WebLogic Server JNDI注入漏洞复现(CVE-2024-20931)
在Oracle发布的2024年1月补丁中,成功修复了一个基于Weblogic T3\IIOP协议的远程命令执行漏洞CVE-2024-20931,该漏洞是由于 CVE-2023-21839 漏洞未修补完全,未经身份验证的攻击者通过 T3、IIOP进行网络访问来破坏 Oracle WebLogic Se
【读书笔记】《白帽子讲web安全》我的安全世界观
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前
高级网络安全管理员 - 网络设备和安全配置:三层交换机和ACL配置
随着网络技术学院的全面的学习经验的一个组成部分,包示踪提供的仿真,可视化,编辑,评估,和协作能力,有利于教学和复杂的技术概念的学习。如上述操作完成后,ping的结果是vlan100和vlan200直接的机器是不能通信的,经过检查交换机配置,发现没有错误,检查机器配置时发现三层交换机机通信需要配置网关
2023年全国职业院校技能大赛信息安全管理与评估—夺旗挑战CTF(网络安全渗透)评分标准
夺旗挑战CTF(网络安全渗透)一、人力资源管理系统(45分)FTP服务器(165分)应用系统服务器(30分)所需的设施设备和材料。运维服务器(30分)
能源行业在2023年遭受勒索软件攻击等重大网络安全事件与安全趋势发展
对2023年的安全事件进行统计分析,针对能源部门和关键基础设施的勒索软件攻击爆发式增长,包括BlackCat/ALPHV、Medusa(美杜莎)和LockBit3.0等十几个知名勒索软件组织,纷纷加强了针对能源行业高价值目标的攻击,能源行业面临的安全威胁态势急速恶化。
[网络安全] NDS部署与安全
如“www.baidu.com” 是个域名,严格意义来讲"baidu.com"为域名(全球唯一), www为主机名.“主机名.域名”称为完全限定域名(FQDN)。一个域名可以有多个主机,域名全球唯一.如: 购买了,baidu.com域名.可以有 www.baidu.com mail.baidu
安全名词解析-攻防演练
安全名词解析-攻防演练
2023年全国职业院校技能大赛信息安全管理与评估—网络安全事件响应、数字取证调查、应用程序安全参考答案
“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。A集团的应用服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此
网络安全实践与案例:百度校招面试的安全保障
1.背景介绍网络安全是当今世界最重要的技术领域之一,它涉及到我们日常生活、工作、学习等各个方面。随着互联网的发展,网络安全问题日益凸显,各大公司和组织都在不断加大对网络安全的投入。百度作为中国最大的搜索引擎之一,自然也是网络安全领域的重要参与者。在百度的校招面试中,网络安全一直是重要的技术岗位,需要
Web 扫描神器:WhatWeb 保姆级教程(附链接)
分析网站架构(一):WhatWeb 工具
世界顶级汽车品牌源代码遭泄露 详解源代码凭据安全解决方案
警惕!某世界顶级汽车品牌源代码遭泄露,源代码安全引起强烈关注。
021-信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产
小迪安全2023笔记
Java安全 CC链6分析
CC链6不受jdk版本与cs版本的影响,在Java安全中最为通用,并且非常简洁,非常有学习的必要,建议在学习CC链6之前先学习一下 URLDNS链 和 CC链1(LazyMap类)
【读书笔记】《白帽子讲web安全》浏览器安全
除了这些安全功能外,浏览器的用户体验也越来越好,随之而来的是许多标准定义之外的“友好”功能(如畸形URL修正),但很多程序员并不知道这些新功能,从而可能导致一些安全隐患。浏览器加载的插件也是浏览器安全需要考虑的一个问题,扩展和插件极大地丰富浏览器功能,除了插件可能存在漏洞外,插件本身也可能会有恶意行
网络5.0内生安全可信体系关键技术(上)
网络5.0是由网络5.0产业和技术创新联盟在2018年提出的面向未来网络演进的数据通信网络架构。
<网络安全>《19 安全态势感知与管理平台》
安全态势感知与管理平台融合大数据和机器学习技术,提供可落地的安全保障能力,集安全可视化、监测、预警和响应处置于一体。它集中收集并存储客户I环境的资产、运行状态、漏洞、安全配置、日志、流量等安全相关数据,内置大数据存储和多种智能分析引擎,融合多种情境数据和外部安全情报,有效发现网络内部的违规资产、行为
某赛通电子文档安全管理系统 UploadFileToCatalog SQL注入漏洞复现
由于某赛通电子文档安全管理系统UploadFileToCatalog接口的id参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
智能安全的网络安全实践:AI在网络安全中的应用
1.背景介绍网络安全是在互联网时代成为人们关注的一个重要问题,随着互联网的普及和发展,网络安全问题也日益严重。随着人工智能技术的发展,人工智能在网络安全领域的应用也逐渐成为一种可行的解决方案。本文将从以下几个方面进行探讨:网络安全的背景与现状人工智能在网络安全中的应用智能安全的实践案例未来发展趋势与
高防服务器、高防 IP、安全SCDN该如何选择
而SCDN就是带防御的内容分发网络(Content Delivery Network),原理就是在构建内容分发网络上面,依靠部署高防节点,架设多个高防节点来防御DDoS攻击的服务,提供大流量攻击、CC攻击等网络攻击的安全防护,任意一个 SCDN 节点都具备防护清洗能力,可以拦截处理攻击问题,另外还具
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功
