点击劫持(ClickJacking)
点击劫持(ClickJacking)什么是点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页
Fastjson反序列化漏洞复现(实战案例)
漏洞介绍FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的
华为防火墙双机热备(三层上下行交换机)
华为防火墙双机热备(三层上下行交换机)
Javaweb安全——反序列化漏洞-CC&CB链思路整理
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对
win系统重装系统后提示 BitLocker(磁盘加密)密钥查找及如何关闭
近期在恢复系统时需要输入密钥,如下图:以及提示除“C”盘外的盘需要输入密钥解锁,如下图:现在大多数电脑出厂时就默认开启了磁盘加密,但只有在电脑上登陆了微软的帐号,才会真正生效。那怎么才能找到这个密钥呢?上微软的官网。
一次域环境下的渗透
域渗透
Excel部分单元格不能编辑,什么原因?怎么做到的?
Excel工作表保护可以锁定部分单元格。如何设置部分表格不被编辑?方法在这里
漏洞扫描工具Nessus的下载与安装教程
漏洞扫描工具Nessus的下载与安装教程
安全认证中的CSRF
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给
20位大佬,勾勒出一个中国网络安全江湖
周鸿祎本科就读于西安交通大学电信学院计算机系,后获得西交大管理学院系统工程系硕士学位。1999 年,周鸿祎出现在行业时,给人的印象更多是一个技术专家。他创立的 3721 公司,为用户提供了中文上网服务,用户无需记忆复杂的域名,在浏览器地址栏中直接输入中文名字,即可直达企业网站或找到企业、产品信息。他
MD5加密竟然不安全,应届生表示无法理解?
MD5加密竟然不安全
轻松管理和保障容器应用程序:Docker Swarm安全之道
Docker Swarm是一组Docker原生的管理工具,允许您轻松地将Docker主机转换为生产就绪的集群,并在集群中安排和运行容器化应用程序。 Swarm使用可扩展的内置安全特性,以保持您的容器应用程序隔离和保护,包括TLS加密,授权和机密管理等。使用Docker Swarm有以下几个优点:Do
信息时代,企业如何安全管理数据
传统文件传输方式(如FTP/HTTP/CIFS)在传输速度、传输安全、系统管控等多个方面存在问题,而镭速文件传输解决方案通过自主研发、技术创新,可满足客户在文件传输加速、传输安全、可管可控等全方位的需求。但是对数据的保护要依靠一定的基础设施,目前,世界各国对数据保护的基础设施建设还是不够完善,对特点
信息安全编码标准:使用SAST实施安全编码实践
当组织遵守信息安全编码最佳实践时,他们可以减少维护软件的成本,开发人员可以花更多的时间进行创新,而不是把时间花在bug修复上。SAST使用源代码中记录的细节,以及它的代码结构,以确保遵守安全的编码标准和指导方针。开发团队可以在开发过程开始时使用不同的安全编码标准和指南,如CERT安全编码标准和CWE
CVE-2022-40871 Dolibarr任意添加管理员与RCE漏洞分析
0x01 漏洞简介Dolibarr ERP & CRM <=15.0.3 is vulnerable to Eval injection. By default, any administrator can be added to the installation page of do
网络安全中的渗透测试主要那几个方面
软件测试:主要工作内容是验证和确认,发现软件中的缺陷或者不足,然后把发现的问题整理成报告并分析出软件质量的好坏。确认是一系列的活动和过程,目的是想证实一个给定的外部环境中软件的逻辑正确性,即保证软件做了你所期望的事情。渗透测试:主要包括黑盒测试、白盒测试和灰盒测试。主要做的工作有:信息收集、端口扫描
20种最常见的网络安全攻击类型
网络攻击是指旨在针对计算机或计算机化信息系统的任何元素以更改,破坏或窃取数据以及利用或损害网络的行为。网络攻击一直在上升,与近年来越来越流行的业务数字化同步。虽然有数十种不同类型的攻击,但网络攻击列表包括20个最常见的示例。拒绝服务 (DoS) 攻击旨在使系统的资源不堪重负,使其无法响应合法的
阿里云天池大赛赛题(机器学习)——阿里云安全恶意程序检测(完整代码)
阿里云天池大赛赛题(机器学习)——阿里云安全恶意程序检测 完整代码!
VLAN配置
首先我们得知道广播风暴,即设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能。而路由器能够隔离广播,减小广播域范围。但是路由器的成本太高,用于隔离广播不现实。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,二层交换机使用VLAN 可以隔离广播,从
