手看的越迷茫。最直接的方式就是给他们一套非常完整的系统视频课程,直接告诉他们,你只需要把这套教程的内容一节一节的都学会理解,把视频教程中所有的作业和案例都做出来,把视频教程中所有的项目都完成,你就可以找到一份网络安全岗位的工作,这是
【网络安全】服务基础第一阶段——第七节:Windows系统管理基础---- Web与FTP服务器
将某台计算机中的⽂件通过⽹络传送到可能相距很远的另⼀台计算机中,是⼀项基本的⽹络应⽤,即⽂件传送。(File Transfer Protocol)是因特⽹上使⽤得最⼴泛的⽂件传送协议。涉及到文件的上传和下载,很多都会使用到文件传输协议。文件传输协议提供了不同主机之间的文件传输能力,允许用户进行文件的
网络安全学习之利用Metasploit进行信息收集
利用metasploit 进行信息收集
Android网络安全:如何防止中间人攻击
本文介绍了在Android开发中预防中间人攻击的方法,包括使用HTTPS加密通信、实施证书锁定、遵循SSL/TLS最佳实践和验证服务器主机名。这些措施有助于保护用户数据安全,提高应用程序安全性。
SparkShop开源商城 uploadFile 任意文件上传漏洞复现
SparkShop开源商城 uploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
什么是网络安全?网络安全包括哪几个方面?学完能做一名黑客吗?
网络安全是指保护网络系统、硬件、软件以及其中的数据免受未经授权的访问、使用、披露、修改、破坏或干扰的措施和实践。保护机密性:确保只有授权的人员能够访问敏感信息,防止数据泄露。维护完整性:保证数据在存储、传输和处理过程中不被非法修改或篡改。比如金融交易数据、医疗记录等必须保持完整准确。保障可用性:确保
VulnHub:cengbox1
VulnHub——cengbox1靶机,针对开放的22端口,80端口进行信息收集,利用sql万能密码登录后台,结合文件上传反弹shell,最后利用pspy工具监控靶机进程和计划任务帮助提权。
WebLogic漏洞复现(附带修复方法)
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterp
BaseCTF-Web-Week2-WP
但是$s2->word = $s1; 中 word 是私有变量,这里是调用不到的,链子顺序没有问题,修改代码访问私有变量。方法(1)通过使用 PHP 的反射机制访问和修改类的私有属性。原本是有一个工具 hashpump,但是我 git 的时候提示找不到仓库了,然后在 github 上找到了一个写好的
喜讯来袭 | 蛮犀安全荣获福建省网信系统颁发2024年度网络安全技术支撑单位荣誉证书
10. 蛮犀安全连续三年入选等级保护测评相关评优推荐,“2021年移动安全十强企业”、加固系列产品获《2022年网络安全优秀评选》十大明星产品、《2023年网络安全优秀评选》潜力十强企业。蛮犀安全旗下移动应用安全平台,是国内首家新一代移动应用安全一站式服务平台,能够有效覆盖客户安全生命周期,实现按需
网络安全售前入门09安全服务——安全加固服务
安全加固服务是参照风险评估、等保测评、安全检查等工作的结果,基于科学的安全思维方式、长期的安全服务经验积累、对行业的深刻理解、处理安全事件的最佳实践,为客户提供完善的安全加固方案,并在客户侧反馈完成加固后,提供二次评估服务,从而帮助客户达到修补信息系统脆弱性,提高系统安全性,满足相关政策法规的目的。
