AuthenticationManager
1.了解1.1ProviderManagerProviderManager管理了一个AuthenticationProvider列表,每个AuthenticationProvider都是一个认证器ProviderManager 相当于代理了多个 AuthenticationProvider,他们的关
第四章——数据库的安全性
问题的提出:数据库安全性产生的原因数据库的一大特点是共享性数据共享必然带来数据库安全性问题数据库系统中的数据共享不能是无条件的共享数据库的安全性是指保护数据库以防止不合法的使用所造成的的数据泄露、更改或破坏系统安全保护措施是否有效是数据库系统主要的性能指标之一信息安全标准发展史TCSEC/TDI安全
Hash(哈希)算法-Python实现
哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完
【BP靶场portswigger-服务端5】业务逻辑漏洞-11个实验(全)
【BP靶场portswigger-服务端5-业务逻辑漏洞】11个实验-万文详细步骤
「数据库」Linux服务安装部署SQL Server -外网安全远程连接【端口映射】
简单几步实现在Linux centos环境下安装部署sql server数据库,并结合cpolar内网穿透工具,创建安全隧道将其映射到公网上,获取公网地址,实现在外异地远程连接家里/公司的sqlserver数据库,而无需公网IP,无需设置路由器,亦无需云服务器。
攻防世界-file_include
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议
Laravel 9.1.8 反序列化漏洞分析及复现
反序列化漏洞是如今很常见的漏洞类型,有很多分类,也有很多绕过方式。本文选取了一个今年比较典型的反序列化漏洞,进行了一个分析并复现。
实战SRC|北京、上海等27省某x电力xx中心存在存储XSS漏洞
我们在日常挖洞过程中,会遇到需要填写一堆个人或企业信息的页面,大多数情况下我们都会嫌麻烦,怕填写了半天最后也没挖到洞,从而忽略这种网站。其实这种网站恰恰更有可能存在漏洞,因为大多数渗透人员都嫌麻烦继而放弃,导致这种看似很安全的网站,更有可能存在漏洞。
【Vulnhub】之matrix-breakout-2-morpheus
上传成功后,我们通过蚁剑连接成功,并且在根目录下找到了FLAG.txt文件,并在文件中发现了flag,提示要找到 cypher 的密码,还提示 80 端口有一个隐藏图片 /.cypher-neo.png。使用burpsuite工具抓包可知,message参数为上传的内容,file参数为内容传入的文件
安卓手机的网络权限,全网最全解答
你想知道的都在这
JWT和OAuth2.0
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
【安全知识】——如何绕过cdn获取真实ip
绕过cdn获取目标真实ip的姿势汇总
【BP靶场portswigger-客户端13】跨来源资源共享(CORS)-4个实验(全)
【BP靶场portswigger-客户端13-跨来源资源共享(CORS)】4个实验-万文步骤
【密码学】高级密码学-1
高级密码学-1部分,个人复习使用,仅供参考。🍒
hw蓝队初级的一次面试(基础)
由攻击者构造的攻击链接传给服务端执行造成的漏洞。有的大型网站在web应用上提供了从其他服务器获取数据的功能(比如获取别的网站的tittle等信息的)。使用户指定的URL web应用获取图片,下载文件,读取文件内容(这些东西都是外网访问不到的内网资源)。攻击者利用有缺陷的web应用作为代理攻击远程和内
区块链技术必杀技之——智能合约
智能合约介绍1.1 什么是智能合约虽然在法律范畴上来说,智能合约是否是一个真正意义上的合约还有待研究确认,但在计算机科学领域,智能合约是指一种计算机协议,这类协议一旦制定和部署就能实现自我执行(self-executing)和自我验证(self-verifying),而且不再需要人为的干预。从技术角
工信部:谨防钓鱼邮件攻击事件
无论是邮件检测,还是本地杀软,防守都是比较被动的,攻击者可以通过很多方式来绕过检测,再加上仿冒邮件,安全意识不强或不仔细的用户中招是再正常不过的事情,光靠检测系统,是不可能防御掉所有的钓鱼邮件的,现有的检测系统大多数只能过滤已知样本,被攻击者追着跑。钓鱼邮件攻击者,可能伪装成家人、朋友、领导、同事、
【安全篇】Spring Boot 整合 Spring Authorization Server
**Spring Authorization Server** (以下简称 **SAS**)是 Spring 团队最新开发适配 OAuth 协议的授权服务器项目,旨在**替代**原有的 Spring Security OAuth Server。目前已经发布了 0.3.1 版本,已支持授权码、客户端、
CDN与网络安全
DDoS攻击造成的过载在不同的PoP上根据其来源进行处理,这有助于防止服务器饱和。许多CDN提供商还将阻止威胁,并限制滥用的机器人和爬网程序浪费您的带宽和服务器资源,这将减少垃圾邮件和黑客攻击,同样取决于您的CDN提供商提供的服务。
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)
【portswigger-服务端2-身份认证】16个实验-万文详细步骤
