- 博客(18)
- 收藏
- 关注
RSS订阅原创 以色列物流业遭遇大规模网络攻击
此外,JavaScript代码还会进一步确认用户的语言偏好,ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略,更有效的达成目的。2022年8月,一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”,将登录用户的初步数据传输到攻击者控制的域。根据ClearSky的最新入侵记录显示,注入网站的恶意JavaScript也以类似的方式运行,收集有关系统的信息并将其发送到远程服务器。
2023-05-30 11:24:07
241
原创 Katana:一款功能强大的下一代网络爬虫框架
1、快速且完全可配置的网络资源爬取;2、支持标准模式和Headless模式;3、JavaScript解析/爬取;4、可自定义的自动化表单填充;5、范围控制-预配置字段/正则表达式;6、可自定义输出-预定义字段;7、输入数据支持STDIN、URL和列表文件形式;8、输出数据支持STDOUT、文件和JSON格式;
2023-05-25 18:59:42
769
原创 比尔盖茨:AI、智能手机、互联网,一样具有革命性
在我的一生中,我见证了两次让我觉得是革命性的技术展示。第一次是在 1980 年,当我被介绍一个图形用户界面时,这是现代操作系统的前身,包括 Windows。我与向我展示演示的人坐在一起,他是一位名叫 Charles Simonyi 的杰出程序员,我们立即开始为可以使用这种用户友好的计算机,所能做的所有事情进行头脑风暴。Charles Simonyi 最终加入了微软,Windows 成为微软的核心产品,并且我们在演示之后的思考,帮助了公司为未来 15 年制定了议程。第二个大惊喜是在去年。
2023-05-24 11:33:36
270
原创 RSAC创新沙盒十强出炉,这家SCA公司火了
对于开发团队,可以协助做出更好的依赖引入选择,同时获得更合理的漏洞修复优先级,进而实现安全的无痛嵌入。在研发运营的整个周期中,有了这份透明化的资产清单,研发阶段可以及时替换安全版本的组件或修复漏洞,运营阶段新的漏洞爆发或出现新的利用方式时能够按图索骥,快速定位漏洞位置及影响范围,协助制定更高效合理的修复方案。依赖引入后,Endor Labs的工具会梳理代码中包含的所有的依赖情况并输出可视化的SBOM清单,同时会统计单个依赖被引入的次数,记录组织中最常用的依赖版本,便于减少依赖项的总量、控制依赖面。
2023-05-08 11:23:02
235
原创 Privilege Escalation特权提升及防御思路
这是 tryhackme 渗透测试章节的最后一个房间。原本想谷歌机翻然后我手工看一下,但是感觉这样练习不了英文,所以全部手工翻译,实在翻不出来再交给谷歌。权限提升,简称提权。在讲提权之前,先说说常见的 shell 以及它们的加固。在我们深入了解发送和接收 shell 的复杂性之前,理解 shell 是什么很重要。简单来说,shell 就是我们与命令行环境 (CLI) 交互时使用的工具。例如,Linux 中常见的 bash 或 sh 程序都是 shell 的示例。Windows 中的 cmd.exe 和 Po
2023-04-27 11:00:20
549
原创 网络安全之文件包含漏洞就是这么简单
微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。
2023-04-26 16:11:38
150
转载 【网络安全知识】网络技术领域术语大全,强烈建议收藏
自主访问控制(DAC)是一个访问控制服务,其执行一个基于系统实体身份的安全政策和它们的授权来访问系统资源。
2023-04-23 14:18:21
1386
原创 Web安全攻防入门系列 | 跨站脚本攻击和防范技巧 | 只看这一篇文章就够了
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。
2023-04-17 16:28:04
1000
原创 真的,Web安全入门看这个就够了
在Web发展初期由于对安全问题认知认识不足,导致发生过许多的安全问题,且遗留下许多历史问题:如PHP语言至今只能依靠较好的代码规范来防范文件包含漏洞,而无法从语言本身来杜绝此类安全问题的发生。常见的安全漏洞:SQL注入、XSS攻击、CSRF。
2023-04-12 14:05:44
373
原创 阿里一面:15道网络安全真题解析,你能答对几道?
网络安全是一个广阔的领域,面试过程中可能会提出各种各样的问题。招聘人员主要关注技术方面以及工具和技术知识,以确保框架安全。
2023-03-15 16:48:49
641
原创 2023年互联网的十大网络安全威胁,你怎么还不知道?
进入2023年,网络安全仍然是企业管理者需要关注的首要问题。有数据显示,2022年上半年,全球共遭遇28亿次恶意软件攻击和2.361亿次勒索软件攻击,到2022年底,预计将有60亿次网络钓鱼攻击被发起。恶意软件是多种恶意程序的统称,包括病毒、蠕虫、网络注入等。IT部门通常使用防病毒软件和防火墙进行监控和拦截,但网络攻击者通过不断地制造恶意软件变种来逃避安全防御。因此,维护安全软件和防火墙的最新更新至关重要。用户还可以部署专业安全厂商的安全解决方案来阻止恶意软件。此外,还有一些安全厂商推出硬件解决方案来应对恶
2023-03-13 17:39:59
1988
原创 自从掌握了网络安全,工资直接翻了番,真香~
早期的互联网 – 1980年代,我们需要共享数据,传输数据;所传输或者共享的数据均为明文,随着互联网发展,安全成为了国家的一种战略资源。我们做的,比如编程,运维 – 手工业安全属于一种科学研究–安全的算法都是需要以数学难题为基础来进行研究,每个国家都疯狂的去研究自己的加密算法,以及去破译别人的加密算法;美国–禁止出口长于256位的加密算法,DH算法 – 密钥交换(交换对称密钥)。1、数据必须被加密;2、完整性校验(哈希、单向加密、指纹);3、源认证;
2023-02-24 16:33:55
126
原创 再有人问你网络安全是什么,把这篇文章丢给他
网络安全的基本特征: 相对性、时效性、相关性、不确定性、复杂性以及重要性等。网络安全: 指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2023-02-23 17:38:56
459
原创 ESP定律原理详解,只看这一篇文章就够了
以上就是我对ESP定律的理解,如有错误,请轻喷,我也还只一只刚迈入二进制世界的菜鸟,希望我这篇文章对刚入门的小白有所帮助>_
2023-02-22 18:30:55
486
原创 ROP的基本原理和实战教学,看这一篇就够了
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
2023-02-21 18:49:16
3228
2
原创 深入解析sprintf格式化字符串带来的注入隐患
sprintf() 函数把格式化的字符串写入变量中。sprintf(format , arg1 , arg2 , arg ++) arg1、arg2、 ++ 参数将被插入到主字符串中的百分号( % )符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。注释:如果 % 符号多于 arg 参数,则您必须使用占位符。占位符位于 % 符号之后,由数字和 "\$" 组成。
2023-02-17 15:32:54
329
原创 腾讯面试官:工作两年了,这么简单的cisp题你都不会?
注册信息安全专业人员,是经中【国信息安全产品测评认证中心】实施的国家【认证】,对信息安全人员执业资质的认可。该证书是面向【信息安全】企业、信息安全咨询【服务机构】、信息安全【测评机构】、【政府机构】、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。
2023-02-16 11:58:32
910
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人