二、安全与风险管理—信息安全治理
二、安全与风险管理—信息安全治理
网络安全工程师必知的WEB知识
Linux服务器操作系统主要包括Redhat、SUSE、Ubuntu、Centos、Rocky linux,其中国产操作系统也是基于Linux的,比如中科方德、银河麒麟、统信UOS、中标麒麟、麒麟信安、普华Linux、中兴新支点、红旗Linux、华为欧拉等。作为一名网络安全工程师,尤其是WEB渗透测
漏洞篇(XSS 跨站脚本攻击一)
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie
全面了解文件上传漏洞, 通关upload-labs靶场
upload-labs是一个专门用于学习文件上传漏洞攻击和防御的靶场。它提供了一系列模拟文件上传漏洞的实验环境,用于帮助用户了解文件上传漏洞的原理和防御技术。这个靶场包括了常见的文件上传漏洞类型,如文件名欺骗、文件类型欺骗、文件上传功能绕过等。通过练习不同的攻击方式,用户可以加深对文件上传漏洞的理解
内网安全 - 内网漫游 Socks 代理(ngrok&frp)
内网安全 - 内网漫游 Socks 代理(ngrok&frp)
在网络安全护网中,溯源是什么?
溯源可以应用于多种场景,例如网络入侵调查、恶意软件分析、数据泄露事件、计算机犯罪等。其主要目标是通过收集和分析数字证据,找出攻击事件的起源、路径和影响,并对犯罪活动进行追踪。
行云海CMS SQL注入漏洞复现
行云海cms中ThinkPHP在处理order by排序时可利用key构造SQL语句进行注入,LtController.class.php中发现传入了orderby未进行过滤导致sql注入。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在
Gartner发布降低软件供应链安全风险指南
Gartner发布降低软件供应链安全风险指南:保障软件供应链安全的八大关键举措软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。主要发现尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理
漏洞验证的流程与规范
漏洞名称 ·存在漏洞的URL ·扫描报告中的加固方案。·漏洞评级 证明过程步骤截图
【BUUCTF Web】WriteUp超详细
buutctf web题目题解, 升大三的暑假自己刷来提高能力的,是自己边做边写,暑假期间只要没事情,每天都会写一些题目,最迟晚上更新
亿某通电子文档安全管理系统任意文件上传漏洞 CNVD-2023-59471
任意文件上传漏洞 CNVD-2023-59471
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
云安全笔记-Docker daemon api 未授权访问漏洞复现及利用
该未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。
Gartner发布2024年网络安全预测一:人工智能与网络安全将颠覆转化为机遇
Gartner 预测人工智能将以积极的方式持久地破坏网络安全,但也会造成许多短期的幻灭。安全和风险管理领导者需要接受 2023 年只是生成式 AI 的开始,并为其演变做好准备。
【1day】复现I Doc View系统upload接口任意文件读取漏洞
IDocV是一家跨国在线文档预览服务公司,为用户提供文档预览的功能。该公司提供第三方API,使开发者能够将其文档预览服务集成到自己的应用程序中。I Doc View系统upload接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache
DVWA(Web 渗透的靶机环境)+csrf漏洞练习
用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、Brute Force(暴力(破解))、2、Command Injection(命令行注入)、3、CSRF
sqlmap常用参数和原理
其原理是通过构造恶意的SQL查询语句,利用应用程序的漏洞来执行SQL注入攻击。具体一点就是,SQLmap首先分析目标网站的结构和参数,尝试检测是否存在SQL注入漏洞。如果存在漏洞,它将尝试利用不同的技术(如布尔盲注、时间盲注、联合查询注入等)来获取数据或者直接对数据库进行修改。
Web应用安全—信息泄露
Web应用安全—信息泄露
亿赛通电子文档安全管理系统 SQL注入漏洞复现
由于亿赛通电子文档安全管理系统/update.jsp处的ids参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
