Z0安全-优快云博客

原创【AppScan】2024年9月 AppScan 10.6.0最新版附下载安装教程

APPSCan

2024-08-28 16:07:00 2988

原创 xxe漏洞

如果遇见phpinfo 中libxm的版本 < 2.9.0时，存在XXE漏洞。

2024-06-08 09:34:49 162

原创 burp脏数据

您遇到的“脏数据包”问题，通常是因为浏览器或者某些扩展程序在发送请求时自动添加了一些额外的HTTP头部信息。在进行安全测试时，这些自动添加的信息可能会干扰测试结果，或者与测试的目的不符合。在进行上述操作时，请确保您了解每一步骤的影响，并在测试环境中操作，以避免对生产环境造成不必要的影响。同时，请确保您的操作符合相关法律法规和企业的安全政策。

2024-06-07 13:46:21 568

原创【漏扫工具】Afrog V3.0.6一款漏洞扫描神器

Afrog]是一款高性能的漏洞扫描器，快速稳定。它支持用户自定义的 PoC，并内置了多种类型，例如 CVE、CNVD、默认密码、信息泄露、指纹识别、未经授权的访问、任意文件读取和命令执行。借助 afrog，网络安全专业人员可以快速验证和修复漏洞，这有助于增强其安全防御能力。

2024-06-07 13:45:18 933 1

在Web应用程序中，如果开发者没有对用户输入进行适当的过滤或转义，攻击者就可以通过在输入字段中插入或“注入”SQL命令来操纵数据库，从而执行未授权的数据库操作。二次注入是SQL注入的一种特殊形式，它发生在应用程序在多个阶段处理用户输入的情况下。通常，应用程序可能在第一次接收用户输入时进行了安全的处理，但在后续阶段没有同样进行安全处理，导致攻击者可以在第二次输入时执行SQL注入攻击。然而，在用户登录或进行其他数据库操作时，应用程序没有对之前存储的用户名进行同样的转义处理，这就可能造成二次注入。

2024-06-06 08:59:53 311

原创 java反序列化

Java反序列化是指将之前序列化的对象还原成Java对象的过程。序列化是指将Java对象转换成字节序列的过程，以便于存储或传输。Java序列化与反序列化主要由和这两个类来实现。

2024-06-06 08:58:08 228

原创批量探测内网存活主机的原理

批量探测内网存活主机是网络安全领域中的一个常见任务，它可以用于网络管理、安全评估或者入侵检测等场景。

2024-06-05 09:45:55 608

原创文件读取技巧

在CTF（Capture The Flag）比赛中，PHP文件读取是一种常见的挑战类型，通常涉及利用PHP中的文件包含功能或者一些不安全的文件操作来读取服务器上的敏感文件。这些敏感文件可能包含源代码、配置文件、密码甚至是FLAG（比赛的答案）。在进行这些操作时，请确保你是在合法的环境中进行，例如CTF比赛、渗透测试或者自己搭建的实验环境。未经授权尝试读取他人服务器上的文件是非法的。

2024-06-05 09:43:40 672

原创常见的XXE ---playload

XXE（XML External Entity）攻击是一种常见的Web安全漏洞，它允许攻击者干扰应用程序处理XML数据的方式。这些是一些常见的XXE攻击playload，但请注意，XXE攻击的有效性取决于目标应用程序的具体配置和上下文。为了保护应用程序免受XXE攻击，建议禁用外部实体的解析，并使用安全的XML解析器配置。当应用程序不返回XXE注入的结果时，可以使用blind XXE攻击。文件中，可以定义一个外部实体，该实体将尝试从目标服务器获取数据并将其发送到攻击者的服务器。

2024-06-04 18:36:51 682

原创 XXE漏洞介绍

如果应用程序没有正确地限制对外部实体的引用，攻击者可以利用XXE漏洞执行各种恶意操作，例如访问敏感文件、执行远程服务请求、甚至可能导致服务器上的拒绝服务攻击。XXE漏洞通常出现在使用XML解析器的应用程序中，尤其是那些允许用户提交或修改XML数据的场景。攻击者可以构造恶意的XML输入，通过外部实体声明来引用外部资源，如果解析器处理这些实体时没有适当的限制，就可能触发XXE攻击。了解XXE漏洞的详细信息并采取适当的预防措施，对于保护您的应用程序免受此类攻击至关重要。

2024-06-04 18:31:26 335

原创安全测试工具AWVS教程

请看往期文章。

2024-06-03 09:13:03 193

原创性能测试介绍

性能测试可以分为多种类型，包括基准测试、压力测试、容量测试、稳定性测试和并发测试。例如，基准测试用于测试系统在正常工作负载下的性能，而压力测试则用于测试系统在极限负载下的性能。性能测试是一种重要的软件测试方法，用于评估系统在不同负载条件下的性能和响应能力。性能测试的核心指标包括响应时间、吞吐量、并发用户数、CPU 利用率和内存使用率等。性能测试的一般实施方法包括需求分析、测试计划、场景设计、测试环境准备、性能测试执行、性能分析和性能优化等步骤。这些步骤帮助确保性能测试的有效性和可靠性。

2024-05-22 08:59:12 188

原创安全测试1

安全测试0001。

2024-05-22 08:51:11 259

原创 python常用库

rerequest。

2024-05-21 08:48:23 97

原创安全测试001

测试工具awvs。

2024-05-21 08:47:42 419

原创网络安全工程

1、安全测试2、等保测评3、密码测评。

2024-05-20 19:23:40 308

原创【红队工具】Navicat存储密码·解密工具

参加xx攻防演练的时候，顺利拿下了一台应用服务器，发现桌面存在Navicat并且存在连接信息，但是结果是密文的，无法进一步获取数据库权限（使用CS可以顺利获取，这里场景没使用CS）。

2024-05-20 19:21:46 1666

原创安全测试工具

1、burp2、appscan3、awvs。

2024-05-17 08:54:11 136

原创密码测评介绍

密码测评，全称为商用密码应用安全性评估，是对使用商用密码技术的网络和信息系统进行的一种安全性评估。通过密码测评，可以有效地发现和解决密码应用中存在的问题，提高系统的安全性和可靠性。密码测评的对象主要包括基础信息网络（如电信网络、广播电视网、互联网）、重要信息系统（如能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等信息系统）、重要工业控制系统（如核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等），以及面向社会服务的政务信息系统。

2024-05-17 08:50:04 1248

原创安全测试工具

安全测试工具是用于评估计算机系统、网络或应用程序的安全性的软件。这些工具可以帮助发现潜在的安全漏洞、弱点和风险，从而在攻击者利用它们之前进行修复。

2024-05-17 08:48:53 242

原创什么是hw行动

HW行动强调“立足基础、靠前一步、全面开展”的原则，旨在提高重点单位的网络安全防护意识，提升关键信息基础设施和重要信息系统的防护水平。在HW行动中，攻击方和防守方进行红蓝攻防对抗，模拟黑客攻击技术，对目标系统的安全性进行深入探测。攻击方的目标是发现系统最脆弱的环节，获取目标权限，而防守方则依据监测到的安全事件进行追踪溯源、应急处置和安全防护工作。总体而言，HW行动是中国为应对日益复杂的网络安全形势所做的重要布局，通过攻防演练，旨在提升国家关键信息基础设施的网络安全防护能力，确保网络空间的安全稳定。

2024-05-16 08:39:46 1820

原创测试周期记录

自下而上的测试策略则相反。验收测试通常包括功能测试、性能测试、安全性测试等，测试用例应基于实际业务场景设计，以确保软件系统的实用性和有效性。单元测试是测试周期中的第一个阶段，它主要针对软件中最小的可测试部分——函数或方法进行测试。系统测试通常由专业的测试团队进行，测试用例应覆盖所有的功能模块和业务场景，以确保系统的可靠性和可用性。测试周期是确保软件质量的关键环节，各个阶段的测试都有其独特的作用和价值。测试周期是软件开发生命周期中的一个重要环节，它包括单元测试、集成测试、系统测试和验收测试等阶段。

2024-05-16 08:39:13 397

原创测试周期记录

自下而上的测试策略则相反。验收测试通常包括功能测试、性能测试、安全性测试等，测试用例应基于实际业务场景设计，以确保软件系统的实用性和有效性。单元测试是测试周期中的第一个阶段，它主要针对软件中最小的可测试部分——函数或方法进行测试。系统测试通常由专业的测试团队进行，测试用例应覆盖所有的功能模块和业务场景，以确保系统的可靠性和可用性。测试周期是确保软件质量的关键环节，各个阶段的测试都有其独特的作用和价值。测试周期是软件开发生命周期中的一个重要环节，它包括单元测试、集成测试、系统测试和验收测试等阶段。

2024-05-16 08:38:38 385

原创等保测评常见的工具

在等保测评中，常用的工具包括多种类型，旨在帮助评估信息系统的安全性能。

2024-05-15 08:44:35 962

原创等保测评介绍

等保测评，全称为信息安全等级保护测评，是一种依据国家信息安全等级保护制度要求，对信息系统实施安全等级保护管理的过程。这一过程包括对信息系统的全面安全风险评估，目的是发现潜在的安全隐患，并提出相应的安全改进措施，以确保信息系统达到相应的安全保护等级，从而保障信息系统的机密性、完整性和可用性。等保测评的方法主要包括访谈、问卷调查、漏洞扫描、渗透测试等。等保测评广泛应用于政府、金融、教育、医疗、能源等关键信息基础设施领域，对于评估企业网络安全水平、发现安全隐患、提升安全防护能力具有重要意义。

2024-05-15 08:42:49 211

原创常见的web漏洞

Web安全漏洞是指网络应用程序中的缺陷，这些缺陷可以被攻击者利用来破坏、窃取数据或干扰正常的服务。

2024-05-14 09:10:29 452

原创大模型介绍

大模型通常指的是参数量超过亿级别，甚至千亿级别的深度学习模型。这类模型能够处理更加复杂的任务，并在各项基准测试中取得了优异的成绩。其次，大模型容易过拟合，需要大量的数据来进行训练。此外，大模型在部署时也需要占用较多的计算资源，因此需要对其进行压缩和优化。大模型的主要优势在于其强大的表征能力，能够捕捉到数据中的深层规律。此外，大模型通常具有较好的泛化能力，能够在多个任务上进行迁移学习，从而实现快速适应新任务的目的。随着计算资源和算法的不断进步，我们有理由相信大模型将会在更多的应用场景中发挥重要的作用。

2024-05-14 09:08:53 346

原创安全测试工具使用

**Nessus**：广泛使用的漏洞扫描程序，能够扫描各种操作系统和网络设备中的漏洞。- **Metasploit**：最受欢迎的渗透测试框架，提供大量的漏洞利用和测试工具。- **OpenVAS**：一个全功能的漏洞扫描器，适用于各种操作系统和网络设备。- **Snort**：一个开源的网络入侵防御系统，能够执行实时分析和数据包记录。- **Burp Suite**：一个用于网络应用安全测试的集成平台。- **SonarQube**：一个开源的代码质量管理和安全审计工具。

2024-05-13 15:29:36 463

原创 2024年5月最新AppScan10.5.0 安装使用教程（看这一篇就够啦）附下载

AppScan套件包括多种工具，如AppScan Standard（动态应用程序安全测试工具）、AppScan Source（渗透性内部静态应用程序安全测试工具）和AppScan Enterprise（可伸缩的应用程序安全测试工具），还包括AppScan on Cloud（ASoC），这是一套全面的应用程序安全测试软件，可作为服务提供。其工作原理包括利用爬虫技术进行网站安全渗透测试，自动对网页链接进行安全扫描，利用“探索”技术发现网站的结构和目录，然后使用扫描规则库对发现的每个页面的每个参数进行安全检查。

2024-05-13 15:01:03 5903 2

原创内网机器的网段范围

这些地址范围可以在本地网络内部自由分配，用于组织内部的计算机、服务器和其他网络设备。使用私有地址有助于减少公共IP地址的消耗，并且提供了额外的网络安全层，因为私有地址在互联网上是不可见的。内网机器通常使用私有IP地址，这些地址是不会在互联网上公开路由的。

2024-05-11 08:50:53 1989

原创 burpsuite教程

它包含了许多 Burp 工具，这些不同的 Burp 工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。6、复制注册机的License复制到右边，然后点击Next。关注Z0安全公众号回复【Burp】获取破解版！关注Z0安全公众号回复【Burp】获取破解版！关注Z0安全公众号回复【Burp】获取破解版！关注Z0安全公众号回复【Burp】获取破解版！关注Z0安全公众号回复【Burp】获取破解版！关注Z0安全公众号回复【Burp】获取破解版！11、成功破解burp。

2024-05-07 16:38:43 1546

空空如也

空空如也