nmap的下载与安装
安装包渠道官网地址:Download the Free Nmap Security Scanner for Linux/Mac/Windows安装步骤进入官网找到所需版本进行下载,下载完成后将压缩包进行解压双击“npcap-1.50.exe”点击接受根据需要勾选,然后点击“Install”等待安装点
网络安全——漏洞扫描工具(AWVS的使用)
安全漏洞的概述和AWVS的使用
零基础入门网络安全,收藏这篇不迷茫【2022最新】
最近收到不少关注朋友的私信和留言,大多数都是零基础小友入门网络安全,·需要相关资源学习。其实看过的铁粉都知道,之前的文里是有过推荐过的。新来的小友可能不太清楚,这里就系统地叙述一遍。
X-Forwarded-For注入漏洞实战
题目:X-Forwarded-For注入漏洞实战知识点:是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务
通俗易懂的讲讲路由协议
想必我们大家都鼓捣过路由器,路由器可以说是我们日常生活中必不可少的一个装备了,就算你不是程序员,想必你隔壁的七大姑八大姨估计也让你配置过路由器。但是大家有没有想过一个问题,这个路由器是干啥用的?你可能知道这是为终端设备提供 WI-FI 连接上网的一种设备,当我们终端设备连接 WI-FI 后,就可以通
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
一、漏洞描述Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。3月1日,VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏
实验十四:Wireshark数据抓包分析之ARP协议
实验十四:Wireshark数据抓包分析之ARP协议一、实验目的及要求1、熟悉并掌握Wireshark的基本操作。2、通过对Wireshark抓包实例进行分析,进一步加深对常用网络协议的理解。3、培养学生理论联系实践的研究兴趣。二、实验原理1、什么是ARPARP(AddressResolutionP
JavaWeb项目实战一(Servlet+Jsp项目项目搭建及登录界面)
之前 JavaWeb 学的不是太好,准备从下边列的三个发展阶段,每个阶段以项目形式去补充基础JavaWeb 发展阶段:Servlet + JspSSM:SpringMVC + Spring + MyBatis其实在中间阶段还存在 SSH(Struts + Spring + Hibernate),SS
一次渗透测试实战
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021
为什么网络安全缺口很大,而招聘却很少?
网络安全方面的岗位才受到重视不久,正是由于学习并熟知这一专业的人才稀缺,这一人群就业的福利和薪资水涨船高,可很多人其实并没有与高薪水适配的能力,小的企业大多负担不起这方面的专业人才,也就不了了之。学校里面的专业课拥有的是专业的教科书、丰富的理论知识,但是却缺少了网络安全的核心内容——具有说服力的实践
安全面试之WEB安全(三)
21.SSRF漏洞的成因、防御、绕过22.文件上传漏洞原理23.导致文件包含的函数24.金融行业常见逻辑漏洞25.SQL注入种类26.SQL注入能做什么27.文件上传漏洞绕过方法28.文件上传防御方法29.Sqlmap常用参数30.XXE漏洞原理与防御
漏洞扫描工具AWVS介绍及安装教程
AWVS(Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。
Xray 漏洞扫描工具使用方法
使用XRAY进行主动扫描和被动扫描(window) 下载地址: Github: https://github.com/chaitin/xray/releases 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析
sqlmap --os-shell 原理详解
os-shell 执行原理对于mysql数据库来说,--os-shell的本质就是写入两个php文件,其中的tmpugvzq.php可以让我们上传文件到网站路径下,如下图。然后sqlmap就会通过上面这个php上传一个用于命令执行的tmpbylqf.php到网站路径下,让我们命令执行,并将输出的内容
渗透测试——利用ssrf操作内网redis写入计划任务反弹shell
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
渗透测试——redis未授权访问漏洞写入计划任务反弹shell
redis的未授权访问漏洞,顾名思义,就是不需要输入账密就可以直接登录(含redis服务安装包分享),本文介绍了怎么利用该漏洞获取目标shell
Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)复现
CVE-2022-26134 Confluence远程命令执行漏洞复现
2021全国职业技能大赛-网络安全赛题解析总结①(超详细)
模块A 基础设施设置与安全加固一、项目和任务描述:假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。二、服务器环境说明:Wi
华为 eNSP—交换机配置(三层)
华为 eNSP_交换机的配置
信息安全-网络安全的三大支柱和攻击向量
我们曾经设想,在即将来临的万物互联时代,要对联网的万事万物(物联网设备)都分配数字身份。中,但不会提供有关该组成员具备的访问权限的详细信息,也不会提供对特权会话期间收集的详细会话日志或键盘记录的访问能力。从上述攻击链的四个阶段来看,身份攻击的重点在于其中的两个阶段:入侵阶段和利用阶段。随着机器学习(
