- 博客(29)
- 收藏
- 关注
RSS订阅原创 ndp协议简介
NDP是IPv6网络中用于发现邻居节点(相邻设备)的协议,类似于IPv4中的ARP。但与ARP不同,NDP不仅提供了邻居解析的功能,还提供了路由器发现、地址自动配置、重定向消息等功能。当IPv6主机加入一个网络时,它可以使用地址自动配置功能获取一个或多个IPv6地址。主机监听网络上的路由器发送的广播消息,以获得可用的IPv6地址前缀,然后根据前缀规则为自己分配一个唯一的IPv6地址。支持IPv6地址的自动配置,使得IPv6主机可以通过监听路由器的广播消息来获取自己的IPv6地址。
2024-12-04 10:11:44
930
原创 同源策略简介
同源策略是浏览器中一种重要的安全机制,用于限制一个网页中的文档或脚本如何与另一个源(域名、协议或端口)的资源进行交互。同源策略的核心思想是保护用户的隐私和安全,防止恶意网站获取用户的敏感信息或执行未经授权的操作。如果两个 URL 在以上三个方面不同,则它们被认为是不同源的,浏览器会对它们的交互施加限制。通过实施同源策略,浏览器有效地提高了用户的安全性和隐私保护水平,阻止了大部分跨站攻击的发生。
2024-12-03 11:01:24
440
原创 CIA安全属性简介
在信息安全领域,CIA 三性通常指的是保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。这三个概念是信息安全的核心要素,用于确保信息的安全和可信度。综上所述,CIA 三性在信息安全中是非常重要的概念,它们相互关联、互为补充,共同构成了一个综合的信息安全框架,用于保护和管理各种类型的信息资源。
2024-12-03 10:59:16
665
原创 网络安全框架及模型-PPDR模型
网络安全策略是指制定并实施一系列政策、规范和措施,以保护组织的信息系统和数据免受潜在的安全威胁。策略制定需要考虑以下几个方面:风险评估:识别和评估组织所面临的安全风险,包括内部和外部威胁,以便制定相应的安全策略。合规要求:确保网络安全策略符合适用的法规、标准和合规要求。访问控制:制定明确的访问控制政策和权限管理机制,限制未经授权的用户访问敏感信息。员工培训:提供网络安全意识培训,使员工了解安全风险和最佳实践,并促使他们采取正确的安全措施。
2024-12-03 10:57:30
2142
原创 docker搭建socks5代理
我们选用“历史悠久”的Dante socks5 代理服务器,轻量、稳定。Github也有对dante进行进一步精简的镜像,更为适宜。通过Docker方式安装部署dante服务器,在不做过多自定义配置的前提下,仅需4-5条命令即可完成。加载运行后,通过script/pam添加账户。
2024-11-27 11:23:49
1249
原创 文件描述符简介
除了标准输入、输出、错误流之外,程序还可以通过open()socket()pipe()等系统调用打开其他文件或资源,并获得一个新的文件描述符。
2024-11-26 11:04:35
1016
原创 csrf和ssrf的区别
综上所述,CSRF 攻击主要是利用用户的身份执行未经授权的操作,而 SSRF 攻击则是利用服务器对外部资源的访问权限执行未经授权的操作。当用户在登录状态下访问该网页时,浏览器会自动发送 POST 请求到社交媒体网站,由于用户已经登录,请求会以用户的身份进行认证。假设有一个网站提供了一个功能,允许用户输入一个 URL,并获取该 URL 返回的内容。用户输入的 URL 将作为参数发送到服务器上的一个脚本,然后服务器会获取该 URL 返回的内容,并将其显示给用户。这样,攻击者就可以获取敏感信息,如密码文件等。
2024-11-25 16:03:02
1667
原创 cookie属性SameSite简介
CSRF 攻击利用用户的身份和已认证的会话,在用户不知情的情况下,向受信任的网站发送请求。例如,用户在网站 A 上登录并具有一个有效的 Cookie,攻击者在网站 B 上创建一个恶意链接或表单,诱使用户点击或提交该链接,进而向网站 A 发送请求。通过设置属性,网站 A 可以有效防止 CSRF 攻击,因为任何来自非同源的请求都无法携带有效的身份 Cookie。这种机制确保了只有在用户直接与网站 A 交互时,相关的 Cookie 才会被发送,从而保护用户免受恶意网站的攻击。
2024-11-25 16:01:47
703
原创 Hex编码的编码原理
新的6个8位二进制 进行16进制转换 00000100 00001000 00000100 00000101 00000101 00001000 = 484558。在加上前面的4个零得到一个新的6个8位二进制 = 00000100 00001000 00000100 00000101 00000101 00001000。二进制=01001000 01000101 01011000 进行hex的打断操作 0100 1000 0100 0101 0101 1000。
2024-11-25 15:59:58
234
原创 HTTP Accept用法介绍
HTTP协议是一个客户端和服务器之间进行通信的标准协议,它定义了发送请求和响应的格式。而HTTP Accept是HTTP协议中的一个HTTP头部,用于告诉服务器请求方所期望的响应格式。这些格式可以是媒体类型、字符集、语言等信息。HTTP Accept由若干元素组成,每个元素包含三个信息:媒体类型(MIME类型)、可选的参数和参数值。通常,HTTP Accept头部是由浏览器在发送请求时自动添加进去的。服务器则根据Accept头部所指定的格式,返回最匹配的响应。
2024-11-25 15:21:56
1298
原创 linux文件删除但空间不释放
使用查找被删除但仍被进程占用的文件。使用sync刷新文件系统缓存。使用fsck检查和修复文件系统错误。定期清理系统日志和临时文件。确保没有挂载的文件系统或临时文件占用空间。
2024-11-21 10:07:50
3388
原创 SNI简介
使得在同一个服务器的同一个 IP 地址上托管多个使用不同 SSL/TLS 证书的网站成为可能,它允许客户端在 TLS 握手时向服务器指明其目标域名。通过这种方式,服务器可以为每个域名提供适当的加密证书,避免了多个域名无法在同一 IP 地址上使用 HTTPS 的问题。
2024-11-08 16:26:13
824
原创 windows主机信息收集常用命令
获取当前系统版本;获取当前系统补丁安装信息;获取当前主机使用了什么杀毒软件;获取当前主机开启了什么服务;获取当前主机各个程序的权限,看看能否盗用令牌;
2024-10-25 09:39:22
470
原创 psexec wmiexec smbexec atexec dcomexec 这几种横向方式有什么区别?
它可以用于跨域环境下的横向渗透、后门控制和持久化控制等场景,需要目标主机开启135、139、445等端口。wmiexec:使用Windows Management Instrumentation (WMI)协议通信,WMI是一种管理和监控Windows系统的标准化技术,可以通过WMI执行各种任务,包括远程命令执行、检索系统信息等。它们可以在目标网络内部扫描和探测其他主机,执行远程命令、上传/下载文件、创建用户等操作,以获取更高的权限或访问更敏感的信息。dcomexec则可以用于跨域环境下的横向渗透。
2024-10-25 09:36:31
565
原创 clash等代理工具对数据包的处理简介
因此,协议转换实际上是一个对原始数据包进行二次封装的过程,它确保了数据在跨越不同网络层和协议的过程中保持安全性和完整性。这种机制让 Clash 等代理工具能够灵活支持多种网络协议,并满足不同用户的需求。
2024-10-22 16:44:48
11612
原创 linux设置不记录历史命令的三种方式
在 Linux 系统中,每个用户的命令历史记录都会自动保存到相应的历史记录文件中。这些历史记录包括执行过的所有命令和其参数等详细信息,会暴露用户输入的敏感信息和系统配置等重要信息,可能会给系统带来安全风险。如果需要保护系统的安全性,可以设置不记录历史命令,从而避免这些安全问题。
2024-10-21 09:44:57
1043
原创 nginx性能优化说明-汇总篇
nginx的缓存功能有:proxy_cache / fastcgi_cacheproxy_cache的作用是缓存后端服务器的内容,可能是任何内容,包括静态的和动态。fastcgi_cache的作用是缓存fastcgi生成的内容,很多情况是php生成的动态的内容。proxy_cache缓存减少了nginx与后端通信的次数,节省了传输时间和后端宽带。fastcgi_cache缓存减少了nginx与php的通信的次数,更减轻了php和数据库(mysql)的压力。
2024-10-18 14:21:12
1014
原创 linux sudo免密配置
某些时候会存在上边的权限被下边的权限覆盖,所以需要针对单个用户配置sudo免密码,建议在配置文件的最后一行配置。: 在打开的文件中,找到适合您用户的行,然后添加如下行(假设您的用户名是。这样可以避免语法错误导致的问题。: 重新打开终端,运行一个需要。如果您希望所有用户都可以使用。: 在vi编辑器中,按。要在Linux中配置。
2024-10-17 10:52:39
749
原创 MongoDB 配置用户名和密码
如果还没有管理员用户,首先需要创建一个管理员用户,用于管理 MongoDB 数据库的访问和权限。然后,使用 MongoDB 客户端连接到 MongoDB 服务器。如果 MongoDB 服务器默认没有启用身份验证,你需要修改 MongoDB 的配置文件。的数据库)创建用户。然后,重启 MongoDB 服务以使更改生效。命令行工具或者 MongoDB Compass 进行连接。这将连接到默认的 MongoDB 服务器(通常是本地的。接下来,为你的具体数据库(比如一个叫做。并重新启动 MongoDB 服务。
2024-10-16 10:35:54
4347
原创 S3cmd使用简介
S3cmd,是一个免费的命令行工具和客户端,用于在Amazon S3和其他使用S3协议的云存储服务提供商中上传、下载、检索和管理数据。比如,Ceph支持S3协议。
2024-10-15 14:23:48
664
原创 S3cmd使用常见问题及技巧
默认情况下,s3cmd使用15MB的块大小,但是如果要上传大文件,则可能需要将其增加到更高的值(例如50MB或100MB),以确保不会超过10,000个块。如果您启用了–continue-put选项,则s3cmd会尝试恢复未完成部分的上传,并从上次中断的位置继续上传,而不是从头开始上传整个文件。请注意,在修改块大小时,请考虑可用的内存和网络带宽,并确保您的系统具有足够的资源来处理大型文件的上传。s3cmd put命令在上传文件时会对文件进行校验和验证,以确保上传的数据与原始数据的一致性。
2024-10-15 14:20:54
990
原创 自动化备份脚本并上传到对象存储-BASH版
1. 指定目录自动打包上传到对象存储; 2. 自动检查备份数据是否变化,若无变化,则不上传; 3. 自动检查是否存在1个月前的历史备份数据,若存在,则删除;
2024-10-15 11:51:59
338
原创 自动备份并上传对象存储-python版
自动备份脚本-python 1. 指定目录自动打包上传到对象存储; 2. 自动检查备份数据是否变化,若无变化,则不上传; 3. 自动检查是否存在1个月前的历史备份数据,若存在,则删除;
2024-10-15 11:44:42
336
自动生成10以内不同范围的乘法算式
2024-10-16
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人