安全学习

网络安全学习第4篇-使用特征码和MD5对勒索病毒进行专杀,并对加密文件进行解密

请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。要求:1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。2、专杀工具需要能够识别本次的样本文件,可采用课
那年白马啸西风·2020-08-18 20:52

web安全学习笔记(七) XSS(Cross-site scripting)跨站脚本漏洞

1.XSS原理解析HTML中,有着标签,用于定义客户端脚本。在与之间输入代码,即可实现一些特殊效果。例如,新建两个文件,xxstest.html和PrintSrc.php两个文件:alert(/xss/)时,就会触发XSS攻击:为什么网页不会像abd那样打印alert(/xss/),而是弹出了提示框呢?这是因为alert(/xss/)被包含在script标签中,标签中的内容被解析了,这就是XSS漏
qycc3391·2020-08-18 02:31

信息安全学习笔记(六)------DES密码

DES密码前言:DES是迄今为止世界上最广泛使用的分组密码算法,他的分组长度是64bit,密钥长度是56bit。DES加密算法框图如下所示,其中明文64bit一组,密钥长56bit。所得的n个64bit串联起来就是密文输出。明文的处理过程犹如上3个阶段。首先是一个初始置换IP,用于重排明文分组的64bit。然后是具有相同功能的16轮变换,每轮都有置换和代换运算,第16轮变换的输出分为左右两半,并被
dirtyboy6666·2020-08-17 07:52

内网安全学习从入门到入狱-神器-Cobalt Strike-一-CS的基础和介绍

内网安全学习从入门到入狱-工具-CobaltStrike(CS)基础前言本文主要是看了CobaltStrike各种资料后记的笔记。
god_zZz·2020-08-17 05:09

【7】WEB安全学习----开发者工具使用

目录一、目的二、Chrome开发者工具介绍打开-开发者工具Elements/元素面板Console/控制台面板Sources/源代码面板Network/网络面板Performance/性能面板Memory/内存面板Application/应用面板Security/安全面板三、Chrome开发者工具使用案例1、模拟移动设备浏览2、模拟网络连接:3、模拟定位:一、目的之前学习了HTTP协议、HTML、
miss枫·2020-08-17 05:24

web工具集合(转)

原作者:https://blog.csdn.net/sonbyn001/article/details/72782720+看到收藏一波,有需要时可用上安全行业从业人员常用工具指引,包括各类在线安全学习资料和安全检测工具
莫者·2020-08-16 16:30

【网络安全自学篇】网络安全攻防训练营-运维基础学习

接上一篇文章([网络安全自学篇]2020年安全学习规划)内容,2020年目标是做些简单的渗透测试,漏洞扫描等安全相关工作;与运维、网络等科室同事日常工作沟通,故此篇文章进一步介绍Windows、Linux
D.T.69·2020-08-16 12:18

加餐4 | 个人成长:学习安全,哪些资源我必须要知道?

今天,我就来盘点一下,对我个人的安全学习产生帮助的各类学习资源,以及不同阶段的安全人员应该如何对各类资源进行取舍。▌安全入门书籍安全的核心能力分为两个方向:攻击和防御。俗话说“未知攻焉知防”,所以,学
▌E=mc²·2020-08-16 10:22

菜鸟的信息安全学习之路

前言从去年暑假参加的夏令营开始接触到网络安全到现在也有整整一年时间了。一年过得很快,马上就大三了,自己并没有拿得出手的成绩。一年也过得很慢,常常蹲在电脑前面看教学视频、看大佬的博客;常常因为学无所获而失落;常常因急于求成而顾此失彼。常因所学知识无施展之地而困惑;常为懒惰找借口、常为失败找理由;常常自嘲来掩饰学无所成;常常·······独自在这条路上探索确实很幸苦。不过所幸,这一年来还是有所提升。下
R0oKi3·2020-08-15 21:00

软件安全学习笔记(5):FAT32文件系统与数据恢复

一、FAT32文件系统结构1、引导扇区:描述分区大小、簇的大小、FAT表个数与大小、分区引导程序等。2、FAT(文件分配表)FAT1+FAT2:记录数据存储区每一个簇的使用情况,形成每个文件的簇链表3、数据存储区:存储两类数据:目录项、文件数据二、几个概念1、簇:文件系统将磁盘以一定数量的扇区为单位进行划分,这样的单位称为簇。是文件空间分配的最小单位。2、FAT表:微软在FAT文件系统中用于磁盘数
克莉丝汀娜·2020-08-15 11:03

SQL注入攻击及防御 手动注入+sqlmap自动化注入实战(网络安全学习12)

CONTENTS1项目实验环境2SQL注入概述2.1SQL注入简介2.2SQL注入的危害3SQL基础回顾3.1联合查询union3.2information_schema数据库4SQL注入流程5手动注入流程5.1基于错误的注入5.2基于时间的盲注5.3基于布尔的注入5.4基于UNION的注入6sqlmap自动化注入6.1GET方法注入6.2POST方法注入6.3提权操作7如何防御SQL注入1项目实
假装式冷漠·2020-08-14 23:18

文件包含渗透File inclusion 本地文件和远程文件包含+webshell(网络安全学习11)

CONTENTS1文件包含渗透简述1.1原理和危害1.2实验模拟环境2低安全级别渗透2.1本地文件包含2.2本地文件包含+webshell2.3远程文件包含+webshell3中安全级别渗透3.1本地文件包含3.2本地文件包含+webshell3.3远程文件包含+webshell4高安全级别渗透1文件包含渗透简述1.1原理和危害文件包含漏洞:即FileInclusion,意思是文件包含(漏洞),是
假装式冷漠·2020-08-13 12:54

Github安全开源工具集合

安全行业从业人员常用工具指引,包括各类在线安全学习资料和安全检测工具,欢迎大家持续贡献!入门指南https://wizardfo
SONBYN·2020-08-11 18:26

安全学习之XSS——XSS挑战之旅

今天算是假期学习的第一天吧,回顾了一下暑假的学习内容,觉得有必要在xss和sql注入这里重点加强一下,相应的也包括JS,php,sql语言的跟进学习。学习过程大致是,看书,看视频,练习,总结。寒假还有好多事要做,每天的学习尽量提高点效率。少睡觉,少打游戏,想想自己的未来。XSS这块其实内容很多,花样也很多,可浅可深,目前我打算通过靶场练习一下基本功,就当做玩了。靶场链接:http://xss.fb
Jason_TBWH·2020-08-11 05:09

二进制安全学习路线

本文作者:rkvir(二进制小组组长)转自某推文,链接找不到了。一.什么是二进制安全在很久以前安全圈并没有把安全技术做出一个特别清晰的分类。在大部分人眼里,所谓的黑客,安全研究者指的就是研究渗透入侵一类的技术的从业者,并不知道什么是逆向工程或者说二进制安全。提起逆向工程也许还有人可以联想到软件破解,如果提起的是二进制安全,那么知道的人就真的是寥寥无几了。实际上二进制安全技术在20世纪90年代就已经
无在无不在·2020-08-10 11:45

Web安全学习——代码审计入门

一、常见的代码审计工具1、FortifySCAFortifySCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结2、CheckmarxCxSuiteCheckmarxCxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运3、360代码卫士360代码卫士是360企业安全集团基于多年源代码安全实践经验推出的新一代源代
破壳野生喵·2020-08-10 04:27

web安全学习笔记(九)CSRF(Cross-Site Request Forgery) 跨站请求伪造

0.前言CRSF是建立在会话之上的,听起来非常像XSS跨站脚本攻击,但是实际上攻击方式完全不同。之前在写XSS时,提到很多网站会使用cookie来保存用户登录的信息,例如昨天晚上我使用完CSDN后,关闭浏览器,关闭电脑,今天打开CSDN时,虽然没有填写账户和密码,也会自动登陆。那么CRSF可以做到什么呢?比如A登陆了网上银行,正在准备进行一个操作,然而有攻击者给他发送了一个链接,当A点击这条URL
qycc3391·2020-08-10 00:45

【学习笔记】【计算机网络】第0章——引言

计算机网络链接第0章引言第1章概述第2章物理层第3章数据链路层第4章网络层第5章运输层第6章应用层第7章网络安全学习教材这里学习的教材采用《计算机网络第7版》,作者为谢希仁,出版社为电子工业出版社。
葑鈊丶·2020-08-10 00:05

web安全学习笔记之-脚本安全

浏览器安全浏览器很强大但是也不是那么神秘,本质上就是一个客户端或者终端APP。因为实现了一系列标准的协议文件,而拥有了这个特殊的地位。作为一名大公司里专职后台的同学,涉足前端工作较少,我们对浏览器的了解程度、对安全问题的重视还不够。以前了解的一些基本概念如跨域,今天总算知道为啥而来:同源策略浏览器判断同源的根据是:host、子域、端口、协议。这些因素里有一个不同就认为不同源对于js文件引入来说,文
sailtoyouSCU·2020-08-08 21:37

网络安全学习第七篇【DNS部署与安全】

一、DNSDomainnameservice域名服务最早的时候网站访问用的是ip地址,但是非常不方便,很难让人记住,随着时代的发展,域名系统就出来,域名是唯一的,可以把域名绑定到服务器上,就可以代替ip访问了作用:为客户提供域名解析系统二、域名的组成如“www.baidu.com”是一个域名,从严格意义上来说“baidu.com”才被称为域名(全球唯一),而“www”是主机名“主机名.域名”称为完
Xiao=he·2020-08-08 13:24

白帽子讲安全学习笔记(一):世界观安全

第一篇世界观安全第1章我的安全世界观安全三要素:机密性、完整性和可用性1.资产等级划分;2.威胁分析;3.风险分析;4.确认解决方案;威胁分析:风险分析-DREAD模型:白帽子兵法:1.securitybydefault黑名单、白名单原则;最小权限原则;2.纵深防御原则不同方面、不同层面的防御方案;正确的地方做正确的事情;3.数据与代码分离4.不可预测性原则让攻击者不能有效的执行攻击第二篇客户端脚
weixin_30905133·2020-08-08 00:46

白帽子讲安全学习笔记(二):客户端脚本安全

第二篇客户端脚本安全第2章浏览器安全1.同源策略:域划分2.浏览器沙箱:让不可信任的代码运行在沙箱中,以进行隔离;3.恶意网址拦截:公共组织提供黑名单;EV数字证书认证安全的网站;4.高速发展的浏览器安全浏览器设置xss攻击原则,遵循的安全策略,但是浏览器为了用户的人性化使用,设置的匹配规则往往会被黑客利用;第3章跨站脚本攻击(XSS)1.XSS简介XSS指黑客使用HTML注入篡改了页面,插入恶意
weixin_30791095·2020-08-08 00:13

web安全学习笔记之-认证和会话管理-访问控制

密码是验证主人最简单常用的手段网站要避免存密码的明文,CSDN被拖裤后,密码是明文的非常悲剧。密码必须用md5或者sha哈希后存起来,验证密码也是比较哈希值就可以了。md5是不可逆的。但是彩虹表这种穷举法已经用于MD5的破解,但是只要网站在计算哈希的时候简单加一个私密字符串就可以对彩虹表取明文带来难度支付网站除了密码,还用了多中手段去认证:动态口令、数字证书、第三方等。黑客很难取得所有渠道的认证方
sailtoyouSCU·2020-08-08 00:28

web安全学习笔记之-文件上传漏洞

文件上传在web服务里非常普遍上传附件、图片、文本都很多啦。上传文件漏洞指的是上传web脚本且能被web服务器解析上传文件必须能被解释执行且在web容器能执行的路径里服务器如果仅仅根据文件名来判断文件的类型,则很容易利用0截断功能绕过例如xxx.php伪造成xxx.php\0.jpg一般php的文件名处理结果是.jpg除了看后缀还要看数据的head内容是否符合。当然文件头也可以伪造。但是只要执行的
sailtoyouSCU·2020-08-08 00:28

web安全学习笔记-加密算法

加密算法分两类1、分组加密算法DES3-DESIDEAAESBLOWFISH2、流加密算法RC4ORYXSEALhttp://www.cnblogs.com/happyhippy/archive/2006/12/23/601353.html分组加密也分四种模式(ECB、CBC、CFB、OFB)对于这几种模式的区别在于衡量他们在明文攻击、并行计算、误差传递等指标的表现对流密码加密的攻击流密码主要原理
sailtoyouSCU·2020-08-08 00:28

web 安全学习笔记

最近做项目过程中,遇到一些可能会涉及web安全的风险评估拿捏没有很大把握,于是激发了系统性巩固或者补习web安全知识的想法。正好看到《白帽子讲web安全》一书,内容很不错。这里开始做一些零碎的笔记。引言里讲到了php的一些漏洞。如0字节截断漏洞,ngnix文件解析漏洞。但是没有展开讲。正好最近朋友一个linode主机频频成为肉机而被服务商断电。所以特别去google一些。发现一个不错的网站推荐给大
sailtoyouSCU·2020-08-08 00:57

web安全学习笔记之-注入攻击

前面有很多攻击细节都是讲html、浏览器、javascript的这一章节比较偏后端。注入攻击的本质就是用户输入的数据当作代码去执行了。1、用户能够控制输入2、程序要执行的代码拼接了用户的数据sql注入:例如要执行用户输入的查询条件xxxxselect*fromtableawherea=xxxx;但是如果输入的xxxx是恶意的,变成了xxxx;droptabletablea;那么执行代码拼接了用户的
sailtoyouSCU·2020-08-08 00:57

web安全学习

今天老师讲了很多但自己可能很多都没学习过所以很多地方不能理解,所以只能通过做题来了解每个工具及函数的用法,就先把今天学到的先记下。web的基础知识http协议客户端request请求消息内容:大致由请求行、请求头部、空行和请求数据四个部分组成。http请求消息Response服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息;HTTP响应也由四个部分组成,分别是:状态行、消息报头、空
Lstop.·2020-08-08 00:17

web安全学习总结

本博客内容是看看雪论坛上的教程总结而来:Web安全前提:环境安装DVWA下载地址:https://github.com/ethicalhack3r/DVWAPhpstudy下载地址:http://phpstudy.php.cn操作方法:安装好win7的虚拟机,其他操作系统都可以,我安的是windows7,下载phpstudy和DVWA上传到虚拟机中;第一步:运行phpstudy第二步:将下载好的D
ZhangJiangYu666·2020-08-08 00:10

信息安全学习笔记--XSS

一、XSS简介XSS(CrossSiteScripting)是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sameoriginpolicy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界
M448971362·2020-08-07 23:25

web安全学习笔记之-点击劫持

点击劫持原理本质就是利用iframe实现了障眼法这是比CSRF更高级的手法。可以通过一连串的欺骗让用户把需要交互的请求给伪造了。也有人用类似障眼法当作trick去实现正常功能的,印象中QQ邮箱的一个前端分享就介绍过这样的手法实现一个非常规大杀器功能。flash的点击劫持还能实现打开用户电脑的摄像头。图片劫持XSIO,用户输入的html代码里如果允许浮出来,位置如果调整到logo位置,会起到欺骗目的
sailtoyouSCU·2020-08-07 23:35

上海CISA认证考试考前辅导讲座圆满结束

2013年5月26日上午,由上海汇哲信息科技有限公司与国际信息安全学习联盟联合举办的CISA考前辅导在上海完满结束。
aky3156·2020-08-07 12:47

系统***版块整理内容(超详细内容汇总)持续更新

本帖子主要是帮助大家快速找到入门的方法,如果你发现很好的帖子欢迎推荐给我,欢迎各位午饭加入***的学习,我相信技术路上有你不孤单:《提问篇》【系统***版块】提问的智慧《学习篇》1、如何学习如何学习网络安全网络安全学习思维导图
weixin_34268610·2020-08-07 10:22

白帽子讲Web安全学习笔记之客户端脚本安全

#白帽子讲Web安全学习笔记之客户端脚本安全浏览器安全    主要的浏览器的安全功能如下:###1、同源策略    同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,若缺少了则浏览器的正常功能可能都会受到影响
钝之·2020-08-05 18:18

redis安全学习笔记

redis安全学习笔记[toc]文章部分内容首发于xray社区公众号基础https://www.runoob.com/redis/redis-tutorial.html环境:ubuntu安装redis$
郁离歌·2020-08-05 17:01

网络安全学习篇15_扫描与爆破

上一篇博客:简单渗透测试声明此博客为笔记类博客,为简单的扫描爆破,旨在了解原理,不涉及任何非法操作。最新版的WIndows已修复此类漏洞目录扫描爆破破解早版本Windows密码本地漏洞(内存提取密码)利用破解本地暴力(SAM的HASH值密码字典)破解工具NmapHydraGetpass(内存提取密码)Pwdump、saminside(HASH值密码字典)开始一、扫描技术主机探测与端口扫描主机测探是
Linus_xs·2020-08-05 13:50

网络安全学习之我见

原文链接网络安全学习之我见网络安全内涵和外延均很广,目前在我国高校,教育部给出的官方专业名称叫“网络空间安全”,本科和硕士博士专业的名称都统一为此,还有部分叫信息安全、信息对抗的高校,但后面这些名称不是趋势
猫咪钓鱼·2020-08-05 03:27

[网络安全学习篇36]:python 面向对象编程思想

引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客
beglage·2020-08-04 06:54

ctf从零开始学 0x1:Windows下的二进制安全学习路线

本文作者:rkvir(二进制小组组长)转自某推文,链接找不到了。一.什么是二进制安全在很久以前安全圈并没有把安全技术做出一个特别清晰的分类。在大部分人眼里,所谓的黑客,安全研究者指的就是研究渗透入侵一类的技术的从业者,并不知道什么是逆向工程或者说二进制安全。提起逆向工程也许还有人可以联想到软件破解,如果提起的是二进制安全,那么知道的人就真的是寥寥无几了。实际上二进制安全技术在20世纪90年代就已经
__N4c1__·2020-08-03 23:17

web安全学习资源链接

web安全学习路线https://blog.csdn.net/ZmeiXuan/article/details/76680056shell:http://c.biancheng.net/shell/grephttps
luertor·2020-08-02 14:08

一些值得收藏的PowerShell工具

转自http://www.freebuf.com/tools/87647.html本文旨在分享部分PowerShell工具,仅供安全学习,禁止非法利用。
月光轩辕-·2020-08-02 14:12

这都学不好Web安全 你真的太让我失望了

Web安全浅析在探讨Web安全学习之前,首先了解一下什么是Web看到这里,你可能会问:这么多内容都需要学习吗?答案是:可以不用学得很深入,但是如果不了解这些研究对象,是不可能搞好的安全研究的。
合天智汇·2020-08-02 13:18

移动端安全学习资源收集

本人是一个PHP技术人员,平时没有事情网上随便看看,最近对移动端的安全比较感兴趣,于是乎没有事情搜集一些教程或者资源,整理起来,方便自己心血来潮的时候看看,同时也共享出来,方便大家瞅瞅!精彩逛的博客或者网站http://www.freebuf.com/乌云【此上面太广泛了,新手看了之后会眼花缭乱,有的时候找不准自己的目标,不知道专注那一块了,,但是乌云知识库不错http://drops.wooyu
宛十八·2020-07-31 19:53

[网络安全学习篇64]:业务安全

引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客
beglage·2020-07-30 21:54

Java的安全学习(包括加密,数字签名,证书和认证)

(1)消息摘要:消息摘要(MessageDigest)又称为数字摘要(DigitalDigest)。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。如果消息在途中改变了,则接收者通过对收到消息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。消息摘要采用单向Hash函数将需加密的明文"摘要"成一串128bit的密文
风不清云不淡·2020-07-30 17:09

密码学:一文读懂常用加密技术原理及其逻辑与应用方法

一直以来,有很多小伙伴在区块链学习亦或是网络安全学习的过程中,后台私聊我一些关于密码学的问题。
邓大帅·2020-07-30 08:00

web安全学习-------2.sql整数型注入

这是作者遇到的一个题目,当然这个题目也很直白,整数型注入。我们一次填入1,2,3会发现只有1和2有回显,3并没有回显。说明可以查询到的数据有两个。接着我们测试一下数据有几列:测试列数:GET:id=1orderby3#POST:id=1’orderby3#我们可以看到3并没有回显,2的时候正常显示,所以数据一共两列。接下来就是尝试联合查询了,记得把前面的查询数据置空,写成id=0即可,显示正常,说
阿柠xn·2020-07-30 05:04

[网络安全学习篇69]:渗透测试实战-DC-1-靶机入侵

引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客
beglage·2020-07-29 12:47

[网络安全学习篇74]:渗透测试实战-DC-6-靶机入侵

引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客
beglage·2020-07-29 12:47

[网络安全学习篇61]:文件包含

引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客
beglage·2020-07-29 12:46
上一页 13 14 15 16 17 18 19 20 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他