《WEB安全漏洞30讲》(第5讲)任意文件上传漏洞
文件上传漏洞,指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。这个漏洞其实非常简单,就是攻击者给服务器上传了恶意的木马程序,然后利用此木马程序执行操作系统命令,从而获得服务器权限,造成严重的安全隐患。比如一个JAVA系统本来需要上传身份证图片进行
go语言对称加密使用(DES、3DES、AES)
golang对称加密、解密,DES、3DES、AES
浏览器基础原理-安全: CSRF攻击
CSRF概念、攻击方式、阻止方式、从服务器端考虑如何避免攻击
web开发中的安全和防御入门——csp (content-security-policy内容安全策略)
偶然碰到iframe跨域加载被拒绝的问题,原因是父页面默认不允许加载跨域的子页面,也就是的content-security-policy中没有设置允许跨域加载。csp配置可以有效阻止跨站脚本攻击(xss),而且用起来也不麻烦,可以作为一个开发中的日常习惯。具体使用方式就不赘述了,感兴趣的可以看下面的
【Linux】Kali Linux 渗透安全学习笔记(1) - Docker Kali 部署与安装软件
恰逢要做这个渗透方面的事情,于是...挖了个新坑。不过这个坑估计比较难填,毕竟做自家公司的渗透内容会比较敏感,看看信息脱敏后的效果如何吧,尽可能更新。
WEB 典型安全功能说明
常见的web安全问题说明
关闭chrome浏览器上自动填充密码的时候被Windows安全中心要去输入密码确认
自动填充密码的时候跳出来一个安全提示问我要不要用这个保护,我没仔细看就输入密码确认了,但后来发现很麻烦这样,每次自动填充都要输一遍密码;关闭“填充密码时使用Windows Hello ”选择“Google密码管理工具”右上角的三个点-选择“设置”,这样就可以解决这个问题。选择“自动填充和密码”
从0开始自学网络安全(黑客)
黑客技能是一项非常复杂和专业的技能,需要广泛的计算机知识和网络安全知识。你可以参考下面一些学习步骤,系统自学网络安全。
渗透测试之资产测绘篇
网络空间资产测绘
细思极恐,第三方跟踪器正在获取你的数据,如何防范?
第三方脚本收集了用户在网站上输入的数据,甚至在提交表单之前收集Web 浏览器也不会向用户说明。当位置为欧盟时访问一组 10 万个网站时,电子邮件在 1844 个站点上被泄露,当位置为美国访问同一组站点时,电子邮件在 2950 个站点上被泄露。位置为欧盟并使用移动浏览器时访问时,1745 个站点泄露了
增强型Web安全网关在银行的应用
ASWG将Web安全策略和数据安全策略相结合,执行对用户Web访问请求进行监控、拦截、告警、时间限额、上网认证、带宽管理等相应的动作,并将用户网络访问日志、数据泄露事件和证据发送给统一内容安全管理系统(UCSS) 同时,能够通过反向 代理的方式对企业对外的应用提供安全防护,如上 传、下载内容的检測,
MIAOYUN获评“2023年度一云多芯稳定安全运行优秀案例”
2023年7月25日至26日,由中国信息通信研究院(简称“中国信通院”)、中国通信标准化协会主办的以“云领创新,算启新篇”为主题的“2023可信云大会”在北京成功举办。会上公布了多项前瞻领域的评估结果和2023年度最佳实践案例,其中,成都元来云志科技有限公司(简称“MIAOYUN”)申报的MIAOY
企业内网终端安全无客户端准入控制技术实践
不同于银行、医院等传统行业的终端准入控制需求,芯片半导体、生物制药、互联网科技等以科技驱动创新为导向的新型企业追求用户体验优先,采用宁盾无客户端准入控制产品/方案来保障内网终端资产的合规性。
Windows权限维持--创建隐藏账户(影子账户)
影子账户就是在windows中比较隐蔽的用户,一般在后渗透的权限维持阶段会用到。影子账户主要是利用在权限维持上,通过先建立带$符号的账户,然后利用注册表修改里面的值,使得管理员无法通过cmd及计算机管理等地方查看攻击者所创建的账户,从而实现权限维持。
Shiro框架漏洞分析与复现
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
【Docker】安全及日志管理
(6)服务器接收到客户端发来的密文密钥之后,用自己之前保留的私钥对其进行非对称解密,解密之后就得到客户端的【对称密钥】,然后用客户端的【对称密钥】对返回数据进行加密,这样传输的数据都是密文了。(8)限制在容器中可用的进程数,docker run -m 限制内存的使用,以防止 fork 炸弹。Dock
云安全攻防(三)之 面向云原生环境的安全体系
作为最流行的云原生管理和编排系统,Kubernetes具有强大的功能,但同时也具有较高的程序复杂性,也存在着一定的风险性,列如容器基础设施存在的风险、Kubernetes组件接口存在的风险、集群网络存在的风险、访问控制机制存在的风险、软件自身存在的漏洞等。云原生的应用安全包括以下几个方面,面向云原生
H2db console 未授权访问RCE 漏洞复现+利用(CVE-2022-23221)
H2 数据库控制台中的另一个未经身份验证的 RCE 漏洞,在 v2.1.210+ 中修复。2.1.210 之前的 H2 控制台允许远程攻击者通过包含 IGNORE_UNKNOWN_SETTINGS=TRUE;INIT=RUNSCRIPT 子字符串的 jdbc:h2:mem JDBC URL 执行任意
【网络安全CTF】BUUCTF(Basic篇)
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆
springboot 密码加密
密码进行加密存储能够一定程度保护密码泄露,一般能做到一下两点,就能够满足大部分应用的密码保护要求。spring-security-crypto模块提供了对密码的加密支持,引入spring-security即可spring-security-crypto提供了以下几个类用于密码加密。以上类都实现了Pa
