CTF(Capture The Flag,夺旗赛)包含 Web 网络攻防 、 RE 逆向工程 、 Pwn 二进制漏洞利用 、 Crypto 密码攻击 、 Mobile 移动安全 以及 Misc 安全杂项 这六个类别。 入门博客:CTF WiKi 入门书籍:从0到1:CTFer成长之路 ...
分类:
其他好文 时间:
2020-12-22 12:14:52
阅读次数:
0
漏洞挖掘之SSRF漏洞 SSRF 漏洞原理 SSRF(Server-Side Request Forgery,服务器端请求伪造)。是?种利用服务端发起请求的?个安全漏洞。?般情况下,SSRF攻击的?标是从外网?法访问的内部系统。SSRF 形成的原因?都是由于服务端提供了从其他服务器应用获取数据的功能 ...
分类:
其他好文 时间:
2020-12-21 12:07:50
阅读次数:
0
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算 ...
分类:
其他好文 时间:
2020-12-19 13:22:16
阅读次数:
10
一.了解用法1.了解(session,cookie)tokenToken的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。token 是在服务端产生的一串字符串,以作客户端 ...
分类:
其他好文 时间:
2020-12-19 13:13:39
阅读次数:
2
简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs ...
分类:
其他好文 时间:
2020-12-15 12:09:06
阅读次数:
3
什么是CSRF? 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的 ...
分类:
其他好文 时间:
2020-12-15 11:50:00
阅读次数:
1
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docke ...
分类:
其他好文 时间:
2020-12-11 12:41:04
阅读次数:
25
网络安全之访问控制列表ACL详解和配置案例(全)ACL概述ACL的主要使用场景:ACL的分类1.基本ACL2.高级ACLACL的配置1.创建基本ACL2.创建高级ACLACL配置实例(路由器)1.基本ACL配置示例2.高级ACL配置示例13.高级ACL配置示例2ACL配置示例(交换机)ACL概述ACL(AccessControlList,访问控制列表)是由一系列permit或deny语句组成的、有
分类:
其他好文 时间:
2020-12-11 12:04:08
阅读次数:
3
1.安装防火墙 apt-get install ufw 2. 查看防火墙规则 ufw status 3.开启防火墙 sudo ufw enable 4.关闭防火墙 sudo ufw disable 5.重启防火墙 sudo ufw reload 6.开启指定tcp端口 allow/deny 22/t ...
分类:
其他好文 时间:
2020-12-09 11:51:17
阅读次数:
4
CSRF概念 CSRF 跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息, ...
分类:
其他好文 时间:
2020-12-09 11:50:54
阅读次数:
3
