【web网络安全】网络安全基础阶段三(实战篇)
本文通过实战详细完成了简单的渗透过程和对应的应急安全处理。
CTF(Web)中关于执行读取文件命令的相关知识与绕过技巧
在我遇到的题目中,想要读取文件必然是要执行cat /flag这个命令,但是题目当然不会这么轻松。让你直接cat出来,必然会有各种各样的滤过条件,你要做的就是尝试各种方法在cat /flag的基础上进行各种操作构建出最终的payload。下面我就总结一下一些比较常见的过滤的条件和绕过方式。(其实过滤条
零信任安全模型:构建未来数字世界的安全基石
在数字化转型的浪潮中,云原生技术已成为推动企业创新和灵活性的关键力量💡。然而,随着技术的进步和应用的广泛,网络安全威胁也日益严峻🔓,传统的网络安全模型已经难以应对复杂多变的网络环境。在这样的背景下,零信任安全模型(Zero Trust)应运而生,成为提升网络安全防护能力的重要策略🛡️。本文将深
【waf防火墙】基于nginx+lua实现的waf防火墙搞定web攻击和防刷限流
xwaf是利用lua+nginx作为web服务接入层,结合管理平台xwaf_admin进行管理的一款轻量级低成本防火墙。xwaf_admin管理平台的功能主要是对接入的应用,建立一套安全防护、防刷限流的规则、黑白名单等规则进行管理维护,waf防护的规则参考开发web安全项目组织【owsp】的核心规则
CTF-Web Exploitation(持续更新)
根据提示使用不同的请求方式得到response可能会得到结果使用抓包工具Burp Suit抓取链接请求信息修改请求方式POST/GET为HEAD发送请求,获取包含flag的响应信息TheHEADGETHEAD方法请求与GET请求相同的响应,但没有响应正文。Burp Suite是用于攻击web 应用程
内网安全--域渗透准备知识
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用 域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性, 定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进 而拿下域控制器、渗透整个内网.某个域用户需要使用 viso 软件进行绘图
关基安全体系思考:从定期评估到动态监控(上)
关键信息基础设施是关乎国家命脉的重要战略资源,通过关键信息基础设施体系化安全防护的需求和问题,提出了采用商用密码进行安全防护既需满足定期评估“密码应用合规性”要求,又需实现动态监控“密码运行安全性”的观点;既要保证系统自身安全,又要提升关联业务系统的整体安全防护水平。在现有商用密码应用保障体系的基础
绝对隔离+底层限制,成就猎鹰蜜罐“牢不可破”的立体化安全
实际工作原理就是在外部网络请求访问系统时,请求访问的对象是未开放的端口服务,这时外部的连接就可以使用代理的方式,将入侵者引入到蜜罐系统设置好的模拟服务中去,但入侵者是不能察觉到这是蜜罐系统所模拟出来的,从而保护真实系统。但在防御过程中同样也存在一定的安全风险,毕竟蜜罐是主动引诱入侵者展开攻击,将风险
企业终端安全管理软件有哪些?终端安全管理软件哪个好?
企业终端安全管理软件有哪些?终端安全管理软件哪个好?
安全工程师面试题
安全工程师面试题安全工程师是一个非常重要的职位,他们负责保护公司的网络和系统免受黑客和恶意软件的攻击。如果你想成为一名安全工程师,那么你需要准备好面试。下面是一…
网络安全基础之访问控制模型详解——DAC, MAC, RBAC
随着数据泄露事件的频繁发生和网络攻击的日益复杂化,确保敏感数据和关键资源的安全变得越来越重要。在众多网络安全措施中,访问控制模型扮演着至关重要的角色。为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。
IP-guard WebServer 权限绕过漏洞复现(QVD-2024-14103)
IP-guard 是由广州市溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。由于IP-guard WebServer的权限验证机制中存在设计缺陷,远程攻击者能够规避安全验证,通过后端接口执行文件的任意读取和删除操作
高级网络安全管理员 - 网络设备和安全配置:DHCP 安全配置
DHCP安全配置主要是通过限制设备接口上允许学习到的最多MAC地址数目,防止用户通过变换MAC地址大量发送DHCP请求,同时也限制了一个接口上的用户数目。在实际的应用中,用户通过DSLAM( Digital Subscriber Line Access Multiplexer)设备接入网络,通过给不
Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
小迪安全-Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
内网安全-隧道搭建&穿透上线&内网穿透-nps自定义上线&内网渗透-Linux上线-cs上线Linux主机
nps内网穿透工具是一款轻量级、高性能、功能强大的内网代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用于访问内网网站、支付本地接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。一个轻量级、高性能、强大的内网穿透代
内容安全的:反病毒、入侵防御(IPS)、URL过滤简介、文件过滤和内容过滤简介
入侵防御是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。介绍URL过滤特性的概述以及URL过滤与DNS过滤的关系。员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率。员工随意访问非
2024年值得关注的几款开源免费的web应用防火墙
基于eBPF的开源web应用防火墙首次发布,未来后续与人工智能对行业起变革。
网络安全Web学习记录———CTF---Web---SQL注入(GET和POST传参)例题
最开始学习CTF里的web方向时,每次做了题遇到类似的老是忘记之前的解法,所以写点东西记录一下。听大哥的话,就从最开始的GET传参开始吧!!!(大部分都是只得其法,不得其理。希望以后学了更多后能补充上原理)
改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD
自动移动目标防御技术通过启用终端配置的自适应防御来改变终端检测和响应能力。产品领导者可以实施AMTD来确保实时威胁响应,并减少检测和响应安全威胁所需的时间。通过动态修改系统配置、软件堆栈或网络特征,自动移动目标防御(AMTD)使攻击者更难识别和利用漏洞。保护性防御的需求将由政府、金融服务、医疗保健和
IP路由安全:保护网络免受威胁
在当今互联的世界中,确保网络通信的安全至关重要。IP路由安全是网络安全的重要组成部分,它涉及保护通过 IP 网络传输的数据以及确保路由协议本身的安全。在本博客中,我们将探讨 IP 路由安全的主题,包括 IPv4 和 IPv6 协议的安全性分析、IPsec 的介绍,以及确保路由安全的最佳实践。发送方发
