sunxingstar的博客

摘要：随着互联网＋时代的到来，金融信息化程度越来越高，互联网技术的应用更加广泛，金融数据中心规模的不断扩大，随之而来的信息安全问题，逐渐被社会各界所关注。本文在分析金融领域数据中心信息安全管理模式的特点及运维过程中存在问题和缺陷的基础上，研究了数据中心建立信息安全管理体系的必要性，并阐述了信息安全管理体系的构建和改进过程。关键词：信息安全 管理 数据中心金融业的历史源远流长，早在在信...

一、 高级可持续威胁1. 风险描述 高级可持续威胁类问题往往出现在区块链领域的中心化团队上，比如：交易所、钱 包、矿池等。由于这些区块链团队在基础设施安全建设和安全运营上的欠缺，导致基础 设施存在安全漏洞，从而被攻击者利用，实施数字货币的盗窃或者破坏。 2. 危害描述 高级可持续威胁会导致区块链系统被入侵，权限被控制，最终导致资金被盗取，敏 感数据被泄露等系列严...

随着GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的发布，大家不断关注等级保护2.0 的变化和合规难度。下面笔者通过一张思维导图，梳理了大数据场景下的等级保护新要求，简介明了，一张图就秒懂等级保护2.0的新的要求项目。希望对大家有所帮助。...

在IT 安全领域流传的一个笑话是: 计算机的最佳保护方法之一是断开它与网络的连接并密闭在没有门窗的房间内。这是玩笑，但是， 这个笑话包含很多道理。体现了网络安全的防护原则与优先顺序：进不来、拿不走、看不懂、改不了、跑不掉。其中的进不来，是最优先的防御方法。网络和密闭的房间，保证了一般人进不到这个计算机。...

HTTP协议与信息收集 HTTP协议与信息收集  网络层信息收集  Web信息收集  信息收集无处不在  扫描与探测  口令破解HTTP协议HTTP（超文本传输协议）是一种建立在TCP协议上，广泛用于万维网服务的 应用层协议。Burp Suite是一款用于测试WEB应用程序的集成环境，使用JAVA编写，所以也 能够跨平台使用，包含了许多功能。常见的请求方法：• GET 通常...

Windows口令破解-mimikatz提升权限 一：privilege::debug抓取密码 二：sekurlsa::logonpasswordsLinux口令破解-mimipenguin添加执行权限 一：chmod +x mimipenguin.sh抓取密码 二：./mimipenguin.shHashcat破解Linux密码文件shadow./hashcat-cli32.bi...

常见文件上传绕过方法javascript验证突破修改木马名，扩展名改为.jpg ， burp suite 将filename=“X.jpg”改为 filename=“X.Php”,forward上传大小写突破上传 .Php ，AsP,pHp之类成功绕过服务器文件扩展名检测拦截上传文件数据包并将上传文件名后面添加空格，成 功绕过并上传文件。使用双后缀配合apache解析漏洞 也可...

常见的提权的种类• 操作系统本身的提权• 利用数据库进行提权• 文件系统配置不当进行提权• 利用第三方的软件进行提权系统漏洞提权windows本地溢出提权• systeminfo查看补丁修复情况• 查找可写目录(目录执行权限)• 上传cmd命令程序(当前用户权限)• 上传本地提权程序• 调用cmd执行提权程序• whoami确认获取系统权限ms09-012 KB9...

 序列化 serialize() 把复杂的数据类型转化为字符串，方便存储和传输。数据类型可以是字符串，数组，对 象等 反序列化 unserialize() 将字符串转化为原始数据类型漏洞成因： 将传来的序列化数据直接unserilize，造成魔幻函数执行 PHP Session序列化及反序列化处理器设置不当序列化字符串格式序列化对于不同类型得到的字符串格式为：String...