代码审计工具之Fortify安装及使用
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。安全编码规则中的
用友 NC bsh.servlet.BshServlet RCE利用
用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
网络安全行业名词
网络安全行业名词
【愚公系列】2023年05月 网络安全高级班 035.HW护网行动攻防演练(0day漏洞防护)
0day漏洞指的是一种尚未被发现或公开披露的安全漏洞。攻击者可以利用这些漏洞进入受影响的系统或应用程序,可能会导致数据泄露、系统崩溃、恶意软件安装等严重后果。因为这些漏洞一开始被发现时没有任何补丁或防护措施,因此被称为0day漏洞。
网安必备知识:常见的安全设备
网络安全设备是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网 之间的界面上构造的保护屏障,针对不同的应用场景有不同的作用,常见的安全设备有防火墙,态势感知,IDS,IPS,全流量分析,漏洞扫描,蜜罐 ,安全邮件,EDR等等。 态势感知是一种基于环境的、动态、整体地洞悉安全风
最全phpmyadmin漏洞汇总
目录一、phpMyAdmin简介二、查看phpmyadmin版本三、历史漏洞及poc利用1、万能密码直接登入2、CVE-2009-1151:远程代码执行3、CVE-2012-5159:任意PHP代码攻击4、CVE-2013-3238:远程PHP代码执行5、WooYun-2016-199433:任意文
蚁剑流量分析
通过Wireshark分析蚁剑一句话木马
Cobalt Strike工具安装与基础使用
Cobalt Strike是一款超级好用的渗透测试工具,拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等多种功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受技术大佬的喜爱。同时Cobalt Stri
Web漏洞-未授权访问漏洞
该篇记录了web漏洞-未授权访问漏洞的相关知识
【愚公系列】2023年06月 网络安全(交通银行杯)-破解wifi密码
Crunch是一种字典生成工具,用于创建自定义密码本或字典攻击。它可以生成包含各种字符组合的单词列表,帮助渗透测试人员和黑客进行密码破解攻击。通常,Crunch与其他密码破解工具(例如Aircrack-ng或John the Ripper)一起使用,以提高密码破解的效率。Crunch是一种字典生成工
Nmap扫描器主机、端口、版本、OS、漏洞扫描基本用法
nmap常用的扫描命令,实现对主机的端口、版本、OS、漏洞等进行扫描
网络安全(黑客)系统自学,成为一名白帽黑客
黑客技能是一项非常复杂和专业的技能,需要广泛的计算机知识和网络安全知识。
HTTP.sys远程代码执行(CVE2015-1635)分析复现
在这个过程中,如果range指定的数据开始offset小于紧凑的数据包头部的总长度,那么这里在计算最后的发包读取数据时,还会触发一个整数溢出,即0xffffffff(-1,已经被变为32位数)- lower + 1 + header size,如果lower < header size,那么将会导致
网络安全工具——AWVS漏洞扫描工具
8.安装好之后,将我们下载的Acunetix压缩包中的wvsc.exe粘贴覆盖掉D:\Program Files (x86)\Acunetix\15.2.221208162下的wvsc.exe,将文件中的license_info.json粘贴覆盖掉D:\ProgramData\Acunetix\sh
Web安全之文件上传漏洞详解
“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果
2023超全整理——116道网络安全工程师面试真题(附答案),建议收藏!
2023超全整理——116道网络安全工程师面试真题(附答案),建议收藏!
黑客技术(网络安全)自学
当你想成为黑客或者是渗透测试专家时,这这些技术点绝对是有必要的,光鲜亮丽的成功背后都是汗流浃背夜以继日的努力学习!
redis 未授权访问漏洞
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,
【自制小工具】快速批量查询IP归属地(自动去重、按国内外汇总,并智能识别出错误IP)
如何才能快速提升自己的编写脚本的能力呢,我之前说过“为了学习而学习,永远学不好”。所以本文以我在实际工作中的真实场景为例,讲解自制小工具的思路。在实际安全工作中,经常会从各种渠道获取大量IP,在进行分析前,首先需要对IP进行处理。本视频介绍的工具可以大量查询IP归属地信息,速度较快,并具有极强的容错
sql注入中的union联合查询,union select 1,2,3
sql注入中的union联合查询,union select 1,2,3
