Day95:云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
小迪安全-Day95:云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
SecGPT 全球首个网络安全开源大模型且可以在CPU上运行的网络安全大模型
SecGPT 网络安全大模型探索使用网络安全知识训练大模型,能达到怎样的能力边界。SecGPT的愿景是将人工智能技术引入网络安全领域,以提高网络防御的效率和效果。其使命是推动网络安全智能化,为社会提供更安全的数字生活环境。SecGPT可以作为基座安全模型,用于探索各种网络安全任务。以下是对SecGP
百易云资产管理运营系统 comfileup.php 文件上传致RCE漏洞复现(XVE-2024-18154)
百易云资产管理运营系统 comfileup.php 接口存在文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。
Jasypt加密/解密工具嵌入Spring boot框架的使用教程
Jasypt (Java Simplified Encryption) 是一个开源的Java库,专注于简化加解密过程,特别适合在Java应用程序中处理敏感数据,如密码、密钥或任何其他需要保护的信息。Jasypt的目标是提供一个易于使用的API,使得开发者能够轻松地集成加密功能,而不必成为加密专家。
教你从零开始制作一个Web蜜罐扫描器
在这个蜜罐到处跑的时代,制作一个属于自己快速,准确且批量的找到蜜罐而且不留下痕迹
ServiceNow UI Jelly模板注入漏洞复现(CVE-2024-4879)
由于ServiceNow的Jelly模板输入验证不严格,导致未经身份验证的远程攻击者可通过构造恶意请求利用,在ServiceNow中远程执行代码,获取数据库配置等等,使系统处于极不安全的状态。
Web漏洞扫描工具AppScan与AWVS测评及使用体验
AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描的问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程中使用AWVS,在针对重点或高风险版本使用AppSc
记一次若依框架和Springboot常见报错的实战漏洞挖掘
又是摸鱼的一天,闲的没事,找个站玩玩,首先开局一个框,漏洞全靠扫,哦不对,全靠找.免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任.本次主要是对渗透测试中的一次实战进行记录,当然也是摸摸鱼的成果,主要是对若
如何将等保2.0的要求融入日常安全运维实践中?
等保2.0的管理要求涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。等保2.0(网络安全等级保护2.0)是中国对网络安全领域的一项重要标准,它
网络安全之初始访问阶段攻防手段(三)
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
网络安全防渗透实战指南【策略、代码与最佳实践】
通过加强网络边界防护、漏洞管理、身份认证和访问控制、日志审计与监控、安全培训、入侵检测与防御、数据加密、安全开发生命周期、定期安全审计、零信任架构、威胁情报与协作以及安全事件响应和应急计划等措施,可以有效提高系统的安全性,降低渗透攻击的风险。零信任架构是一种新的安全理念,强调“永不信任,始终验证”,
全文翻译 | OWASP《LLM安全与治理检查清单》
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显
API接口测试/Swgger-ui未授权访问
API(Application Programming Interface)是应用程序开发接口的缩写,意思是一些预设好的函数或方法,这些预设好的函数或方法允许第三方程序通过网络来调用数据或提供基于数据的服务。Web API是网络应用程序接口。包含了广泛的功能,网络应用通过API接口,可以实现存储服务
【网络安全】一文带你了解什么是【网络劫持】
(Network Hijacking)是一种网络攻击,攻击者通过非法手段劫持网络通信,导致合法用户的数据流被拦截、篡改或重定向到攻击者控制的系统。这种攻击可以在各种网络层面上进行,包括(DNS)劫持、劫持、劫持等。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
MySQL基线检查,基线配置,安全加固
数说安全《网络安全全景图》发布,比瓴科技领先覆盖开发安全赛道
它在对目标软件代码进行语法、语义分析的技术上,辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷,并准确定位告警,从而有效的帮助开发人员消除代码中的缺陷、减少不必要的软件补丁升级,为软件的信息安全保驾
2024 软考信息安全工程师 知识点,2024年最新网络安全开发者必须收藏的8个开源库
FTP-21(20数据连接,21控制连接)/SSH-22/Telnet-23/SMTP-25/DNS(udp)-53/web-80/POP3-110/SNMP-161/HTTPS-443/共享文件夹&打印机—445/RIP-520/MSSQL-1433/Oracle-1521/L2TP-1701/m
Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
小迪安全-Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
软件应用开发安全设计指南
在设计系统架构时,要充分考虑各种安全威胁,如DDoS攻击、SQL注入、跨站脚本攻击(XSS)等,并采取相应的防护措施。设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性,以确保系统在面对各种安全威胁时能够稳定运行。设计审计和日志记录功能,以记录系统的活动和事件,为安全审计和故障排除提供依据。对网
聚焦 HW 行动,构筑重保邮件安全防线
CACTER重保安全解决方案,结合多年技术和实战经验,为邮件系统提供了全方位的安全保障
