logic1001的博客

等保”即等级保护，“等保测评”即网络安全等级保护测评，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。。其中定级和等级测评是等保中的重要环节。从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。

其实等保测评是用于评估网络系统或应用是否满足相应的安全保护等级要求，是网络安全等级保护工作的重要环节之一。开展等保测评能够帮助网络运营者识别系统存在的安全隐患，及时对系统进行整改加固。今天就来聊聊等保测评的重要性、流程、测评内容及测评对象，三分钟带你了解等保测评全流程。《 网络安全等保相关文件参考》

（Office Automation System，办公自动化Q系统）：OA系统是一种用于协调、管理和优化办公流程的软件系统，包括电子邮件、日程安排、文档管理、工作流程管理等功能模块，帮助企业提高工作效率和管理水平。（Customer Relationship Management，客户关系管理系统）：CRM系统是一种用于管理客户关系的软件系统，包括客户信息管理、销售管理、客户服务管理等功能模块，帮助企业提高客户满意度和市场竞争力。

网络安全等级保护备案，简称等保，网络安全法要求网络运营者应当按照网络安全等级保护制度的要求，履行信息系统安全保护义务，保障信息系统免受干扰、破坏或者未经授权的访问，防止信息数据泄露或被窃取、篡改。它是这个样子的↓。企业简介-华夏企信-百帮办公司服务介绍：华夏企信-百帮办-服务介绍0****1**等级保护分级**第一级：用户自主保护级。适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。第二级：系统审计保护级。适用于一般的信息系统，其受到破坏后

*“等保”**即网络安全等级保护，是指对网络信息和信息载体按照重要程度划分等级，并基于分级，针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全领域现行的基本制度。

网络安全等级保护制度起源于1994年国务院颁布的《计算机信息系统安全保护条例》，该条例首次明确了“计算机信息系统实行安全等级保护”的原则。经过二十多年的发展，等保制度经历了从1.0到2.0的飞跃。**等保1.0阶段：**以信息系统为对象，确立了五级安全保护等级，形成了一套相对完整的等级保护规范体系。然而，随着网络技术的快速发展，等保1.0逐渐暴露出适用范围过窄、技术要求静态等不足。**等保2.0阶段：**2017年，《网络安全法》正式颁布，明确提出了“国家实行网络安全等级保护制度”。

在网络安全领域，信息安全等级保护测评（简称“等保测评”）是衡量信息系统安全等级的重要标准，旨在确保信息系统的保密性、完整性和可用性。根据《信息系统等级保护管理办法》，等保分为五个级别，其中二级和三级是较为常见的两个级别。本文将从应用场景、评定要求、测评内容与要求、防护能力、测评时间要求以及其他方面，对二级等保与三级等保进行详细对比分析。

网络安全一直是信息技术领域中备受关注的话题之一，而服务器端请求伪造（Server-Side Request Forgery，简称SSRF）漏洞是其中的一个常见威胁。在本文中，我们将深入探讨SSRF漏洞的原理、攻击场景，并提供相关的代码案例以及防御方法，以帮助开发人员和安全专家更好地理解和应对这一威胁。SSRF漏洞是一种安全漏洞，通常出现在Web应用程序中，攻击者通过构造恶意请求，将服务器内部的资源暴露给外部。这可能导致敏感数据泄露、服务端请求伪造等严重问题。

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。

SSRF（Server-Side Request Forgery，服务端请求伪造）漏洞通常是由于目标应用程序未正确验证用户输入数据，导致攻击者发送伪造的请求，绕过网络防御，获取敏感信息或利用其他漏洞进行进一步攻击。**0X02常见的漏洞点**

最近和团队的小伙伴一起挖某src，也好久没有更新自己的博客了，所以拿出几个实战案例来分享。作为一个向来喜欢寻找发现ssrf漏洞的漏洞赏金猎人，此文章就分享几个我在挖某src的ssrf实战案例吧。

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。请大家关注公众号支持，不定期有宠粉福利Part-01SSRF漏洞基本知识SSRF（Server-Side Request Forgery）漏洞，即服务器端请求伪造漏洞，是一种常见的网络安全漏洞。攻击者能够利用目标服务器去访问其自身无法直接访问的内部资源或外部资源。

SQL是一种关系型数据库查询的标准编程语言，用于存取数据以及查询、更新、删除和管理关系型数据库。SQL注入则是借助网站上不健全的SQL拼接语句，将攻击者自己的恶意代码拼接到原有的SQL语句中，使其在服务器上执行，从而使攻击者可以对数据库进行网站运营者预料之外的增、删、改、查操作。SQL注入是一种常见的Web安全漏洞，对Web应用程序的安全构成严重威胁。为了防范SQL注入攻击，需要采取多种措施，包括使用参数化查询、输入验证和过滤、最小化特权、使用ORM框架等。

什么是 CMS？合规管理系统 (CMS) 是一个用于满足监管要求、内部政策和行业标准的集成系统。有效的 CMS 可帮助组织避免不合规领域并实现持续的法规合规性。顾名思义，合规管理系统就是一个系统。它不包括任何一项特定的技术或流程，而是一个工具、业务流程和内部控制的集合体，共同降低合规风险，帮助组织履行合规责任。合规管理系统可以包括从风险评估到合规培训的任何内容。拥有有效的合规管理系统对于组织的合规工作和更广泛的风险管理战略至关重要。

CMS（Content Management System，内容管理系统），又称整站系统或文章系统，用于网站内容管理。用户只需下载对应的CMS软件包，部署、搭建后就可以直接使用CMS。各CMS具有独特的结构命名规则和特定的文件内容。目前常见的CMS有DedeCMS、Discuz、PHPWeb、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。

SQL是一种关系型数据库查询的标准编程语言，用于存取数据以及查询、更新、删除和管理关系型数据库。SQL注入则是借助网站上不健全的SQL拼接语句，将攻击者自己的恶意代码拼接到原有的SQL语句中，使其在服务器上执行，从而使攻击者可以对数据库进行网站运营者预料之外的增、删、改、查操作。

联合注入Payload报错注入Payloadextractvalue函数updatexml函数BigInt数据类型溢出floor函数堆叠注入Payload盲注Payload布尔盲注。

SQL注入是网络安全中一种破坏性的攻击手段方式。SQL 注入是指web应用程序对用户输入数据控制不严格，导致用户输入数据被拼接到SQL语句中被数据库执行导致的安全问题。”SQL注入常常会使数据库脱库，SQL注入仍是现在常见的web漏洞之一。国家信息安全漏洞库统计近一个月的软件漏洞类型SQL注入类型分为两大类和SQL普通注入也叫SQL显错型注入，进行注入执行后能够得到报错反馈。盲注则反之，选择的数据不能回显到前端页面，我们需要利用一些方法进行判断。SQL注入步骤。

以上就是我写的探测 SQL 注入的工具逻辑和关键点，未来实战过程中还会根据实际情况进行优化更新。

拍摄于:威海市-布鲁维斯号沉船公众号：XG小刚。

SQLMC（SQL 注入大规模检查器）是一款用于扫描域中是否存在 SQL 注入漏洞的工具。它会抓取给定的 URL 直至指定深度，检查每个链接是否存在 SQL 注入漏洞，并报告其发现的结果。Kali Linux 2024.3 发布：11 款全新工具助力渗透测试新高度 其中就有sqlmc，证明还是不错的sqlmc：用于检测 SQL 注入漏洞的工具，能够扫描域名下的所有 URL，确保数据库的安全性。

内网安全攻防渗透测试实战指南》学习笔记整理，快速掌握内网渗透的关键知识点：一、内网基础知识出于管理及其他需求，需要在网络中划分多个域。第一个域称为域树拓扑结构图（域森林拓扑图）的划分：划分安全域的目的是将一组安全等级相同的计算机划入同一网段。这个网段的计算机有相同的网络边界，并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略，从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。（安全域）

嘿，小伙伴们！咱们 “龙哥网络安全” 公众号后台常常收到这样的私信：“为啥我老是挖不到漏洞呢？“渗透究竟是啥流程呀？别急，今天就给大家奉上全网最详尽的渗透测试流程，干货满满，千万别错过！渗透测试，简单来讲，就是凭借一系列手段，揪出网站、APP、网络服务、软件、服务器等网络设备与应用的漏洞，然后告知管理员漏洞详情以及修补办法，帮他们提前筑牢防线，把黑客拒之门外。渗透测试分两大阵营：白盒测试与黑盒测试。

渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。

这是龙哥给粉丝盆友们整理的网络安全渗透测试入门阶段SQL注入入门开篇。本阶段主要讲解什么是SQL注入、SQL注入分类、SQL注入检测。

掌握日志分析的基础知识对于理解和运用日志分析工具至关重要。日志文件包含多种特性，涉及格式、来源以及记录细节等要素。通常，日志文件记录了诸如时间戳、事件类型、事件描述等关键信息。然而，单独审视任何一个指标都可能显得单调乏味。在实际操作中，管理员必须综合考量多个维度，以达成高效且全面的日志分析。对于初学者而言，可以参考笔者所著的《Unix/Linux网络日志分析与流量监控》一书中的众多网络攻防案例，将本文所介绍的日志分析知识融会贯通，以达到触类旁通的效果。

本文作者 : 木禾 (英文 ID:Ali0th)日志分析，其实涵盖的面是很广的，什么地方都可以有日志。而本篇文章主要针对 web 日志做一下分析。因为之前去学校里授课的时候有讲过一次，感觉内容挺不错的，就写到了文章里。（可绝不是偷懒什么的呢o(´^｀)o）【链接: https://pan.baidu.com/s/1o7FcHui 密码: jpdn】

👉国产 Star 破 10w+ 的开源项目，前端包括管理后台 + 微信小程序，后端支持单体和微服务架构。功能涵盖 RBAC 权限、SaaS 多租户、数据权限、商城、支付、工作流、大屏报表、微信公众号等等功能：Boot 仓库：https://gitee.com/zhijiantianya/ruoyi-vue-proCloud 仓库：https://gitee.com/zhijiantianya/yudao-cloud视频教程：https://doc.iocoder.cn。

有些时候，使用包提供的LoggersEndpoint来热更新日志打印器级别，是有点不方便的，因为想要热更新日志级别而引入包，大部分时候这个操作都有点重，而通过上面的分析，我们发现其实热更新日志打印器级别的原理特别简单，就是通过LoggingSystem来操作Logger，所以我们可以自己提供一个接口，通过这个接口来操作Logger的级别。// 省略getter和setter } }通过调用上述接口使用LoggingSystem就能够完成指定日志打印器的级别热更新。总结。

使用大括号包含每个元素为key:value的格式元素之间使用逗号分隔练习。

NGINX 是一款功能强大的 Web 服务器和反向代理服务器软件。它可以有效地处理传入的 Web 流量，在用户和他们正在访问的 Web 应用程序或网站之间进行调解。NGINX 通过有效分配服务器资源和同时处理多个连接来提高速度和可靠性。轻量级设计和事件驱动架构使其在提高网站性能、确保流畅和快速的内容交付方面广受欢迎。NGINX 擅长管理高流量网站、负载均衡和优化资源利用率，有助于提供无缝和响应迅速的用户体验。

基础知识点Python编程环境基本输入输出变量、关键字、注释、行与缩进运算符基本数据类型三大基本结构复合数据类型面向对象编程函数和模块错误和异常文件和目录操作常用库介绍本文主要列出学习Python编程必须要掌握的基础知识点，可以当成简约的基础知识手册进行翻阅，对有些比较难并且不常用的知识点进行了删改，有不足之处请各位读者见谅。

今天给大家带来了干货，Python入门教程完整版，完整版啊！完整版！看过的人，都会学的无法自拔！本套教程学习时间15天1-3天内容：为Linux基础命令4-13天内容：为Python基础教程14-15 天内容：为飞机大战项目演练第一阶段（1-3天）：1. 文件和目录命令：ls，cd，touch，mkdir，rm2. 拷贝和移动命令：tree，cp，mv3. 文件内容命令：cat，more，grep。

这些就是 Python 编程的基础内容，孩子们通过简单的代码示例就能理解如何：输出内容使用变量进行数学运算做条件判断使用循环编写一个小游戏这只是 Python 编程的入门，孩子们可以在此基础上尝试编写更复杂的程序，并不断提升自己的编程技能。希望这些简短的步骤能激发孩子们的兴趣，让他们享受编程的乐趣！

Web前端技术由html、css和javascript三大部分构成，是一个庞大而复杂的技术体系，其复杂程度不低于任何一门后端语言。而我们在学习它的时候往往是先从某一个点切入，然后不断地接触和学习新的知识点，因此对于初学者很难理清楚整个体系的脉络结构。本文将对Web前端知识体系进行简单的梳理，对应的每个知识点点到为止，不作详细介绍。目的是帮助大家审查自己的知识结构是否完善，如有遗漏或不正确的地方，希望共勉。

我的第一篇文章：【web前端到底是什么？有前途吗？】，在我没想到如此的情况下 得到很多好评和有效传播。也为我近期新开的 个人前端公众号：前端你别闹（webunao）直接增加了几百粉（果然，帅的人大家都喜欢。被国内著名技术博客 优快云 推上博客首页，并且经过我授权在其他公众号也转载了不少。**我觉得我这篇入门文章可以小火，究其原因 有以下几点** • web前端是如此的火热，关注度也逐年升高。不知不觉，我废话又多了起来，段子手的天性就是改不了？ok ,我们切入今天的正题 ：web前端到底怎么学。

它要求前端开发工程师不仅要掌握基本的Web前端开发技术，网站性能优化、SEO和服务器端的基础知识，而且要学会运用各种工具进行辅助开发以及理论层面的知识，包括代码的可维护性、组件的易用性、分层语义模板和浏览器分级支持等。随着近两三年来RIA（Rich Internet Applications的缩写，中文含义为：丰富的因特网应用程序）的流行和普及带来的诸如：Flash/Flex，Silverlight、XML和服务器端语言（PHP、，JSP、Python）等语言，前端开发工程师也需要掌握。

内网穿透是指通过特定的网络技术或工具，突破内网的防火墙和路由器，允许外部设备访问内网的服务。远程控制内网设备：开发者需要在外部访问处于内网中的服务器。网站和API的暴露：开发中的Web应用、数据库等需要暴露给外部进行测试。IoT设备接入：物联网设备通过内网穿透与外部服务通信。内网穿透工具通过“隧道”或“代理”方式实现外部设备和内网设备之间的直接连接，而无需修改路由器或防火墙配置。

在日常工作中我们需要将本地的某些端口如22803306等端口分享。让别人或者不在同一局域网内的设备访问。我们需要端口映射（内网穿透）的方式让其暴露在公网，以便访问。本文为大家总结常用内网映射的工具和方法，进行简单的总结。希望对你有所帮助。

内网穿透是一项技术，它允许通过公网IP地址访问内网中的设备，通常用于建立安全的内网通道，为用户提供远程访问内部网络资源的便捷方式。在内网渗透和远程连接领域，有几款重要的内网穿透工具，如花生壳、Frp、Ngrok和FastTunnel。这些工具各自提供了不同的功能和特点，如端口映射、多协议支持、P2P通信、安全隧道等，以满足不同用户的需求。