春秋云境:CVE-2022-26965
Pluck-CMS-Pluck-4.7.16 后台RCE
第七届XCTF国际网络攻防联赛总决赛战队巡礼!
第七届XCTF国际网络攻防联赛总决赛战队巡礼!3月29日,戮力同心,势登巅峰!
免杀入门(基础理论)
免杀入门的理论相关学习笔记
商用密码应用与安全性评估要点笔记(FAQ)
(1)网络和通信层面:主要包括部署在网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息。云平台系统的密码应用:(1)云平台系统为满足自身安全需求所采用的密码技术(2)云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。(仅用在云上应用
真机实战(一)思科交换机密码忘了怎么办,手把手教你恢复密码
思科交换机恢复密码,思科交换机重置密码准备工作1. 准备一根console线和一个console的转接头安装SecureCRT或者别的终端连接软件连接交换机用电脑通过console连接交换机的console口2.打开SecureCRT连接交换机COM口需要查看自己连接电脑的接口是COM口几右击此电脑
Cookie 和 Token 的区别?
说到 cookie、token 应该没有人不知道的吧,而如果说让大家说出 cookie、token 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关
crawlergo联动xray漏洞挖掘
网络空间测绘平台:fofa、奇安信网络空间测绘Hunter、360网络空间测绘Quake(需要有会员);API脚本;企查查、爱企查(需要有会员)。xray:一款由是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器;360-crawlergo:有360安全团队开发一个使用chrome headless模
访问控制模型--自主访问控制模型(基础篇)
一、访问控制三要素:主体、客体、访问控制策略主体(Subject) 指主动对其它实体施加动作的实体客体 (Object) 是被动接受其他实体访问的实体控制策略 (Policy) 为主体对客体的操作行为和约束条件。
2022CTF培训(十)IOT 相关 CVE 漏洞分析
这里选择的设备是一款家用路由器,型号为 D-Link DIR-850L(EOL)。由于该款路由器已停产,官网无法下载到固件,不过目前这个还能下载到相关的固件,当然附件中也会提供需要分析的固件。
Java常见漏洞——整数溢出漏洞、硬编码密码漏洞、不安全的随机数生成器
(一)整数溢出漏洞(一)整数溢出漏洞计算机程序中的整数都是有范围的,不同的数据类型范围也不同,这是由编译器决定的,超过这个范围就有可能会出现整数溢出的情况。比如说Java 的int是32位有符号整数类型,其最大值是,最小值是0x80000000,即int表示的数的范围是在-~之间。当int类型的运算
网络安全等级保护基础知识汇总
等保整体流程:定级备案->整改->测评->监督检查 定级->定级报告,专家评审记录(二级及以上系统需要专家评审)、主管部门审核, 国标 22240-2020 网络安全等级保护定级指南,保护对象损害后侵害的客体:国家安全、社会秩序和公共利益、公民法人和其它组织合法权益,侵害程度 一般,严重,特别严重
渗透测试基本流程
1 渗透测试基本流程 渗透测试的基本流程主要分为以下几步: 1. 明确目标 2. 信息收集 3. 漏洞探测(挖掘) 4. 漏洞验证(利用) 5. 提升权限 6. 清除痕迹 7. 事后信息分析 8. 编写渗透测试报告1.1 明确目标 主要是确定需要渗透资产范围; 确定规则,如怎么
Elasticsearch 未授权访问漏洞修复
es Elasticsearch 未授权访问漏洞修复 X-Pack
信息安全技术 关键信息基础设施安全保护要求 2022版附下载地址
信息共享、统一指挥、快速调度、智能响应是协同联防的核心要素。安全保护标准是我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
【Windows】windows7/10/11通用,开放防火墙入站、出站端口配置
进入控制面板 -- 系统和安全 -- 防火墙点击左侧【高级设置】,进入【高级安全xxx防火墙】
linux系统加固
系统加固非常容易,但是你要想对各种各样的服务进行安全加固,有点难,要熟知每一种安全服务后面是怎么考虑的,你才能对他进行加固,所以最简单的方法是把不必要的服务干掉,相当于把你入侵的路径给炸掉,你就进不来了。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/
3分钟告诉你如何成为一名黑客?|零基础到黑客入门指南,你只需要完成这四个阶段
首先要明白啊,我们现在说的黑客不是那种窃取别人信息、攻击别人系统的黑客,说的是调试和分析计算机安全系统的网络安全工程师。黑客技术的核心就是渗透攻防技术,是为了证明网络防御按照预期计划正常运行而提供的一种机制。就是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。那么入门黑客要掌握的
Windows Hook案例分析与技术探索
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把
2022年电脑杀毒软件PK
针对目前国内外比较流行的10款杀毒软件及其好用的组合方式展开介绍分析,希望既能起到好的杀毒效果,又能不被过多打扰。
