网络安全实验室3.脚本关
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
shiro反序列化漏洞学习(工具+原理+复现)
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成
Microsoft系统漏洞修复
近期收到服务器系统漏洞扫描,发现很多关于Microsoft本身的系统漏洞。有很多新手不知道怎么去修复系统漏洞,害怕一旦修复出问题,自己要担责。我这里讲解下怎么准备的去寻找漏洞,并把它修复的过程。我已下列的漏洞为例:IIS "IP and domain restrictions" 绕过漏洞(CVE-2
2023 年上海市职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2023 年上海市职业院校技能大赛高职组“信息安全管理与评估”赛项样题
windows7漏洞攻击(ms17-010)(实验3)
理解Windows操作系统的安全体系结构与机制,掌握Windows远程安全攻防技术,掌握Windows操作系统网络服务漏洞攻击过程,并学习如何利用metasploit对Windows操作系统进行简单的攻击及提权。利用meterpreter中的Webcan_stream获取Windows 7的摄像头画
Referer的理解及防盗链
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
Android不信任证书导致无法抓包的解决办法
Android抓不到https包的解决办法
Taocms 代码注入漏洞(CVE-2022-25578)
taocms v3.0.2允许攻击者通过编辑.htaccess文件执行任意代码
密码学发展历史介绍
密码学历史介绍,捋清楚密码学的前世今生,网络上各说封坛的,觉得有点乱
一个Java的权限框架-Shiro
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
yara规则学习与使用
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
一文读懂数据加密
在计算机信息安全领域,之前软件设计师的网络安全部分了解了一点密码学的知识,这里随想记录一下。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,使其只能在输入相应的密钥之后才能显示出原容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程
如何解决win11“无法枚举容器中的对象,访问被拒绝”、“右键新建只有文件夹,没有其他选项”的问题。
如何解决win11“无法枚举容器中的对象,访问被拒绝”、“右键新建只有文件夹,没有其他选项”的问题。
【web安全】——基于SQL注入拿到webshell
今天参加远程面试的时候面试官问了这样一个题:“你知道哪些通过注入漏洞获取服务器权限的方法?请详细讲讲,”这我直接愣住了,平时渗透中sql注入我一般用来获取数据库的数据信息,虽然在我记忆中我曾经学过通过注入漏洞获取服务器权限的方法,但已经忘得差不多了,所以今天写一篇博客来巩固一下这方面的知识,希望对您
关于kernelSU,异想天开的想自己逆向实现简单授权(失败经历)
维术开源的代码上也有,selinux的参数是在cred->security中设置的。开机后发现文件访问仍然受限制,我能想到应该是没用security_secctx_to_secid的缘故,但是我没打算马上解决,因为这部分传参有点麻烦,先放一放。上面if、else的那部分,大概是设置thread_in
SQL注入非常详细总结
个人觉得还是很详细,对你一定帮助。也是我自己花了不少时间总结的。
burp插件Authz与HaE
Authz可通过burp中BApp Store进行下载用来检测未授权漏洞,选择数据包将需要进行测试的数据发送到Authz模块中,在此处Cookie中随便输入,就会携带你输入的cookie去访问目标,点击run进行测试,如果返回的数字一样就存在未授权访问因为我们这里的url是随便找的,登录与不登录都能
数影周报:TikTok因在线跟踪被罚500万欧,Windows 7退出历史舞台
这是我国第一部针对深度合成服务治理的专门性部门规章,规范互联网信息服务深度合成管理,明确生成合成类算法治理的对象,确立算法治理的基本原则,鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,强化深度合成服务提供者和技术支持者的主体责任,为安全可靠的深度合成技术发展指明了方向,为技
通过openssl生成pfx证书
使用openssl生成pfx文件,及在项目中的使用
安全防御 --- 防火墙高可靠技术
VRRP:负责的单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟的IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费的ARP来刷新对接设备的MAC地址转发表来引导流量。VGMP:将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换到备用防
