容器安全风险and容器逃逸漏洞实践
不安全的第三方组件:用户自己的代码依赖若干开源组件,这些开源组件本身又有着复杂的依赖树,甚至最终打包好的业务镜像中还包含完全用不到的开源组件。这导致许多开发者可能根本不知道自己的镜像中到底包含多少以及哪些组件。包含的组件越多,可能存在的漏洞就越多,大量引入第三方组件的同时也大量引入了风险。恶意镜像:
nmap的用法大全
Nmap是一款比较常用的开源工具,可以从https://nmap.org/下载,它可以用来探测目标机器开放了哪些端口,使用的操作系统类型和启用了哪些服务,同时,可以针对具体的服务发起一些枚举攻击以及漏洞扫描,并且根据漏扫发现的漏洞使用某个CVE发起攻击。本文主要对一些常用的nmap命令进行说明,并
在线加密解密网站大全2022(更新中ing)
加密解密网站查询
文件上传漏洞详解
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解析
webshell管理工具-哥斯拉( Godzilla)的安装和基础使用
可见其强大之处,具体介绍可以在github上面去了解:https://github.com/BeichenDream/Godzilla。
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
yii2框架 反序列化漏洞复现
SQL注入经验分享(一)
id=10】,看看是否可以使用第二个参数点进行测试得出结果呢,很遗憾,结果都是没有结果,一直报错,这里应该是没有注入点的,但这里直接给绝对路径报出来了,也是漏洞。c、接着尝试闭合但都是这样的情况,输入一个中文的符号都报错,就很郁闷,首先这位置百分百是存在sql注入的,就想着试试sqlmap,but这
信息安全技术 代码安全审计规范
GB/T 15272、GB/T 25069和GB/T 25056-2010界定的以及下列术语和定义适用于本文件。代码安全审计 code security audit一种以发现代码安全缺陷和违反代码安全规范为目标的代码安全性分析。安全缺陷 security defect代码中存在的某种破坏软件安全能力
文件上传漏洞
文件上传文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,Web受攻击的风险就越大。文件上传漏洞上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(包括asp、aspx、php、jsp等) 恶意上传行为可能导致网站甚至
Kali+docker搭建Vulfocus靶场并配置vulfocus漏洞环境
kali+docker搭建vulfocus靶场环境,并且在vulfocus靶场中添加相对应的安全漏洞环境,方便日常的渗透测试模拟、漏洞复现和安全工具有效性验证等等。最后感谢无私奉献的vulfocus工作人员和开发者。
身边的人脸安全:员工用人脸作弊工具打卡,企业该如何防范?
针对配置人脸识别的考勤系统。人脸识别系统不安全,就是黑灰产破解人脸识别应用或安全保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。系统对人脸识别组成、人脸识别的潜在风险隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全
【前端安全】-【防范xss攻击】
这样攻击者可以绕过后端的关键词规则,又成功的完成了注入。是恶意代码,因而将其执行。这里不仅仅div的内容被注入了,而且input的value属性也被注入,alert会弹出两次。公司需要一个搜索页面,根据 URL 参数决定关键词的内容。,虽然代码不会立即执行,但一旦用户点击a标签时,浏览器会就会弹出“
RSA加解密算法的简单实现
RSA加解密算法的简单实现
【期末复习】2021-20222南邮网络安全技术复习题
南京邮电大学-2021-20222南邮网络安全技术复习题-期末复习
ChatGPT与网络安全的跨时代对话
ChatGPT与网络安全的跨时代对话
vulnhub靶场实战系列(一)之vulnhub靶场介绍
我们在学习了各种web漏洞的原理和各种内网的攻击手法的利用之后,需要实战来提升经验,这一环节就可以有操作系统靶场平台来代替一方面因为靶场是现成的,已经搭建好的靶场,只需要下载到本地用虚拟机安装就可以了,非常省时。第二点,非常安全,我们要知道没有经过法律允许的渗透行为是犯法的,而我们使用靶场来模拟达到
金仓数据库KingbaseES安全指南--3.1. 用户管理
金仓数据库KingbaseES安全指南--3.1. 用户管理
Fortinet FortiNAC RCE漏洞复现(CVE-2022-39952)
FortiNAC keyUpload 脚本中存在路径遍历漏洞,未经身份认证的远程攻击者可利用此漏洞向目标系统写入任意内容,最终可在目标系统上以 Root 权限执行任意代码。
buu(前三页第一弹) RSA习题与相关知识总结
出现{TypeError: Strings must be encoded before hashing} 两种解决方法encode(),decode()相关小知识b2a_hex(data),a2b_hex(hexstr),hexlify(data),unhexlify(hexstr) 相关知识当出
内网安全:横向传递攻击( RDP || Cobalt Strike )
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)