攻防第3页

某通用引发供应链的思考

某通用单位系：xxx奕科技公司产品如下：资产还不少，记住这个容器服务平台等下还要考，以及这个事务中心可强行接管统一熟悉的Caas平台，又是熟悉的老朋友云计算最近比较流行云上攻防，见的比较多的还是ak、sk

zkzq·2024-02-04 22:33

为啥网络安全缺口这么大，还是这么缺网络安全工程师？

原因主要为这三点:首先是学校的原因，很多学校网络安全课程用的还都是十年前的老教材，教学脱离社会需求，实操技能主要靠自学，所以真正学好网络攻防技术的人其实不多。

IT猫仔·2024-02-04 20:41

《云原生安全攻防》-- 容器安全风险分析

在本节课程中，我们将提供一个全面的视角，来深入探讨容器环境下的安全风险，帮忙大家建立起容器环境下安全风险的整体认知。在这个课程中，我们将学习以下内容：容器技术概述：什么是容器技术以及它解决了什么问题。探索容器架构：深入了解容器、镜像、镜像仓库等核心概念。安全风险分析：逐层分析容器架构，识别各层面可能存在的安全风险。容器将集装箱思想引入到软件交付中，通过这种方式，来解决本地运行环境与生产运行环境不一

Bypass--·2024-02-04 11:32

第六十一天服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere

第61天服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere知识点：中间件及框架列表：lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos

清歌secure·2024-02-04 06:29

对云函数隐藏C2技术的防御反制思路

声明出品|先知社区(ID:Jw5t）以下内容，来自先知社区的Jw5t作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任

长白山攻防实验室·2024-02-03 19:22

CSRF攻防

早在2018年就了解CSRF，偶然间注意到项目的VerifyCsrfToken中间件，心血来潮，于是就写了这篇文章。简介CSRF(跨站请求伪造）,或称之为XSRF,是一种网络安全漏洞，黑客借用（不一定是盗用）受害者在已经登录过的网站上存留的会话凭证，作为通行证，借用受害者的身份实施的攻击行为。CSRF特点：属于攻击方式隐蔽，非硬扛目标服务器。身份伪造，危害性大。难以排查，因为请求都是合法请求。与X

小松聊PHP进阶·2024-02-03 15:18

最强的“矛“ 验关键的“盾“ | “铸网-2023“ 赛宁数字孪生靶场深度验证湖南工业互联网安全

为深入推动“智赋万企”数字安全屏障工程，由工业和信息化部网络安全管理局指导，湖南省工信厅和湖南省通管局主办的“铸网—2023”湖南省工业互联网企业网络安全实战攻防演练，于近日圆满收官。

Cyberpeace·2024-02-03 13:28

网络攻防模拟与城市安全演练 | 图扑数字孪生

在数字化浪潮的推动下，网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。

图扑软件·2024-02-03 10:24

c#的反汇编对抗

文章目录前记nim攻防基础FFI内存加载加解密、编码后记C#类型转换表nim基础前记随便编写一个c#调用winapi并用vs生成dll,同时用csc生成exeusingSystem;usingSystem.Runtime.InteropServices

coleak·2024-02-03 09:23

WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架

1、XSS跨站-攻击利用-凭据盗取2、XSS跨站-攻击利用-数据提交3、XSS跨站-攻击利用-网络钓鱼4、XSS跨站-攻击利用-溯源综合漏洞原理：接受输入数据，输出显示数据后解析执行基础类型：反射(非持续)，存储(持续)，DOM-BASE拓展类型：jquery，mxss，uxss，pdfxss，flashxss，上传xss等常用标签事件及绕过总结：https://www.freebuf.com/a

SuperherRo·2024-02-03 09:22

day38WEB攻防-通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号

本章知识点：1、XSS跨站-过滤绕过-便签&语句&符号等2、XSS跨站-修复方案-CSP&函数&http_only等配套资源（百度网盘）链接：https://pan.baidu.com/s/12mLsvmU22dxueyAG0aqUhw?pwd=6oa3提取码：6oa3XSS绕过-CTFSHOW-316到331关卡绕过WPxss绕过总结：https://xz.aliyun.com/t/406731

aozhan001·2024-02-03 09:19

网络安全全栈培训笔记（60-服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish）

第60天服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish知识点：中间件及框架列表：lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos

清歌secure·2024-02-03 07:32

CTF-WEB的知识体系

攻防赛模式:要求找到其他队伍的薄弱环节进行攻击，同时对自己的靶机环境进行加固防守。战争分享模式:由参赛队伍相互出题挑战。竞赛内容1.WEB:网络攻防

Ryongao·2024-02-02 17:47

银行内生安全框架下的攻防实践与探索

文章目录前言一、赋能内生安全防护机制（一）攻防专业团队建设需要立足于研发安全赋能。（二）攻防专业团队建设也需要赋能业务与数据安全。

岛屿旅人·2024-02-02 12:27

《云原生安全攻防》-- 云原生安全概述

从本节课程开始，我们将正式踏上云原生安全的学习之旅。在深入探讨云原生安全的相关概念之前，让我们先对云原生有一个全面的认识。什么是云原生呢?云原生（CloudNative）是一个组合词，我们把它拆分为云和原生两个词来看。“云”表示应用程序运行于分布式云环境中，而“原生”则强调应用程序在设计之初就充分考虑到了云平台的弹性和分布式特性。随着云原生技术的飞速前进，容器化和微服务架构已成为现代应用开发的标准

Bypass--·2024-02-02 09:44

网络信息安全攻防学习平台注入关第九

据说哈希后的密码是不能产生注入的代码审计题，进入直接看F12在这里我们可以找到重点if($row!=null){echo"Flag:".$flag;}$strsql="select*from`user`whereuserid=".intval($_GET['userid'])."andpassword='".md5($_GET['pwd'],true)."'";这一段代码，对传入的userid使用

沙雕带你蒿羊毛·2024-02-02 02:50

服务攻防-端口协议&桌面应用&QQ&WPS等RCE&hydra口令猜解&未授权检测

知识点：1、端口协议-弱口令&未授权&攻击方式等2、桌面应用-社交类&文档类&工具类等章节点：1、目标判断-端口扫描&组合判断&信息来源2、安全问题-配置不当&CVE漏洞&弱口令爆破3、复现对象-数据库&中间件&开发框架&应用协议常见语言开发框架：PHP：ThinkphpLaravelYIICodeIgniterCakePHPZend等JAVA：SpringMyBatisHibernateStru

SuperherRo·2024-02-02 01:40

APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

知识点1、APP资产-抓包突破&反模拟器2、APP资产-抓包突破&反证书检验3、APP资产-抓包突破&反代理VPN章节点：1、APP资产-内在提取&外在抓包2、APP逆向-反编译&删验证&重打包3、APP安全-存储&服务&组件&注册等专题点：FridaXposedHOOKr0capture(资产证书提取，删除验证，配置泄漏等)反模拟器调试绕过，反代理VPN绕过，反证书检验绕过，多层代理抓包，通杀等

SuperherRo·2024-02-02 01:39

day37WEB攻防-通用漏洞&XSS&跨站&权限维持&钓鱼捆绑&浏览器漏洞

目录XSS-后台植入Cookie&表单劫持（权限维持）案例演示XSS-Flash钓鱼配合MSF捆绑上线1、生成后门2、下载官方文件-保证安装正常3、压缩捆绑文件-解压提取运行4、MSF配置监听状态5、诱使受害者访问URL-语言要适当XSS-浏览器网马配合MSF访问上线1、配置MSF生成URL2、诱使受害者访问URL-语言要适当本章知识点：1、XSS跨站-另类攻击手法分类2、XSS跨站-权限维持&钓

aozhan001·2024-02-01 21:52

day36WEB攻防-通用漏洞&XSS 跨站&MXSS&UXSS&FlashXSS&PDFXSS

本章知识点不是很重要，涉及到的漏洞也不是常见的，所以没有过多的阐述。配套资源（百度网盘）链接：https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg提取码：nlsgMXSS突变型XSS漏洞MXSS参考链接：https://www.fooying.com/the-art-of-xss-1-introduction/UXSS-Edge&CVE-

aozhan001·2024-02-01 18:23

复盘｜攻防实战中面对“谍影重重”，如何出奇制胜？

与此同时，在网络世界中的攻防对抗热度有增无减，甚至连最顶级的安全团队一不小心也会中招。

腾讯安全·2024-02-01 16:05

8868体育携手意甲到进攻都尤文图斯俱乐部进攻防守全面提升！

意甲联赛尤文图斯俱乐部是8868体育合作球队之一。到了2024年，尤文图斯就像是换了一支球队一样，他们不像以前那样和对手打得难解难分，他们只是一味地防守，偶尔抢到一两个进球就继续防守，而是积极的进攻，勇于掌控全局，敢于在前场展现自己的想法和合作。尽管这些年轻人的脚步还很生疏，到了最后一次传球的时候，他们的表现并不是很好，但是他们想要更好的配合，这一点还是很明显的。在这样的情况下，尤文在意大利杯取得

问界前讯·2024-02-01 14:33

今天很难，明天更苦

以京东为代表的数十家互联网企业不同程度的裁员，包括又有一批互联网小弟企业闪亮登场试图霸占舞台中央，华为5G网络即将从局部实验阶段进入到改变人类生活的节奏……花无百日红，没钱难任性其中舆论最关注的，就是互联网圈里的“996攻防战

读力赢·2024-02-01 10:06

意甲：红狼欲折紫百合

03:45费伦天拿费伦天拿今季亦非没有甜蜜时期，但在经历了9月底至10月初的联赛三连胜之后，紫百合状态急转直下，10月底至今的9轮联赛中，他们的成绩为1胜3和5负，期间均场得失球比为0.89比1.56，攻防两端有所失衡

东方足球·2024-02-01 08:54

41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

文章目录XXE原理&探针&利用XXE读取文件XXE带外测试XXE实体引用XXE挖掘XXE修复参考资料：CTFXXEXXE原理&探针&利用XXE用到的重点知识是XML，XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE(XMLExternalEntityInjectio

PT_silver·2024-02-01 06:47

重生奇迹MU 骑装选择攻略--剑士

剑士作为唯一一个攻防兼备的近战职业，战士大部分时间需要承担团队的坦克职责，因此我们需要尽可量的提升自己的血量以及防御属性，这样才能在面对敌人和大量野怪时保护好我方的后排目标，并且保证自己能够在猛烈的攻击下支撑更长的时间

重生奇迹·2024-02-01 00:49

信息安全考证攻略

2️⃣CISP-PTE：国家注册渗透测试工程师，专注于渗透测试和网络安全攻防的专业认证。✨国际认证证书1️⃣CISSP：国际注册信息安全

IT课程顾问·2024-01-31 20:41

CISAW和CISP-PTE证书选择指南

不过，CISP-PTE更专注于渗透测试和网络安全攻防，而CISAW涉及的范围更广，包括网络安全、系统安全、应用安全等多个方面

IT课程顾问·2024-01-31 20:37

HACKTHEBOX通关笔记——Cronos（退役）

开启环境，调试网络确保互联互通拿到IP之后还是先来做一下端口扫描，nmap--rate-min=5000-p--vip，也可以加个-Pn做下禁ping扫描，当然这个速率很快，实际攻防时候加了pn参数也是容易被发现的

AttackSatelliteLab·2024-01-31 16:51

工作调整

所以，我今后的工作方向，可能从现在的业务对接和风控策略制定转向安全攻防。最近参加的信息安全工程师培训以及安卓课程的学习，与这一方向也是契合的。

早起Boy蔡一凡·2024-01-31 15:16

网络安全全栈培训笔记（59-服务攻防-中间件安全&CVE复现&lS&Apache&Tomcata&Nginx）

第59天服务攻防-中间件安全&CVE复现&lS&Apache&Tomcata&Nginx知识点：中间件及框架列表：lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos

清歌secure·2024-01-31 07:25

39、WEB攻防——通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

文章目录CSRFCSRF原理CSRF安全问题黑盒怎么判断SSRFSSRF原理SSRF黑盒可能出现的地方有SSRF，可以做什么事儿？SSRF漏洞挖掘CSRFCSRF原理测试CSRF漏洞的工具：CSRFTesterCSRFTester设置代理，会抓取新建管理员时向服务器发送的数据包，然后用抓取的数据包构造HTML页面。注意发送注册信息的形式（表单？IMG？）CSRF利用流程：获取目标的触发数据包；利用

PT_silver·2024-01-31 06:17

40、WEB攻防——通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数

文章目录CSRFSSRF审计思路CSRF如何对CSRF进行测试？尝试添加管理员为例抓取添加管理员的用户名和密码的数据包，形成html文件，并放到公网服务器上。登录后台的状态下访问刚刚那个文件，CSRF攻击完成。CSRF绕过：针对来源检测，可以：（1）伪造referer，需要在html代码数据包文件中固定http-referer；（2）尝试在网站任何可上传地方，上传数据包文件，取得当前同域名访问地址

PT_silver·2024-01-31 06:46

今天的巴特勒简直乔丹附体

巴特勒，攻防一体，上半场打出了完美表现，独得21分，率先做好了表率，给队友们表表

Faith_520·2024-01-31 03:41

网络安全战略中的法律问题

各国网络安全的法律需求陡增二、战争的多维化使对法律的需求也越加多样（一）从平时到战时，网络斗争的平战模糊性增加法律适用难度（二）从高维到低维，博弈的多维性使法律需求层次更加丰富（三）从防御到进攻，网络空间的攻防不均衡改变法律斗争重点三

岛屿旅人·2024-01-30 18:37

西方网络安全人才培养的挑战及对策

（四）注重通过实践锻炼进一步提升网络攻防实战能力。二、网络安全人才面临的形势与挑战（一）网络安全人员数量无法满足需求。（二）网络安全专家人才储备面临巨大挑战。（三）网络安全人才招募政策缺乏吸引力。

岛屿旅人·2024-01-30 18:03

什么是DDOS流量攻击，DDoS防护安全方案

在网络安全上，德迅云安全多年积累DDOS攻防经验，今天就来简单讲解下什么是DDOS流量攻击，以及有哪些DDoS防护安全方案。一、什么是D

德迅云安全杨德俊·2024-01-30 15:39

小迪安全24WEB 攻防-通用漏洞&SQL 注入&MYSQL 跨库&ACCESS 偏移

#知识点：1、脚本代码与数据库前置知识2、Access数据库注入-简易&偏移3、MYSQL数据库注入-简易&权限跨库#前置知识：-SQL注入漏洞产生原理分析-SQL注入漏洞危害利用分析-脚本代码与数据库操作流程-数据库名，表名，列名，数据-数据库类型，数据库用户，用户权限SQL：数据的操作——SQL注入；产生在数据库上的注入SQL注入：传参id变量，通过$sql变量来进行指定的sql数据库查询，从

yiqiqukanhaiba·2024-01-30 10:52

【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记（WEB攻防35-40-XSS、CSRF、SSRF）

第35天WEB攻防-通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持知识点：1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS

清歌secure·2024-01-30 07:23

day35WEB 攻防-通用漏洞&XSS 跨站&反射&存储&DOM&Beef-XSS

目录一，XSS跨站-原理&分类&手法&探针1、原理2、分类3、危害二，反射型XSS1，案例演示三，存储型XSS1，案例演示四，DOM型XSS五，XSS利用环境-XSS平台&Beef-XSS项目1，Beef-xss项目搭建配套资源（百度网盘）链接：https://pan.baidu.com/s/1wOYESzaCTz93D2Q-0W6MKg?pwd=4vx9提取码：4vx9本章知识点：1、XSS跨站

aozhan001·2024-01-30 07:13

【misc | CTF】攻防世界 pure_color

天命：也是图片隐写，这次更简单了，一看就有flag了将图片放入StegSolve工具里向左切换隐写就出现flag了有点小无聊

星盾网安·2024-01-29 08:33

【misc | CTF】攻防世界心仪的公司

天命：垃圾题一个，也可以说是经验题，脑洞题打印文件先导入进winhex，然后ctrl+f搜索字符串：flag然后发现有些是貌似flag的东西，但他并不是你再搜索：fl4g你就会发现这玩意是flag吐血

星盾网安·2024-01-29 08:03

【misc | CTF】攻防世界 2017_Dating_in_Singapore

天命：这次终于碰到了算是真正的misc题目了下载附件，打开是PDF，我一开始以为是flag隐写在PDF里面了虽然也不奇怪，应该是可以的，毕竟PDF有xss漏洞也是可以的言归正传，打开PDF看着新加坡的日历，我陷入了沉思，一脸懵逼开始分析题目给的提示，一开始我还以为是密码学进来了后来才发现是我想太多了01081522291516170310172431-050607132027262728-0102

星盾网安·2024-01-29 08:02

服务攻防-开发组件安全&Jackson&FastJson各版本&XStream&CVE环境复现

知识点1、J2EE-组件Jackson-本地demo&CVE（数据处理）2、J2EE-组件FastJson-本地demo&CVE（数据处理）3、J2EE-组件XStream-本地demo&CVE（数据处理）章节点：1、目标判断-端口扫描&组合判断&信息来源2、安全问题-配置不当&CVE漏洞&弱口令爆破3、复现对象-数据库&中间件&开发框架&应用协议常见语言开发框架：PHP：ThinkphpLara

SuperherRo·2024-01-29 08:35

攻防世界——Mysterious

运行就是一个要你输入的题型，这种题我们要么得到password，要么直接不管这个得到flagint__stdcallsub_401090(HWNDhWnd,inta2,inta3,inta4){intv4;//eaxcharSource[260];//[esp+50h][ebp-310h]BYREF_BYTEText[257];//[esp+154h][ebp-20Ch]BYREF__int16v

_Nickname·2024-01-29 05:18

攻防世界——dmd-50

名字就告诉了我们这道题是md5加密MD5加密就是把你给的任意长字符串转换为一个128位（16字节）的字符串，常用语数字签名虚拟机跑了一下，看得出来是第一类，需要找到key或者直接拿std::allocator::~allocator(&v38);if(*(_WORD*)v41==14391&&*(_BYTE*)(v41+2)==48&&*(_BYTE*)(v41+3)==52&&*(_BYTE*)

_Nickname·2024-01-29 05:48

在kali中进行bp字典爆破——攻防世界weak_auth结尾附带常用bp字典

它主要用来拦截并修改浏览器/手机APP等客户端的HTTP/HTTPS数据包第三步：打开代理的浏览器进入题目环境，注意在这一步不要打开拦截然后我们打开攻防世界找到题目weak_auth开启题目场景进来后就是这个界面我们随便输入一个

日暮风悲·2024-01-29 04:55

网络安全方面关于渗透可以选择那些书？_渗透测试书籍

《黑客攻防技术宝典：渗透测试实战》：本书介绍了渗透测试的基本概念、技术和方法，包括信息收集、漏洞扫描、漏洞利用、后渗透等方面的

程序员七海·2024-01-28 20:59

攻防演练篇 | 企业安全运营之攻防演练——以攻促防

**为了保护企业的信息安全，攻防演练已经成为企业安全运营中不可或缺的一部分。

web安全学习资源库·2024-01-28 20:59

攻防演练和渗透测试信息收集手法

简介在组织行攻防演练和渗透测试时，信息收集起着至关重要的角色。信息收集全与否直接影响着我们对目标的掌握，收集更多的信息对于入侵寻找入口至关重要。信息收集的质量会严重的影响打点的效率。

securitysun·2024-01-28 20:28

推荐频道

攻防