靶机DC-1 WP
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮
kali linux网络安全弱口令爆破常用命令(二)
kali网络安全弱口令爆破 ssh爆破 字典爆破常用命令和操作
windows 安全中心/Defender 存在威胁(历史记录),但点执行操作无反应,一直存在红叉
windows安全中心一直显示一个红叉,有一个威胁存在(可能这个威胁发现的时间很久之前,并不一定是当时扫描出来的),推荐你执行操作,但点击执行操作后无任何反应,威胁依然存在,删除安全中心DetectionHistory却出现权限问题无法删除,本文通过开启安全模式解决权限问题从而删除安全中心Detec
信息系统安全实验之基于国产麒麟操作系统的基线检查工具综合实验
可以看到除了root用户和自设用户以外,其他用户的口令字段均为“*”或者“!”,表明该账号已被锁定或者该口令已经过期,因此系统不存在空口令用户。原因:由于该虚拟机是从别人那里拷贝过来的,而该虚拟机环境之前使用的VMware版本与我的VMware版本(16)不一致。可以看到口令最大使用期限为99999
车联网安全学习路标
首先,你需要全面了解汽车和物联网的基础知识,包括汽车电子体系结构、车载通信技术(如CAN、LIN、FlexRay、Ethernet)以及物联网的架构和通信协议(如MQTT、CoAP)。学习汽车网络安全的基本概念和技术,包括汽车网络攻击表面、入侵检测和预防、网络隔离和安全网关、防护措施(如硬件防火墙、
ARM BTI安全特性使用效果示例
然后,在`Protect`函数中,我们使用`bti`指令来插入BTI保护。在这个示例中,`vulnerable_func`函数中的汇编代码使用`pop {pc}`指令,该指令从堆栈中弹出一个值,并将其作为程序计数器(PC)的值,从而可以将执行流转移到攻击者控制的代码段,从而进行恶意操作。在这个示例中
ARM64安全特性之MTE
MTE使用内存标签来追踪和保护内存操作,以帮助检测和防御缓冲区溢出、使用-after-free等内存相关的安全漏洞。在代码中,开发者需要对需要进行内存标记的区域进行明确的标记。在需要使用带有标签的内存的地方,开发者需要读取和验证内存标记。在使用带有标记的内存时,需要使用相应的内存访问指令来读取和验证
金山终端安全系统V9.0 update_software_info_v2.php处SQL注入漏洞分析
近期,长亭科技监测到猎鹰安全(原金山安全)官方发布了新版本修复了一处SQL注入漏洞。金山终端安全系统是一款为企业提供终端防护的安全产品,针对恶意软件、病毒和外部攻击提供防范措施,帮助维护企业数据和网络。该漏洞是由于金山终端安全系统未对用户的输入进行有效地过滤,直接将其拼接进了SQL查询语句中,导致系
vulnhub靶机dpwwn1
下载完后解压,然后用VMware打开dpwwn-01.vmx文件即可导入虚拟机。80端口没有更多收获,接下来把目光转向3306和ssh端口,尝试爆破账号密码。果然如此,规则是每3分钟,以root身份执行一次logrot.sh脚本。以上没有发现什么有用的信息,继续用nmap漏洞脚本扫描。目录下有一个s
Linux 5.15安全特性之landlock
这个示例代码使用了系统调用函数`syscall`,并通过`SYS_landlock_create_ruleset`、`SYS_landlock_add_rule`和`SYS_landlock_restrict_self`指定了Landlock规则,创建了一个Landlock域,并将当前进程限制在该域
金山终端安全系统V9.0 update_software_info_v2.php处SQL注入漏洞复现 [附POC]
该漏洞是由于金山终端安全系统未对用户的输入进行有效地过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。
gcc安全特性之FORTIFY_SOURCE
FORTIFY_SOURCE在检测到潜在的安全问题时,会触发异常处理机制。在没有启用FORTIFY_SOURCE的情况下,如果输入的字符串超过了`buffer`数组的大小,`strcpy`函数将会发生缓冲区溢出,导致内存越界访问。- 格式化字符串检查:在使用格式化字符串函数(如printf,spri
Linux 5.15安全特性之ARM64 PAC
1. 硬件支持:ARM64架构中引入了一系列新的指令,如指针加密指令(PACIA、PACIB、PACDA、PACDB)和指针验证指令(AUTIA、AUTIA1716、AUTIB、AUTIB1716、AUTDA、AUTDA1716、AUTDB、AUTDB1716),用来处理指针的加密和验证。需要注意的
前端常见的加密算法介绍
在业务http请求中,AES的密钥在前端随机生成,从服务器获取RSA的公钥,对AES的密钥进行非对称加密,把加密后的密钥在请求头中传给服务器,用AES对body进行加密。服务器收到请求头中的加密后的密钥,用RSA的密钥进行解密,得到明文的AES密钥,即可对body进行解密。md5有校验字符串一致性的
shiro(一):shiro基本概念及基本使用(认证、授权)
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体
安全防御 --- IPSec理论(01)
是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
常见攻击手法原理
常见攻击手法
计算机安全设置有哪些
计算机安全设置有哪些
SpringSecurity基础教程
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后
Java安全之SnakeYaml漏洞分析与利用
SnakeYaml是Java中解析yaml的库,而yaml是一种人类可读的数据序列化语言,通常用于编写配置文件等。yaml基本语法大小写敏感使用缩进表示层级关系缩进只允许使用空格表示注释支持对象、数组、纯量这3种数据结构示例key:companies:id: 1id: 2意思是 companies
