商用密码安全性评估
商用密码应用安全性评估(简称“密评”)指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。01办理依据GM/T0054-2018《信息系统密码应用基本要求》《信息系统密码测评要求(试行)》《商用密码应用安全性评估测评过程指南(试行)》《商用密码
两个CVE漏洞复现
简单复现两个漏洞
算力网络安全
算力网络作为一种全新的商业模式重新定义了计算体系系统中云、管、边、端的关系,但由于算力节点分布广、环境复杂、数量庞大等特点,应用设计需重复考虑算力用户数据的安全和算力提供者基础设施的安全等风险
华三H3C交换机配置端口镜像之如何配置本地端口镜像和远程端口镜像(可适用一个源端口镜像给多目的端口时)
如何在华三交换机配置本地端口镜像和远程端口镜像在平时的工作中,经常需要通过日志审计设备/行为管理设备/流量分析系统设备,对网络设备上的报文流量进行分析,以了解整个网络的运行情况,这时就需要通过端口镜像的技术通过把源端口的流量复制一份到目的观察端口。管理员就可以对这些镜像报文进行监控和分析。一般一个镜
XSS攻击:利用Beef劫持被攻击者客户端浏览器
实验环境搭建。角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);被攻击者:访问留言簿网站,浏览器被劫持。
网络攻防——永恒之蓝
主要介绍永恒之蓝程序,即 windows7的SMB协议漏洞以及相关的攻击方式。
使用burp插件实现图片验证码的识别
早上看到朋友圈有人转了一个新的识别图片验证码的burp插件,项目主页https://github.com/f0ng/captcha-killer-modified正好之前对类似插件的使用效果不理想,于是使用了一下,整体来说,captcha-killer-modified与captcha-killer
Des加密原理与简单实现
实验利用Python语言实现了des加密和解密的功能,并封装成一个类方便后续调用。程序为了能够处理中文,采用utf-8编码。程序预留了调试信息的输出接口,可支持三级中间信息的输出。程序采用了多线程并行的设计。
Linux操作系统安全配置
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个
甲方安全之仿真钓鱼演练(邮件+网站钓鱼)
人是系统中最大的漏洞“,信息安全中,人也是最难避免的安全因素,由此,安全意识也非常重要,定期的仿真钓鱼演练在甲方安全工作中难以避免,安全意识的提升还是要靠 ”真枪实弹“ 来解决,让大家演练起来,参与进来,只有亲身经历过才会记忆深刻,不会在一个地方摔多次!本篇文章是笔者凭亲身主导完成多次近三万员工的钓
【web渗透】文件包含漏洞入门级超详细讲解
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。有限制本地文件包含漏洞是指代码中为包含文件制定了特定的前缀或者.php、.html等扩展名,攻击者需要绕过前缀或者扩展名过滤,才能利用文件包含漏洞读取操作
游戏安全漏洞一些分享
游戏逻辑漏洞与游戏网络交互关系密切,如果游戏绝大部分逻辑于服务器实现,客户端只是同步结果,则此类型的游戏逻辑安全性较好,能够实现的游戏逻辑漏洞较少。如果游戏逻辑于客户端实现,则该游戏能够实现很多逻辑漏洞,例如:酷跑游戏属于弱联网游戏,游戏每局过程中玩家可在无网络状况下操作游戏,酷跑存在大量的游戏逻辑
Fastjson反序列化漏洞复现小结
fastjson漏洞复现
什么是网络安全?网络安全威胁有哪些?
(2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析推测出有用信息,如用户口令、账号等重要信
不安全的TLSv1.0协议漏洞
不安全的TLSv1.0协议漏洞
漏洞复现 | Apache Shiro 授权绕过漏洞(CVE-2022-32532)
Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro 的安全通告,Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有“.”的正则时,
压缩出来的zip文件带有密码?如何取消zip密码?
每个压缩出来的zip文件都带有密码是什么原因?取消zip压缩包密码!
[Java安全]—Shiro回显内存马注入
接上篇[Java安全]—Tomcat反序列化注入回显内存马_,在上篇提到师傅们找到了一种Tomcat注入回显内存马的方法, 但他其实有个不足之处:由于shiro中自定义了一个filter,因此无法在shiro中注入内存马。所以在后边师傅们又找到了一个基于全局存储的新思路,可以在除tomcat 7以外
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
守护安全|AIRIOT城市天然气综合管理解决方案
为燃气监管服务提供安全稳定及强有力的技术保障
