Webshell免杀-JSP
JSP免杀马的基本免杀方式。
计算机网络——网络安全(湖科大 教书匠)
计算机网络——网络安全(湖南科技大学)mooc
iwebsec靶场 SQL注入漏洞通关笔记11-16进制编码绕过
打开靶场,url为id=1如下所示SQL注入主要分析几个内容(1)闭合方式是什么?iwebsec的第11关关卡为数字型,无闭合(2)注入类别是什么?这部分是普通的报错型注入(3)是否过滤了关键字?很明显通过源码,iwebsec的11关增加了addslashes和get_magic_quotes_gp
2023 年网络安全漏洞的主要原因
网络安全漏洞已经并将继续成为企业面临的主要问题。因此,对于企业领导者来说,了解这些违规行为的原因至关重要,这样他们才能更好地保护他们的数据。在这篇博文中,我们将概述 2023 年比较普遍的网络安全漏洞的主要原因。
原型链污染
原型链污染是一个关于前端js的相关漏洞,原型链污染可拆分为两部分,什么是原型链,又如何进行污染?
shiro反序列化漏洞的原理和复现
一、shiro简介Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。二、shiro的身份认证工作流程通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解
MD5碰撞
在CTF中可以说是经常碰到md5加密了,一般都是进行强比较抑或是弱比较,考法非常多,但是万变不离其中。只要我们掌握了原理,一切问题便迎刃而解了。文章首发于我的博客,格式可能比较清晰,有兴趣了解CTF中MD5碰撞的伙伴可以移步查看。
vulnhub——Earth靶机
再次nmap进行扫描,之前返回HTTP400的页面就没问题了。攻击机开启监听,把接收到的文件命名为跟靶机文件相同的文件名。这里是一个命令执行的输入框,有命令执行漏洞存在的可能性。结合前面的用户名,找到之前扫出来的的登录页面尝试一下。前面两个密钥的解码都是乱码,只有最后一个可以正常解码。对反弹shel
SQL注入漏洞简介、原理及防护
SQL注入漏洞简介、原理及防护SQL注入原理SQL注入SQL注入危害SQL注入分类SQL注入防护
2022红队必备工具列表总结
一款适用于以HVV行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如Title、Domain、CDN、指纹信息、状态信息等。Railgun
文件上传—WAF拦截的绕过方式
文件上传—WAF拦截的绕过方式
2023年推荐几款开源或免费的web应用防火墙
2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性攻击如CC,转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)作为网络安全的必配核心保护设施。
从零基础转行渗透测试到如今20k,我经历了什么?
后来,我姐姐知道我的状况之后,劝我转行IT。我是一个很迷茫的人,做决定很迟缓,挑公司都很慢,在看到我的同学们都找到工作之后,心里真的是急坏了。于是,我在大学毕业之后就选择了做销售的工作,但是随着年龄越来越大,再加上20年的不可抗因素,我越发感到力不从心了,一是因为销售行业入行门槛非常低,只要愿意干就
node.js--vm沙箱逃逸初探
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱
网络安全——SQL注入漏洞
SQL注入基本知识和SQL注入基本流程,sqli-labs
JWT总结
JWT是什么全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。JWT的原理服务器认证以后,就
禅道16.5 SQL注入(CNVD-2022-42853)
禅道16.5 SQL注入(CNVD-2022-42853)
JWT技术--JSON Web Token
一、JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。
网络安全管理员_三级_操作技能考核解题过程(3)
配置反向代理 HTTP 服务器,服务器名称为‘dvwa.example.net’,绑定位置,其他保持默认;(6) 配置反向代理HTTP 服务器,服务器名称为‘dvwa.example.net’,绑定。(5) 配置HTTP 本地描述为‘DVWA’,网址格式‘/’,在自定义策略中只勾选。(4) 配置上游
