[NewStarCTF 2023] web题解
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题
什么专业最适合学网络安全?一篇文章告诉你
想当黑客要学什么专业?首先要明白一个点,当黑客你只需要会攻击手段就可以了,但绝不是只会使用一些工具而已,不然那就是“脚本小子”。不严格来说,计算机所有的专业都可以当黑客,因为基础的东西都是差不多的,比如计算机系统、计算机网络等等东西,都是要学的,不光你是网络工程还是软件工程,只要你想学,你花点时间也
【红蓝攻防鸿篇巨著】ATT&CK视角下的红蓝对抗实战指南
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
《Web安全基础》01. 基础知识
概念名词、数据包、网站搭建介绍、Web 源码、数据库拓展、操作系统拓展、第三方拓展、密码算法、Web 漏洞。
前端常问的几种网络安全攻击类型
就是攻击者想尽一切办法将可以执行的代码注入到网页中。
安全基础——常见网络安全产品
本文主要讲了常见的网络安全产品
三篇论文:速览GPT在网络安全最新论文中的应用案例
日常生活中,我个人也经常使用GPT技术。但与此同时,一些行业的大佬们已经将GPT应用代码生成旨在生成符合特定规范、满足人类需求的代码,以提高软件开发效率和质量,甚至推动生产模式的转变。本研究提出了一种自协作框架,使大型语言模型(LLM,例如ChatGPT)能够应对复杂的代码生成任务。该框架首先为三个
解决IP地址欺骗的网络安全策略
通过采取多层次的安全策略,包括使用防火墙、VPN、双因素身份验证和监控网络流量等方法,可以降低IP地址欺骗的风险。持续更新和改进安全措施,是确保网络安全性的不断挑战,但这是维护数据和隐私安全的必要措施。通过在登录时要求用户提供两个或多个身份验证因素,如密码和手机验证码,攻击者很难访问受保护的帐户,即
中间件安全—Tomcat常见漏洞
链接。
[网络安全]upload-labs Pass-17 解题详析
以上为[网络安全]upload-labs Pass-17 解题详析,后续将分享[网络安全]xss-labs Pass-18 解题详析。我是秋说,我们下次见。
网络安全渗透测试工具AWVS14.6.2的安装与使用(激活)
Acunetix Web Vulnerability Scanner(AWVS)是一款用于检测网站和Web应用程序中安全漏洞的自动化工具。它的主要功能包括:漏洞扫描:AWVS能够自动扫描目标网站和Web应用程序,以发现各种安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。它可以
小白的ctf之路之文件上传浅谈
文件上传
网络代理技术的广泛应用和安全保障
随着网络世界的日益发展,网络代理技术作为保障隐私和增强安全的重要工具,其在网络安全、爬虫开发和HTTP协议中的多面应用备受关注。下面我们来深入了解Socks5代理、IP代理以及它们的作用,探讨它们如何促进网络安全和数据获取。网络代理技术在保障隐私、加强网络安全和促进数据获取方面发挥着不可或缺的作用。
2023i春秋香山杯网络安全大赛Write up
常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用
Apache ActiveMQ RCE漏洞复现(CNVD-2023-69477)
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。Apache ActiveMQ 中存在远程代码执行漏洞,Apache Act
[网络安全]xss-labs 本地靶场搭建详细教程
PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。在URL栏输入localhost/xss-labs-master或者输入127.0.0.1/xss-labs-master。自此,x
【愚公系列】2023年06月 网络安全高级班 082.CNVD原创漏洞证书(审核处置与证书颁发)
CNVD 漏洞主要分为事件型漏洞和通用型漏洞。事件型漏洞指由某个单位具体管理的网站系统或业务系统存在的安全漏洞。通用型漏洞(通用软硬件漏洞)指通用框架、组件、应用程序、设备等软硬件产品存在的安全漏洞。
常见框架漏洞
原理:当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编码后存储在cookie的rememberMe字段中,服务端收到登录请求后,会对rememberMe的cookie值进行base64解码,接着进行AES解密,然后反序列化。S2-05
从零开始的Web渗透:信息收集步骤详解
Web渗透测试中的信息收集是一个重要的环节,通常是渗透测试的第一步。信息收集是为了获取目标网站的相关信息,例如IP地址、域名、主机名、服务器类型、Web框架、操作系统、CMS、插件和扩展等。这些信息对于攻击者来说是非常有用的,因为它们可以帮助攻击者了解目标网站的架构和漏洞,从而针对性地进行攻击。信息
靶场练习--春秋云境-Brute4Road
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
