专业级的渗透测试服务,助力航空业数字化安全启航
开源网安渗透测试服务,帮助该航空公司及时发现了其数字化平台存在的安全隐患,避免了可能代码注入、跨站请求伪造(CSRF)、文件上传漏洞、未经授权的网络访问、中间人攻击(Man-in-the-Middle Attack)、拒绝服务(DoS)攻击等威胁
【sqli靶场】第二关和第三关通关思路
本文说明了sqli靶场第二关和第三关的通关过程思路
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上
海康威视安全接入网关 任意文件读取漏洞复现
海康威视安全接入网关使用Jquery-1.7.2 , 该版本存在任意文件读取漏洞,可获取服务器内部敏感信息泄露(安博通应用网关也存在此漏洞)
网络安全之了解安全托管服务(MSS)
什么是安全托管服务,一般的安全托管服务都覆盖有哪些内容,什么样的企业适合安全托管服务,企业如何通过安全托管服务来构建自身的安全体系,带着这些问题我们一起来了解安全托管服务(MSS)
【网络安全 | 渗透工具】SQLmap精讲(全网最详细图文教程)
SQLmap是一款开源的SQL注入工具,用于检测和利用Web应用程序的SQL注入漏洞。SQLmap支持多种数据库管理系统,包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、SQLite等,并支持各种不同的操作系统和平台。留言板项目SQLmap渗透实例 |
渗透测试及一些网络安全类的讨论社区类的整理
渗透测试(Penetration Testing)是一种网络安全评估技术,通过模拟黑客攻击的方式,评估目标系统的安全性能,发现并利用系统漏洞,最终提供针对性的安全建议。渗透测试旨在帮助组织发现并修补网络中存在的安全漏洞,以提高组织的安全性能。
前端源码泄露
攻击者可以通过泄露的前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
EBU7140 Security and Authentication(四)网络安全,邮件安全,威胁
主要根据 EBU7140 课程内容整理,比较偏向应试~
天融信TOPSEC安全管理系统存在远程命令执行漏洞
【陆上行舟。】
中间件安全:JBoss 反序列化命令执行漏洞.(CVE-2017-7504)
JBoss 反序列化漏洞,该漏洞位于 JBoss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中,其 doFilter 方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。
12. 更高级的通关文牒:JWT、JWE和JWS
在姜文导演的《让子弹飞》中,葛优饰演的马邦德在开头携带的委任状和我们今天讨论的JWT( JSON Web Token)有异曲同工之妙,JSON Web Token(JWT)是一种开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输JSON对象信息。由IETF OAuth工作组开发的RF
常见SQL注入手法总结与技巧(一)
SQL注入产生本质,盲注基本原理的详解与技巧,union联合注入演示
服务安全-应用协议rsync未授权&ssh漏洞复现
libssh是一个在客户端和服务器端实现SSHv2协议的多平台C库。其中rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配 置ACL或访问密码,我们将可以读写目标服务器文件。OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机
高级网络安全管理员 - 网络设备和安全配置:标准的ACL配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。它被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表
【网络安全 | Kali】基于Docker的Vulhub安装教程指南
Vulhub的搭建基于docker及docker-compose权限升级新软件安装HTTPS协议和CA证书安装docker验证docker是否安装成功安装pip安装docker-compose查看安装的docker-compose版本 下载Vulhub文件 查看Vulhu
Apache Tomcat任意文件上传漏洞(CVE-2017-12615)
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件,并且能被服务器执行。2017年9月19日,Apache Tomc
XSS、CSRF、点击劫持、web应用安全实施
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的
数据安全的重要性:如何解密[[email protected]].Elbie勒索病毒
选择以前的版本:在“上一个版本”选项卡中,您将看到文件的以前的版本的列表。用户通常被威胁说,如果不支付赎金,解密密钥将永远不会提供,使得用户的文件将永远不可恢复。打开文件资源管理器:首先,打开Windows的文件资源管理器,通常可以通过单击任务栏上的文件夹图标或按下Windows键 + E 来实现。
渗透测试-文件包含漏洞以及php伪协议的应用
渗透测试-文件包含漏洞以及php伪协议的应用
