1.web攻防

1006.Web安全攻防靶场之WebGoat – 2

概述由于上一篇文章Web安全攻防靶场之WebGoat-1过长,这里分开写后面内容使用Cross-SiteScripting(XSS)跨站脚本攻击,跨站脚本分为三类1.ReflectedXSSInjection
weixin_30896511·2023-11-08 02:11

Web安全攻防靶场之WebGoat - 2

文章目录概述使用Cross-SiteScripting(XSS)CrossSiteScriptingStage2Stage7Stage10Stage11Stage13AccessControlFlawsInsecureDirectObjectReferencesStage2Stage3Stage4Stage5MissingFunctionLevelAccessControlStage2Stage3
DarkN0te·2023-11-08 02:09

Python爬虫教程,从入门到成神

requests库抓取网站数据1.如何安装requests库四、爬虫的基本原理五、使用GET方式抓取数据六、使用POST方式抓取数据七、使用BeautifulSoup解析网页八、清洗和组织数据九、爬虫攻防战关于
python零基础入门小白·2023-11-07 22:24

APP攻防--签名&&组件&&权限

前言上文说到了反编译的方式,这期就深入到APP内部,即客户端安全。安装包签名在Android操作系统中,每个应用程序(APP)安装包(APK)都必须经过数字签名,以确保应用的完整性和来源验证。apksignerapksigner是Android-SDK里面的一个工具,SDK的安装方式大家可自行搜索。apksigner可以检测安装包的签名。命令:.\apksigner.batverify-v--pr
芝士土包鼠·2023-11-07 11:50

re学习笔记(77)攻防世界 - mobile区 - app1

推荐肉丝r0ysue课程(包含安卓逆向与js逆向):Jeb载入读取versionName(版本号)和versionCode(内部版本号)然后相异或得到flag直接查看BuildConfig类或者Jeb动调,ctrl+b下断点adbshellamstart-D-n[packagename]/[Activityname]然后jeb调试,开始,附加相应apk写脚本得到flag为ens="Xemulato
Forgo7ten·2023-11-07 11:46

APP攻防--ADB基础

进入app包先使用adbdevices查看链接状态手机连接成功的adbshell获取到手机的一个shell此时想进入app包时没有权限的,APP包一般在data/data/下。没有执行权限,如图Permissiondenied权限被拒绝此时需要手机root,root后输入·suroot然后命令就能执行了找到要测试的APP包,cd进去查看文件下的权限,如果有x权限那么久是危险的。常见的adb命令连接
芝士土包鼠·2023-11-07 11:14

浅谈云上攻防——Kubelet访问控制机制与提权方法研究

本文翻译整理自:https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/背景近些年针对kubernetes的攻击呈现愈演愈烈之势,一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器,尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由uni
云鼎实验室·2023-11-06 16:09

攻防】Kubelet访问控制机制与提权方法研究

背景近些年针对kubernetes的攻击呈现愈演愈烈之势,一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器,尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码,组织
IT老涵·2023-11-06 16:36

AI反网络诈骗白皮书发布:一场人工智能与电信网络诈骗结合的攻防

人工智能,也就是ArtificialIntelligence,简称AI,目前在电信网络诈骗中应用广泛,黑鸟听闻过的,比如通过输入一段语音,从而学习该语音主人的声音,从而实行诈骗。此外,还有AI换脸,从而进行视频诈骗等等。而解铃仍需系铃人,要对抗这种利用AI进行诈骗的高级诈骗团伙,还需要AI进行反诈骗,而近日,一份来自中国信息通信研究院安全研究所的《电信网络诈骗治理与人工智能应用白皮书》发布,对展开
blackorbird·2023-11-06 15:10

自适应安全:知己重于知彼

——《孙子・虚实篇》在网络安全的攻防对抗中,攻击者往往占据主动地位,攻击者可以选择有利时机,采用各种技术或社交欺骗战术,掩盖自己的攻击行为、过程和目标,做到瞒天过海,攻其不备;而防守者则想方设法完善自己的防护体系
HolonetSecurity·2023-11-06 12:44

蓝海之战

两国大洋交战,互有攻防,航母舰队各有损伤。
子腾岁岁念·2023-11-06 12:17

[Java面试三]JavaWeb基础知识总结.

[Java面试三]JavaWeb基础知识总结.1.web服务器与HTTP协议Web服务器lWEB,在英语中web即表示网页的意思,它用于表示Internet主机上供外界访问的资源。
迪 迦·2023-11-06 04:13

常见Web安全技术总结!474页Web安全从入门到精通(附PDF)

为了帮助大家入门网安,给大家推荐一份《新手Web安全入门到精通》,共474页,包括代码审计、web漏洞、靶场实例分析、信息收集、渗透思路等,将Web安全攻防知识点一网打尽。
程序员小芽·2023-11-06 02:07

JavaWeb 第一章 HTML&CSS

以及每部分技术在当前体系中的作用了解书城项目的构成掌握HTML的简介和入门掌握文本相关标签的使用掌握超链接标签的使用掌握div和span标签的使用掌握图片标签的使用掌握表格标签的使用掌握表单标签的使用简单了解CSS了解CSS的功能了解CSS的添加方式1.
札克_zk·2023-11-06 02:58

JavaWeb之HTML&CSS

知识回顾:JavaWeb之Java基础知识增强JavaWeb之JDBCJavaWeb之数据库连接池文章目录1.web概念概述1.1软件架构:1.2B/S架构详解1.3静态资源:2.HTML2.1概念:是最基础的网页开发语言
达少~·2023-11-06 02:58

WebGoat-8.2.2版靶机学习总结

该平台涉及的训练项目有http代理、数据库注入、身份校验缺陷、XSS、访问控制缺陷、通信拦截、序列化问题、CSRF、问题组件等内容,帮助学习者学习网络攻防基础,培养网络安全意识。
我的内心只有学习·2023-11-06 00:52

常见Web安全技术总结!474页Web安全从入门到精通(附PDF)

为了帮助大家入门网安,给大家推荐一份《新手Web安全入门到精通》,共474页,包括代码审计、web漏洞、靶场实例分析、信息收集、渗透思路等,将Web安全攻防知识点一网打尽。
Python栈机·2023-11-05 23:07

最简单的 Django 教程

一、Django简介1.web框架介绍具体介绍Django之前,必须先介绍WEB框架等概念。web框架:别人已经设定好的一个web网站模板,你学习它的规则,然后“填空”或“修改”成你自己需要的样子。
Python数据之道·2023-11-05 05:50

云安全-攻防视角下如何看待堡垒机

0x00堡垒机简介堡垒机是种网络安全设备,用于保护和管理企业内部网络与外部网络之间的访问。它作为一种中间节点,提供安全的访问控制和审计功能,用于保护内部网络免受未经授权的访问和攻击。堡垒机通常被用作跳板服务器,即堡垒机来管理和访问其他内部服务器。具有身份鉴别、帐号管理、权限控制、安全审计,身份访问控制等功能,堡垒机一般部署在内网,作为内网它所管控所有主机的安全审计系统平台,一般不会在外部网络暴露w
告白热·2023-11-05 05:53

vulnhub DC-1

vulnhub是目前比较常见的实战演练靶场,个人感觉它更侧重于后渗透的攻防演练,今天的这篇文章就是简单的介绍一下这个靶场DC系列的第一个的大概渗透流程,其中的找flag文件可能会因为我环境的问题导致出现一些错误
小白一枚多多关注·2023-11-05 04:27

篮球使人快乐

我方首发:王悦康c张文琪pf戴袁军sf徐秋晨sg我pg战术方针:防守23联防和半场人盯人进攻防守反击前锋两翼速下,后卫和中锋抢到篮板长传前场,半场阵地中锋高位挡拆后位果断出手,锋线积极篮板球。
七七啊七七·2023-11-04 19:27

JavaEE平台技术——预备知识(Web、Sevlet、Tomcat)

JavaEE平台技术——预备知识(Web、Sevlet、Tomcat)1.Web基础知识2.Servlet3.Tomcat并发原理1.Web基础知识上个CSDN我们讲的是JavaEE的这个渊源,实际上讲了两个小时的历史课
_Matthew·2023-11-04 18:15

详解web攻防之XSS,CSRF,SQL注入

摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEBTOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。关键字:SQL注入,XSS,CSRF1.SQL注入所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或
cbw100·2023-11-04 13:29

016英超 埃弗顿vs西汉姆联

在这四连败之中,只打进2球丢9球,攻防两端都很有问题,经过国际比赛周的休整后,球队期待反弹。即使打BIG6也丝毫不虚,上赛季就曾拿下过曼联、阿森纳和切尔西,逼平利物浦,此番能否重拾主场勇锐值得关注。
八分足球·2023-11-04 11:42

Web服务

目录1.Web服务简介1.1.常见Web服务程序介绍:1.2.服务器主机1.3.主要数据1.4.浏览器.1.5.网址及HTTP简介1.5.1.URL1.5.2.http请求方法:1.5.3.HTTP协议请求的工作流程
暗隐之光·2023-11-04 10:50

B站黑马程序员pink老师前端课程学习笔记_01 HTML5

1.Web标准:标准说明结构结构用于对网页元素进行整理和分类,现阶段主要为HTML表现表现用于设置网页元素的版式、颜色、大小等外观样式,主要指CSS行为行为是指网页模型的定义及交互的编写,现阶段主要为JavascriptWeb
长城上的守夜人·2023-11-04 08:13

NBA巨人身材多夸张?姚明让犀牛像大狗,奥尼尔吃鸡腿像剔牙

他们在场上凭借出色身高,让自己攻防两端打得更游刃有余,在篮球世界里,真的是“一寸高,一寸强”。再加上NBA球员,大多数都是天赋异禀,他们的身材看上去更是夸张。就这体格,只能是让普通人叹为观止。
八一也·2023-11-04 07:05

原理:不要追着球跑!

大家都知道不管是打篮球还是踢足球,都不能傻傻地追着球来跑,应该专注自己所安排的位置来进行攻防,而这个位置往往就是你所擅长的。
windtony·2023-11-04 05:30

攻防演练 | RASP让WebShell 破防了

WebShell是一种通过浏览器来进行交互的Shell,而且是黑客通常使用的一种恶意脚本,通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络,然后安装WebShell,攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒,危害极大。而且,WebShell隐蔽性极强,传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的WebShell类型以及RASP如何对其进行防御
xsharkrasp·2023-11-03 17:57

攻防演练-一次内网渗透

一次内网渗透文章目录一次内网渗透webshellgetshell/提权总结webshell访问某网站,该网站利用的是FineCMSv5系统建站,创建一个新的用户进行测试。通过建站系统存在的漏洞进行webshell,利用FineCMSv5的文件上传漏洞,获取官网系统的Webshell。参考链接:https://blog.csdn.net/dfdhxb995397/article/details/10
炫彩@之星·2023-11-03 17:23

红蓝对抗中的近源渗透

不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。
扶苏゜·2023-11-03 16:07

xctf攻防世界 CRYPTO高手进阶区 cr4-poor-rsa

0x01.进入环境,下载附件题目给出的一个压缩包,解压压缩包后,发现是一个无后缀文件,放入kali中查看:0x02.问题分析0x02_1.得到套娃文件修改文件的后缀为.tar,并进行压缩,得到两个文件:0x02_2.拿到公钥信息fromCrypto.PublicKeyimportRSAwithopen('pic/key.pub','rb')asfile:f=file.read()pub=RSA.i
l8947943·2023-11-03 11:14

攻防世界 Crypto cr4-poor-rsa

题目来源:alexctf-20170x00下载附件1、补全后缀名修改文件后缀名为.tar2、解压文件解压缩,得到base64编码的flag文件flag.b64和RSA的公钥key.pubflag.b64:Ni45iH4UnXSttNuf0Oy80+G5J7tm8sBJuDNN7qfTIdEKJow4siF2cpSbP/qIWDjSi+w=key.pub:-----BEGINPUBLICKEY---
ChaoYue_miku·2023-11-03 11:39

海中的大象

海象身体粗壮,雄的体长可达3米,头圆,无耳壳,嘴短而阔:上犬齿突出口外,形成獠牙,宛如象牙,可以用来挖掘食物和进攻防守敌人,海象四肢成鳍状,后肢能弯向前方。借用在冰块和陆地上行动。
流星梦幻·2023-11-03 10:35

框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现

文章目录服务攻防-框架安全&CVE复现&ApacheShiro&ApacheSolr漏洞复现中间件列表常见开发框架ApacheShiro-组件框架安全暴露的安全问题漏洞复现ApacheShiro认证绕过漏洞
rumilc·2023-11-03 06:10

爬虫知多少-(NodeJS 爬虫)

爬虫知多少-(NodeJS爬虫)一、爬虫简介二、爬虫的运作方式三、抓取策略(1)深度优先搜索(2)广度优先搜索四、爬虫攻防之爬虫与反爬虫1、校验用户户请求的Headers反爬虫策略:对Headers的User-Agent
南方有乔木·2023-11-03 04:45

关于Goby反制上线CS中的各种问题

最近有观察到有关于某些蜜罐出现了Goby反制的指纹,顿时就起了兴趣进行研究Goby的反制,期间也遇到了很多网上没有答案的坑点,这里把遇到的问题和关键点给师傅们列举出来,希望师傅们能了解到反制的整个流程,在攻防中也不要被反制哈哈哈哈
蚁景网络安全·2023-11-03 03:13

JavaEE--Tomcat&Servlet

内容1.web相关概念回顾2.web服务器软件:Tomcat3.Servlet入门学习web相关概念回顾1.软件架构1.C/S:客户端/服务器端2.B/S:浏览器/服务器端2.资源分类1.静态资源:所有用户访问后
FloriztW·2023-11-03 03:55

【漏洞复现-Tomacat-文件上传】vulfocus/tomcat-cve_2017_12615

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)·2023-11-02 22:18

【漏洞复现-druid-任意文件读取】vulfocus/druid-cve_2021_36749

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)·2023-11-02 22:18

智慧城市建设中 网络安全攻防战如何打赢?

智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生活等方方面面,一旦出现信息泄露、数据丢失等安全问题,后果将不堪设想。因此,智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中,信息安全作为重要一环,在进行整体规划和顶层设计之时,并未被忽视,各省市的智慧城市规划设计大多都建立了完善的体系系统,在信息安全方面也都有比较完善的规划设计。配合当地文化与市民需
weixin_34112181·2023-11-02 21:24

APP攻防--安卓逆向&数据修改&逻辑修改&视图修改

APP攻防–安卓逆向&数据修改&逻辑修改&视图修改目录标题APP攻防--安卓逆向&数据修改&逻辑修改&视图修改工具集apk目录意义逆向数据修改逆向逻辑修改逆向视图修改某小说升级vip某兔去除广告某壁纸升级
SuperMan529·2023-11-02 13:21

APP攻防--反模拟器&反代理&反证书&真机逃逸&XP框架&Frida技术

APP攻防–反模拟器&反代理&反证书&真机逃逸&XP框架&Frida技术目录标题APP攻防--反模拟器&反代理&反证书&真机逃逸&XP框架&Frida技术APP抓包技术反模拟器检测绕过反代理检测绕过反证书检测绕过
SuperMan529·2023-11-02 13:21

【愚公系列】2022年03月 攻防世界-简单题-MOBILE-004(app3)

前言1.ab文件在对安卓手机进行取证时,经常需要备份手机的应用程序数据,备份后得到的数据文件为ab格式。虽然大部分的取证软件都可以对ab文件进行分析,但是,有时候你可能需要解析ab文件的文件系统,然后对应用程序数据进行手动分析。ab文件一般分两种,一种是没有加密,这种文件前面有24字节的文件头,文件头包含none标志,文件头之后就是数据;一种是加密的备份文件,它的文件头就比较复杂了,文件头包含AE
Jinmindong·2023-11-02 13:49

CTF - 攻防世界 - mobile新手 - app3

下载android-backup-tookit:https://sourceforge.net/projects/adbextractor/files/latest/download执行下面的命令转换ab文件为jar文件:java-jarabe.jarunpackapp3.abapp3.jarjar包解压后base.apk,Demo.db,Encryto.db三个文件,盲猜应该与数据库,解密相关。
Sally__Zhang·2023-11-02 13:18

攻防世界-android-app-100

第一次逆向APK,只知道jeb这种东西,直接JEB反编译吧,还好学过了java,能看懂一点。v0是获取我们输入的字符串。v1,v2两个应该是那两个函数的返回值,但是这两个函数是空的,也不知道咋办。往下看,v0=a.d+v1。v1不知道,a.d为114366然后对最终v0进行md5加密。那两个函数不知道,肯定解不出来,然后学习大佬的writeup吧。从代码中可知,加载了一个库,而且两个函数都是nat
S1lenc3·2023-11-02 13:47

攻防世界-wp-MOBILE-新手区-2-app3

题目附件:399649a0e89b46309dd5ae78ff96917a.ab题目思路:通过android-backup-extractor将.ab文件转换为.tar文件,然后将apk反编译,找到密钥加密函数进行逆向解密分析,获取到密钥后,使用sqlitebrowser打开加密数据库,解密base64数据即可。解题过程:.ab后缀名的文件是Android系统的备份文件格式,它分为加密和未加密两种
Scorpio-m7·2023-11-02 13:47

APP攻防

信息收集APP-外在抓包-Fd&茶杯&BurpAPP-外在封包-封包监听工具APP-内在提取-AppInfoScannerAPP-内在搜索-反编译载入IDEAAPP-资源提取-安装包&资源文件APP-框架使用-Xposed&JustTrustMefiddler1、安装证书然后设置-WLAN-高级设置-安装证书-安装FidderRoot.cer即可使用。2、设置app系统代理3、设置fiddler代
小晨_WEB·2023-11-02 13:16

APP攻防第六十七天-Frida反证书抓包

APP攻防-Frida反证书抓包&移动安全系统&资产提取&评估扫描#知识点:1、资产提取-AppinfoScanner2、评估框架-MobSF&mobexler3、抓包利器-Frida&r0capture
xiaopeisec·2023-11-02 13:44

APP攻防--安卓反编译

首先APP攻防是要学会反编译的,大概有如下几种方式。dex2jardex2jar是一个安卓反编译的工具,可以吧.dex文件转换成.jar文件,可以帮助我们分析具体的代码。
芝士土包鼠·2023-11-02 13:13
上一页 12 13 14 15 16 17 18 19 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他