白帽子黑客攻防

关于cookie的一点总结

最近在看道哥的《白帽子讲web安全》,关于CSRF中的cookie读取部分闹不明白:问题cookie分为临时cookie(书里称为session-cookie)和本地cookie(书里称为the-third-cookie
Spring_Bear·2023-12-19 01:34

渗透测试之学会高效信息收集!!!

零基础学黑客搜索公众号:白帽子左一简述几乎每一个学习渗透的安全人员,都会被告知,信息收集是渗透测试的本质,那事实果真如此嘛?答案是,是的!
白帽子左一·2023-12-16 18:50

月度小结|十月度总结

天才程序员》,关于黑客攻防与AI建模的科技竞技真人秀,热血满满,比得上《海贼王》。读了10本书,不过有两本是绘本。我好久没读完长篇小说了,读
别跑梅洛斯·2023-12-15 18:47

The Big IAM Challenge 云安全 CTF 挑战赛

TheBigIAMChallenge云安全CTF挑战赛今天,我们来做一下有关于云安全的CTF挑战赛TheBigIAMChallenge,旨在让白帽子识别和利用IAM错误配置,并从现实场景中学习,从而更好的认识和了解
千负·2023-12-04 11:12

DDOS攻击为何永不过时?

文章目录一、DOS二、DDOS三、如何防范DDOS1.可以过滤IP地址2.增加设备3.在骨干节点配置防火墙4.开启过滤5.配置DNS抗攻击6.白帽团队四、白帽子为什么二十年前中国红客们就在用的DDOS攻击直到现在还依然是黑客们最爱的攻击方法
程序员刘皇叔·2023-12-04 10:31

五分钟带你看完黑客设备

在这个技术时代进行黑客攻击实际上比敲开共享单车更容易,大部分的所谓白帽子攻击停留在信息系统交互式攻击,使用所谓的软件工具、漏洞和设计缺陷来实现攻击行为。
程序猿~厾罗·2023-12-04 00:14

白帽子讲web安全-文件上传漏洞

概述要完成这个攻击,要满足几个条件,首先,上传的文件能够被web容器解析执行,其次用户能够从web上访问这个文件,最后,用户上传的文件若被安全检查,格式化,图片压缩等功能改变了内容,则也有可能导致攻击不成功。比如绕过文件上传检查功能,检查后缀中,在文件名后添加一个%00字节,则可以截断某些函数对文件名的判断。(%00广泛用于字符串处理函数的保留字符)检查前头时,为了绕过类似的MIMESniff的功
北邮小菜鸡·2023-12-03 01:47

平行思维法的工具:六顶思考帽

平行思维法的工具:六顶思考帽红帽子、蓝帽子、黑帽子、黄帽子、白帽子、绿帽子,不同颜色代表不同的思维方式绿帽子:负责控制局面,总结陈述得出方案(指挥官)白帽子:负责陈述问题事实(理性和数据)绿帽子:负责提出解决问题的建议
沃坤·2023-11-30 11:00

CVE-2016-1897/8 - FFMpeg漏洞分析

这一两天在乌云@Noxxx首先发了两个大厂商的FFmpeg的漏洞,然后也被其他白帽子陆续提交漏洞。
weixin_33782386·2023-11-30 10:49

红队攻防实战之钉钉RCE

拥有快速学习能力的白帽子,是不能有短板的,有的只能是大量的标准板和几块长板。知识⾯,决定看到的攻击⾯有多⼴;知识链,决定发动的杀伤链有多深。
各家兴·2023-11-30 02:26

如何成为一名黑客?小白必学的12个基本步骤

黑客攻防是一个极具魅力的技术领域,但成为一名黑客毫无疑问也并不容易。你必须拥有对新技术的好奇心和积极的学习态度,具备很深的计算机系统、编程语言和操作系统知识,并乐意不断地去学习和进步。
耿直学编程·2023-11-28 23:22

成为黑客的6个路线

黑客攻防是一个极具魅力的技术领域,但成为一名黑客毫无疑问也并不容易。你必须拥有对新技术的好奇心和积极的学习态度,具备很深的计算机系统、编程语言和操作系统知识,并乐意不断地去学习和进步。
白帽小k·2023-11-28 23:52

如何入门黑客?黑客入门书籍推荐?

黑客攻防实战入门》看书名就知
IT界颜值巅峰彭于晏·2023-11-28 13:48

0基础如何入门黑客学习?(附黑客学习资料)

说到黑客大家可能觉得很神秘,其实我们说的的黑客是白帽子黑客,就是去寻找网站、系统、软件等漏洞并帮助厂商修复的人,刚入门的黑客大部分从事渗透工作,而渗透大部分属于Web安全方向,就是利用漏洞来取得一些数据或达到控制
程序学到昏·2023-11-28 13:44

最详细的系统漏洞扫描并对靶机进行利用攻击演练(模拟一次黑客白帽子操作)

万万不可做坏事,仅为学习参考使用。一、前提准备1、所需条件:(1)kali2.0linux的iso文件(最好是32位,为安装nessus做好装备)下载网址:https://www.kali.org/downloads/安装步骤请自行百度搜索,基础中的基础(2)VMware虚拟机,也可以用其他的虚拟机软件,如vmbox(免费的)单个人感觉不如VMware好用VMwawre下载网址:https://w
Ctrl精·2023-11-27 16:16

【赠书】白帽子讲Web安全(第2版)

1白帽子安全观11.1Web安全简史11.1.1黑客技术发展历程11.1.2Web安全的兴起41.2黑帽子,白帽子51.3返璞归真,揭秘安全的本质61.4破除迷信,没有银弹91.5安全三要素101.6如何实施安全评估
riusksk·2023-11-27 10:05

花式“孝服”

作为“孝子和贤媳”,我和老公要头戴赘有麻线的白帽子,麻线上需要打上7个结;穿上白大褂(本来按规定是需要用白色棉纱布做的,现在图省事,到医院借医生的白大褂代替);腰上系一条稻草编织的粗大的绳子,草绳必须从头上套到腰上
发光的萤火虫ZSH·2023-11-27 04:48

国际大巴扎(乌鲁木齐)

来这里之前,新疆给我的印象是土黄色的戈壁滩和挤在一起的土房子,还有从电视里看到的大眼睛的姑娘和带着白帽子的帅小伙,无论什么时候都在庆祝丰收,瓜果飘香,令人垂涎欲滴。
小小小小飞飞飞·2023-11-27 01:08

基于3个操作系统的靶场,从零开始做安全渗透工程师

通过三天的强化学习,把平时学习的技术串联起来,最终达到提升渗透能力的目的主题安全渗透岗在业内叫法也称“白帽子黑客”。
kali_Ma·2023-11-26 06:56

白帽子讲web安全-访问控制

whoami权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在网络中:为了保护网络资源的安全,一般都是通过路由设备或者防火墙建立基于IP的访问控制。在操作系统:对文件的访问,采用访问控制列表。在web应用中:有基于URL的访问控制,基于方法的访问控制,基于数据的访问控制。垂直权限管理(基于角色的访问控制,包含URL和方法)访问控制实际
北邮小菜鸡·2023-11-26 03:23

白帽子讲web安全》

第十四章PHP安全文件包含漏洞是“代码注入”的一种。“代码注入”这种攻击,其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行。“代码注入”的典型代表就是文件包含(FileInclusion)。文件包含可能会出现在JSP、PHP、ASP等语言中常见的导致文件包含的函数如下。PHP:include(),include_once(),require(),require_once(),fopen(
测试开发-东方不败之鸭梨·2023-11-25 13:47

白帽子讲web安全-注入攻击

前言一个安全设计原则:数据与代码分离原则。他就是专门为了解决注入攻击而产生的。注入攻击的本质,是把用户输入的数据当做代码执行,有两个关键条件:第一个是用户能够控制输入,第二个是原本程序要执行的代码,拼接了用户输入的数据。SQL注入拼接过程很重要,正因此才导致了代码的注入。在SQL注入的过程中,如果网站的web服务器开启了错误回显,则会为攻击者提供极大地便利。1盲注回显关闭后,攻击者必须找到一个方法
北邮小菜鸡·2023-11-25 05:19

[web安全]黑客攻防技术宝典-浏览器实战篇--钓鱼攻击

钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。主要形式:1.电子邮件钓鱼群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。2.网站钓鱼在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件,短信,电话啊。3.鱼叉式钓鱼经常也需要使用一个欺骗性的网站,但诱饵针对一小群目标受众。4.鲸钓目标为
你就像只铁甲小宝·2023-11-24 07:03

命令执行漏洞 java_白帽子挖洞—命令执行(Commnd Execution)篇

0x00介绍命令执行漏洞概念:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。漏洞成因:脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调
江东的铁壁·2023-11-23 00:08

【应急响应】windows入侵排查思路

海峡信息白帽子id:Bypass当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,
FLy_鹏程万里·2023-11-20 15:44

绝对干货!src漏洞挖掘经验分享

src漏洞挖掘经验分享–掌控安全以恒一、公益src公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。
是叶十三·2023-11-20 13:01

黑客们是如何进行SRC挖洞挖掘的?

一、公益src公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。
程序学到昏·2023-11-20 13:16

一种思维方式让会议流程更科学-沟通力

知识要点:平行思维法的工具:六顶思考帽1、蓝帽子:总结陈述,得出方案2、红帽子:对各种方法进行直觉判断3、白帽子:陈述问题事实4、黄帽子:评估建议的优点5、黑帽子:评估建议的缺点6、绿帽子:提出解决问题的建议它最大的优点是不仅仅在于决策更快
沧海一叶轻舟·2023-11-19 18:10

白帽子讲web安全笔记——XSS(二)

XSS构造技巧利用字符编码由于采用GBK/GB2312编码%c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查。绕过长度限制假设下面的代码存在一个漏洞那下面的XSS构造就会失效">alert(/xss/)重新构造利用攻击时间来缩短所需要的字节数"onclick=alert(1)//但是利用时间缩短的字节数是有限的,最好的办法是把XSSPayload写到别处
奶茶里的红豆·2023-11-16 21:45

白帽子讲web安全笔记

黑客精神:分享,自由,免费安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。安全问题:本质是信任问题。安全过程:安全是一个持续的过程,这个过程中没有银弹。安全要素:完整性可用性机密性(可审计性不可抵赖性)安全评估:资产登记划分威胁分析风险分析确认解决方案资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过
weixin_34097242·2023-11-16 21:44

白帽子讲web安全 笔记(一)

第一章我的安全世界观漏洞利用代码英文“exploit”(开发;剥削;利用),通过exploit实现网络攻击获取root权限是最常见的攻击模式。早期互联网中,Web并非主流应用,相对而言,基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大多数用户。早期系统软件对黑客的吸引力远大于web,防火墙、ALC(访问控制列表)等技术的兴起改变了互联网安全格局,运营商、防火墙对网络的封锁使暴露在互联网上
秋水木华·2023-11-16 21:14

白帽子讲web安全》读书笔记

安全世界观安全的本质是信任问题。安全是一个持续的过程,不可能一劳永逸。安全三要素:机密性,完整性,可用性实施安全评估:资产等级划分,威胁分析(微软STRIDE模型),风险分析(DREAD),确认解决方案。互联网安全的核心问题是数据安全问题设计安全方案SecureByDefault原则黑白名单最小权限原则纵深防御原则数据与代码分离原则(适用于由于注入引发的安全场景)不可预测性原则浏览器安全同源策略浏
人间且慢行呀·2023-11-16 21:43

白帽子讲Web安全》学习笔记

一、为何要了解Web安全最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道CleanCode的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Goo
网络安全负总裁·2023-11-16 21:12

白帽子讲web安全》学习笔记——web安全概述

一、安全的三要素1、机密性机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。2、完整性完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。3、可用性可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要
雖千萬里,吾往矣·2023-11-16 21:42

白帽子讲web安全》笔记

第八章文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力文件上传后导致的常见安全问题一般有:❍上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行;❍上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似方式控制策略文件的情况类似);❍上传文件是病毒、木马
测试开发-东方不败之鸭梨·2023-11-16 21:11

白帽黑客一般一个月收入多少?

而正经的黑客大部分都会选择上班当个白帽子,比如像我这种就是专门给企业做保护,工资平均都是五位数,比我阅历高的基本年入几十张不是问题。而其实白帽黑客的收入还远不止这些,先不说
黑客学长-刘备·2023-11-16 09:56

黑客攻防学习笔记 入门篇

从零开始认识黑客:Internet在发展的过程中,安全问题愈加突出,有一类人他们即可能会维护Internet安全,也可能破坏其安全,这类人就是黑客。本章我们的关键词是:黑客,IP地址,端口,系统进程,黑客常用的DOS命令。1.Hacker一词,是带有正面的意义的,是一类技术很好的专业技术人员,而骇客则是利用计算机技术恶意破坏、搞入侵的人。他们的本质都是闯入计算机系统/软件的人,只是我们还是要基本分
学分·2023-11-14 12:48

自学(黑客)必看的五本书--网络安全

一、白帽子讲web安全作者是阿里云任职的吴翰清,曾带领的团队帮助阿里云抵御上亿次的黑客攻击,文章内容主要是以解决工作中遇见的安全问题为主,具有很强的实操性,是作者将自己长期积累的经验编写而成,是网络安全工程师必读的一本书
由思不是程序媛·2023-11-08 21:50

高效率开发Web安全扫描器之路(一)

CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬我想成为大佬要怎么做我一直觉得自己是一个有梦想的人
汤青松·2023-11-07 23:02

网安学习路线

一、基础阶段中华人民共和国网络安全法网络安全行业介绍什么是黑客和白帽子网络安全课程整体介绍网络安全的分类常见的网站攻击方式安全常见术语介绍《网络安全法》制定背景和核心内容《全国人大常委会关于维护互联网安全的决定
qq_45877696·2023-11-06 20:49

生成式人工智能:网络攻击者手中的破坏性力量

当谈到道德黑客或白帽子时,许多人已经承认依靠人工智能来自动化任务、分析数
网络研究院·2023-11-05 06:51

从“小白”到“白帽子黑客”的实用指南

当黑客很酷吗?早先,我也是半个黑客,经常在学校的教务系统看妹子。通过URL注入的方式,可以轻松进入别人的个人信息页。后来,又通过某种方式发现了管理员的账号,管理员又没有修改默认密码,于是就登录了管理员后台。这件事,我就偷偷地说到了这,不能让我们家花仲马知道。后来,我更关注于构建更强壮的Web应用,而不是关注在安全领域上。因为我觉得创造是一件更开心的事。然而Web安全,对于一个Web从业人员来说,仍
网络安全大菠萝·2023-11-04 19:53

你真的会学习网络安全吗?

于是最近我把网络安全的攻守技术做了整理,结合我自己11年来的经验,写成这篇文章,从入门到进阶的该学哪些东西,我都会讲清楚,这应该是全网最新最全的白帽子黑客技术了。按
黑客学长-刘备·2023-11-01 11:56

成为黑客,从Google Search入门

想成为一个黑客,首先第一步你得学会针对目标进行信息收集,这里说的黑客指的是从事安全防护白帽子人员,而非进行以破坏为目的的黑帽子。
Donglin_zhao·2023-10-31 16:30

一次不完全成功的SQL手工盲注

更多渗透技能公众号:白帽子左一作者:掌控安全-jasonjhu摘要baidu资产搜索关键词:“news.asp?
zkzq·2023-10-31 13:06

从sql注入到getshell (内附sqlmap的os-shell遇到中文路径的解决办法)

`搜索公众号:白帽子左一,每天更新技术干货!
zkzq·2023-10-31 13:06

实战审计cms之CSRF——CSRF+Xss+Flash钓鱼

更多渗透技能欢迎搜索公众号:白帽子左一作者:掌控安全-holic前言CSRF感觉似乎很不值钱的样子,我前几天审计出了3个后台存储xss+csrf然后cnvd跟我说不收csrf和后台存储xss,自此后台我从不找
zkzq·2023-10-31 13:06

实战| 某家政系统存在注入

更多黑客技能公众号:白帽子左一作者:掌控安全-yangroupaomo某家政云系统post注入(万能密码)打开后台http://www.······.com/worker.php直接输入1’or1=1—
zkzq·2023-10-31 13:36

kali史上最简单的安装及优化2020版(永久实用)

0x2kali的镜像介绍和选择0x3kali的下载方法0x4虚拟机的推荐0x5kali的的安装0x6kali使用前的优化0x1kali的前世今生KaliLinux是基于Debian的Linux发行版,是黑客或白帽子再或者是从事安全行业的工作人员的必备神器
小白泽_·2023-10-31 09:32

《思维深度》读书笔记(6)

图片发自App这是我参加勇气读书会打卡第6天;今天我阅读的内容是:《深度思维》一书中第二章:【换位思维】的第三节——“六顶思考帽”图片发自App“白帽子,蓝帽子,红帽子,绿帽子,黄帽子,黑帽子”——“六顶思考帽
孙敏贵州·2023-10-30 01:31
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他