No.1 Jangow01

前排提示:评论区输入“蟹黄堡”即可享受全程几乎无广告沉浸式阅读 =v= 前言 记录vuln靶场扫荡第一天2022.10.28 耶!今天可爱美丽的黄老师帮我解决了靶场网络难题,我爱死她了哈哈 ~ v ~ 通往罗马的路不止一条,解题的方法也各有千秋,大家要学会阅读各个博主的文章吸收精华才能有所提升。 靶机信息 难度:简单 IP:192.168.200.132 提示信息:The secret to this box is enumeration! Inquiries jangow2021@gmail...

一道文件上传漏洞的详细靶场写题流程——适合初学者

注:本章所有知识仅供学习途径,禁止使用学会的知识做违法乱纪的事情(本文百分百为我个人原创,希望审核大大能仔细看一下) 前天在CTFHub上看到了这道文件上传的题,然后今天在老师讲的BUUCTF在线评测上又看到了,所以今晚来做一下这道题,顺便记录一下详细的解题流程    开始解题,首先分析代码 dy.jpg<?phpheader(Content-Type:text/html; charset=utf-8);// 每5分钟会清除一次目录下上传的文件require_once('pclzip.lib.ph...

自学白帽子黑客第三年总结

发布时间:2022-12-01 网络安全 JAVA 源码 网络安全每年总结
不知从何落笔,往年都是10月写,今年想赶在年末写,算作全年总结了。 全篇顺序如下:1.技术2.跑步3.读书4.感情 前两年的总结 自学白帽黑客第一年总结 自学白帽黑客第二年总结 1.技术 可以看到里面有一个模块,是learning-hack,没错,到时候我会疯狂的在里面添加复现的知识,敬请期待。 这一年我去了一次护网,22年护网在7月15日左右开始持续半个月,当然我们8号就去了。前期是给某个公司梳理资产漏洞,客户给一个整个公司资产的ip,我们用内网外网工具一顿扫,然后上报修洞,赶在正式护网前先修一波。...

高效办公必备:不让任何一件事被遗漏,Synology Calendar 同步日历教程

作为办公室的“小忙人” 肯定需要一张能够 跨平台同步提醒的日程表 这样才能不让任何一件事被遗漏 小编最近恰好发现  Calendar 套件 就能轻松实现!  Calendar还可以构建家庭共享日历 提醒家人朋友聚会时间、出游计划 简直不要太好用! 接下来 小编为您演示 怎样轻松实现以上功能 Calendar使用方法 点击需要添加日程的日期,【编辑详情】就能添加完整事件 还能添加定时提醒哦! 但是仅仅依靠 DSM 中的提醒,显然是不够方便和强力,而且如果手头设备众多,安卓主力机+苹...

等级保护(等保)调研

发布时间:2022-12-01 网络安全 安全 调研
目录 什么是等保? 为什么要做等保? 如何成为等保公司? 等保需要做什么? 等保认证流程有哪些? 云上等保合规解决方案 什么是等保?         我的理解:信息系统破坏后,对社会、国家造成的影响等级         百度知道: 等保的解释是什么?_百度知道 按照危害分为以下五级,摘自:信息安全等级保护_百度百科 国家安全 社会秩序 公共利益 公民 法人 其他组织 等保一级 不损害 不损害 不损害 造成损害 造成损害 造成损害 等保二级 不损害 造成损害 造成...

数据链路层(2层 Data Link Layer),交换机

发布时间:2022-11-25 网络安全 网络
数据来源 1、数据链路层属于2层 2、传输单元:帧         帧格式:                 802.3    有线网卡                 802.11  无线网卡,无线路由器都支持802.11 802开头的都是国际标准,是由IEEE国际学术组织制定的标准 3、帧结构的构成:MAC子层(帧头)+上三层数据+FCS(帧尾) 数据帧的形成:5层应用层传出数据如:“Hello”,4层传输层的防火墙封装TCP/UDP头,3层网络层的路由器封装IP包头,2层数据链路层的网卡封装帧头和帧...

[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(一)SQL注入相关面试题

​ 🍬 博主介绍 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞sql注入方向的面试题。...

DHCP部署与安全

发布时间:2022-11-28 网络安全 网络 安全 UDP
数据来源  这篇文章涉及一些IP地址的基础知识,不熟悉的可以先看这一篇--IP地址详解 1、DHCP作用         DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,还需要管理员手动安装并进行必要的配置。 2、DHCP相关的概念         地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP协议端...

惊~买群晖NAS送花式操作系统?这也太值了

越来越多的企业 采用虚拟化技术为企业赋能 当遇到需要使用或体验 不同操作系统的情况 但是又没那么多设备 在一台电脑上装多个系统 也有些浪费空间 Virtual Machine Manager(VMM) 作为群晖 NAS 里虚拟化任务的肩负者 虚拟化一个开发环境还不是小菜一碟? 而且在 VMM 中的操作系统 无论您做什么,都不会影响存储的数据 并且可以用快照回到过去 非常适合大家使用 或者体验不同的系统进行测试 下面让我们看看如何在 VMM 中 虚拟化一个操作系统吧! 硬件配置 首先,你的NAS...

Hack The Box - Faculty 利用sql注入进入后台管理界面,mpdf代码注入漏洞获取ssh登录密码,meta-git远程命令执行漏洞横向提权,gdb附加root进程纵向提权

发布时间:2022-11-27 LINUX GIT 网络安全 SQL HACK THE BOX
Hack The Box-Faculty Hack The Box开始使用流程看这篇 整体思路 1.Nmap扫描 通过nmap扫描结果发现,当前靶机开启了22和80端口 继续进一步扫描已开启端口的详细信息,这里给出80端口会重定向到一个新的域名,我们将这个域名添加到hosts中 2.Sql注入登录 顺利访问网站登录界面,尝试使用万能密码**1’ or 1=1 – -**登录 以Smith, John C身份登入,这个页面比较简单,没有发现什么可利用的地方 3.gobuster网站目录枚举 使...

汽车行业数据存储越发复杂?群晖备份存储方案为您支招

信息化正在逐渐渗透到各行各业的生产应用中,汽车行业也不例外。数据作为数字经济时代新型生产要素,已成为汽车行业数字化转型的核心资产。而保障企业重要数据的安全也就成为了管理者关注的重要问题。 但是,在智能化、数字化大潮下,该企业很难依靠传统的方式对数据进行有效的、高质量的管理,并且如果数据被泄露,企业将可能因此承受巨大的损失。 洞察企业用户的真实需求,本文详细介绍汽车行业的群晖备份存储解决方案,带大家了解如何帮助企业对于用户数据进行集中管理和数据安全保障。 一、客户需求 用户现状 目前已有爱数存储服...

如何零基础学网络安全?

作为一个安全从业人员,我也是从零基础这样过来的 ,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。 但又不想新入行的人走弯路,所以今天随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助! 我先把自己整理的web安全自学路线贴出来,有需要的可以保存一下:    后续还有,太多了,就不放出来了 如果你真的想通过自学的方式入门web安全的话,那建议你看看下面这个学习路线图,具体到每个知识点学多久,怎么学,自学时间共计半年左右,亲测有效(文末有惊喜)...

攻防世界之Web新手练习篇

发布时间:2022-11-29 网络安全
前言: 天行健,君子以自强不息。 地势坤,君子以厚德载物。            ——《周易》 第一次接触CTF比较晚,学期已过近半,第一次做题就是在攻防世界,这里题目适合刚接触的萌新。写此篇博客,以为纪念。 首页 未完待续… View_source 有四种方法: 第一种:下一个火狐浏览器(以后使用BurpSuite,Hackbar等工具也比较方便),按下F12在页面下方就会出现源代码。 第二种:在url前面加上view-source:(双引号内的内容),按下回车即会显示源代码页面。 第三种,按下右...

IP包头分析(IP协议3层网络层协议)

发布时间:2022-11-30 网络安全 网络 网络协议 TCP/IP
数据来源 IP协议的主要特点: IP协议是一种无连接、不可靠的分组传送服务的协议。IP协议是点-点线路的网络层通信协议。IP协议是针对原主机-路由器、路由器-路由器、路由器-目标主机之间的数据传输的点-点线路的网络层通信协议。IP协议屏蔽了网络在数据链路层、物理层协议与实现技术上的差异。通过IP协议,网络层向传输层提供的是统一的IP分组,传输层不需要考虑互联网在数据链路层、物理层协议与实现技术上的差异,IP协议使得异构网络的互联变得容易了。IP包头长度         ip包头的长度在20-60个字节间,...

搭建漏洞环境

1.在Windows系统上安装WAMP WAMP是Windows中Apache,Mysql和PHP的应用环境,操作步骤如下: 在官网下载并解压:DirectX Repair V3.8 (Enhanced Edition)  打开后点击检测并修复: 虚拟机下载这个是需要联网并更新的:    更新完成后:点确定后即可  接下来安装wampserver2.5: next后点我同意相关协议  可以不用选择浏览器,防火墙设置允许访问 安装完成。如果出现Apache或MySQL启动失败,应当先卸载Apach...

教育edusrc证书站点漏洞挖掘

发布时间:2022-12-01 网络安全 安全 WEB安全
前言 以下涉及到的漏洞已提交至edusrc教育行业漏洞报告平台并已修复,该文章仅用于交流学习,切勿利用相关信息非法测试,如有不足之处,欢迎各位大佬指点。 正文 0x00 敏感信息泄漏 访问存在漏洞的站点首页,分析BurpSuite的HTTP历史流量,发现API接口地址。 访问api接口地址首页,发现所有的接口直接列出来了,经过一系列测试,发现updateinfo接口泄漏大量用户敏感信息(姓名、账号、家庭地址、邮箱、手机号、身份证号码)等上万页敏感数据。 0x01 任意密码重置 在重置密码处,先输入自...

(车内网IDS-CAN)读书笔记——Scission

CSDN话题挑战赛第2期 参赛话题:学习笔记 文章题目 Scission:Signal Characteristic-Based Sender Identification and Intrusion Detection in Automotive Networks 汽车网络中基于信号特征的发送者识别和入侵检测 文章大致内容        许多ECU连接在车载网络CAN总线上,但很有可能被损坏入侵,被恶意攻击者用来入侵车内网,利用的是车内网CAN不能对信息的发送者进行身份识别的问题。文章提出的Sc...

edusrc某大学证书的一次漏洞挖掘

发布时间:2022-12-01 网络安全 安全 WEB安全
前言 以下涉及到的漏洞已提交至edusrc教育行业漏洞报告平台并已修复,该文章仅用于交流学习,如有不足之处,欢迎各位大佬指点。 正文 1、通过注册一个测试账号然后登录页面 2、在浏览任意功能页面时,发现cookie疑似base64加密 3、通过base64解密网站发现直接解密乱码 --------------------分割线-------------------- 4、后通过排查10477RT之后 为账户信息,cookie由 用户ID_用户名_用户权限id 组成 5、知道了cookie的构造后,通...

信息安全3——DES加密算法原理以及3DES

发布时间:2022-11-27 安全 信息安全 网络安全
①算法简介 DES(Data-Encryption-Standard)又称为美国数据加密标准。是一种对称加密算法(对称加密就是加密和解密用的是同一个密钥),属于采用密钥加密的块算法。DES算法要将明文和密钥分开进行处理,首先是对明文的处理,明文按64位进行分组,分组后的明文块和密钥通过DES加密后形成一个密文块,所有的密文块拼到一起输出就是密文。DES的密钥长64位,但实际上只有54位密钥参与了DES运算(其中的第8/16/24/32/40/48/56/64位是校验位)。由于DES是对称加密,就要求发送方...

API网关之Nginx作为网关的优势及实战

发布时间:2022-11-27 网关 网络安全 微服务 NGINX 深入JAVA
 基于Nginx的网关的优势: 1 .速度更快、并发更高 单次请求或者高并发请求的环境下,Nginx都会比其他Web服务器响应的速度更快。一方面在正常情况下,单次请求会得到更快的响应,另一方面,在高峰期(如有数以万计的并发请求),Nginx比其他Web服务器更快的响应请求。Nginx之所以有这么高的并发处理能力和这么好的性能原因在于Nginx采用了多进程和I/O多路复用(epoll)的底层实现。 另一个速度快的原因是,它可以使请求链路非常短,Nginx -> 内部服务 比 Nginx -> 微...

群晖存储备份解决方案:有效实现教育行业的数据化管理

现如今,互联网技术的快速发展,教育培训的企业、机构的办公方式和业务流程也发生了巨大变化,大量数据信息的创建、存储、传输,以及共享方式也随之而变。因此,教育领域的数据应用现状依旧存在不少的问题: 各系统各自为政,分开建设,缺少数据统筹; 业务系统积攒大量数据,数据安全难以保障; 各个部门之间的数据交换,耗时耗力; 各系统平台的数据分散,缺乏统一平台进行分析和管理; ...... 根据以上问题,这里以群晖存储备份解决方案为例,详细介绍如何使用群晖NAS助力企业实现对数据的集中管理和数据安全的保...

FRP入门篇

发布时间:2022-11-27 HTTP HTTPS 网络安全 FRP 经验分享
目录 一、前言 1、概述 2、原理 3、支持功能 4、适用场景 二、环境准备 三、使用 1、安装包下载 2、服务端部署 2.1、上传安装包  2.3、启动服务端 3、客户端部署 3.1、代理服务准备 3.2、上传安装包 3.3、客户端配置  3.4、启动客户端 4、功能验证 一、前言 1、概述         frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 2、原理 ...

章节3 配置CentOS

发布时间:2022-11-26 网络安全 CENTOS DOCKER
3.1-什么是虚拟机 什么是虚拟机? Virtual Machine,虚拟软件/平台虚拟出来的操作系统。 虚拟机/物理机 虚拟化技术 虚拟化软件:VMware Workstation、VirtualBox、Virtual PC、Citrix Xen Desktop、Parallels Desktop(MacOS) 虚拟化技术:Xen、OpenVZ、KVM、Hyper-V 虚拟机工作原理 虚拟机使用场景 运行特定版本操作系统隔离物理机,测试用提升资源利用率 Linux 自带的虚拟化技术 Kernel-b...

路由器工作原理

发布时间:2022-11-30 网络安全 网络 前端 服务器
数据来源  一、路由概述 路由         跨域从源主机到目标主机的一个互联网络来转发数据包的过程(如下图:数据从主机A到主机B这一过程中会经过很多路由器,首先会经过主机A自己的路由器(第一个路由器),然后就会出现两条路线(现实可能不止条),到达要走哪条是路由器的路由表决定的,比如路由表说从上面的路线走,那数据就会从第一台交换机到达上面的交换机,这一过程我们就可以说第一台路由器完成了对数据的路由),路由:就是路由器为IP包选择路径的过程。 路由表:路由器的转发数据的依据是路由表,表里面有的就转发,...

全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(一)Tr0ll

开启今天的虚拟机,接下来就是三板斧,先找到目标靶机的IP,然后再用nmap扫描端口,和dirb扫描目录,这两个操作可以同时进行减小时间 通过全端口扫描我们发现目标靶机开放了21,22还有80端口,并且还找到了暴露的robots.txt目录和/secret目录,还有ftb的匿名登录名:Anonymous 根据已有的信息开始攻击,我们直接登录ftb看看能找到什么线索 dir查看当前目录发现有一个叫lol.pcap的文件分析包,将文件下载到本地使用Wireshark打开查看(Wireshark的...

手把手教你创建群晖nas「共享文件夹」,从此告别 U 盘和低效传输

现如今,线上办公已经成为形势所趋,如何高效协作也成了职场人共同追求的目标📁 为了便于线上的文件管理与分发,我们可以在群晖nas上创建共享文件夹。将成员邀请到共享文件夹内,各成员可上传文件到在线文件夹中,同时自定义权限,让线上分享更加安全。 那么群晖nas应该如何创建共享文件夹呢?下面就和小编一起来看看应该怎么操作吧~ 创建共享文件夹的方法 1️⃣创建共享文件夹可以从file station 创建,也可以进入控制面板里面的共享文件夹。 转载来源:绿色软件【Trihawk宇麦科技】手把...

Shamir门限方案的秘钥分享(不要求支持大数)

发布时间:2022-12-01 网络安全 信息安全导论
【实验目的】 1) 通过基于Shamir门限方案的密钥分割及恢复的演示,理解密钥分割的重要性,理解密钥分割的基本原理和作用,掌握基于Shamir门限方案的密钥分割软件的使用 【实验原理】 秘密共享体制为将秘密分给多人掌管提供了可能。例如重要场所的通行、遗嘱的生效等都必须由两人或多人同时参与才能生效,这时都需要将秘密分给多人掌管并同时参与才能恢复。在实际应用中,秘密共享的要求多种多样、形形色色,每一种解决问题的方案都可成为一种体制。1979年,Shamir在提出秘密分享思想的同时,利用拉格朗日插值多项式理论...

computers & security投稿教程

发布时间:2022-11-25 深度学习 网络安全 人工智能
在computers & security上投稿了一篇论文,中间还是遇到一些不太懂的东西,在此记录下来。 1、首先打开官网,链接: https://www.editorialmanager.com/cose/default2.aspx,点击上传一个脚本, 2、不是什么特别的文章就选择Full Length Article 3、需要上传这四个文件,Cover Letter:即是写给编辑的信,发表sci论文需要撰写cover letter(投稿附言),主要是写关于稿件的说明,可以理解为是推荐自己的...

共享链接如何设置更科学?很简单,只需这样操作

在与亲朋好友分享照片时 一张一张的收发照片 不但麻烦 还影响照片的画质 甚至容易暴露隐私 那么如何在保证隐私的前提下 轻松收集来自亲朋好友的照片呢? Synology Photos 1.3.0 中的 照片请求功能 可以帮你轻松搞定! 把Synology Photos套件和 APP 都升级至 1.3.0 后,在【共享】>【照片请求】中创建链接,如下图所示: 网页端 手机端 在使用过程中,有些人会遇到了一些问题:自动生成的链接无法正常访问?今天小编手把手教你搞定DSM中的那些共...

无人机取证——飞行日志分析取证

发布时间:2022-11-26 网络安全 物联网 电子取证 无人机
前言 随着科技发展日新月异,利用无人机犯罪的途径和案例越来越多,无人机除了拍照录像的用途外,亦可能被有心人士用于运送违法物品等不法行为,甚至,若是绑上自制炸弹,刻意飞去冲撞人或车或建筑物,后果难以想象,因此针对无人机电子数据的取证分析显得愈发重要,各大比武也经常出现涉及无人机的题目。 根据行业数据显示:2021年大疆无人机相关产品在全球市场中的占比约为80%。目前大多数涉及无人机犯罪的案例中涉案无人机设备基本上都是大疆品牌,故这里以大疆无人机日志为例进行取证分析研究。 (一)DJI Pilot APP日...

[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(二)XSS注入相关面试题

​ 🍬 博主介绍 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞XSS注入方向的面试题。...

ARP协议map4(3层网络层的协议)

发布时间:2022-11-26 网络安全 网络
数据来源 一、广播与广播域概述 1、广播与广播域         广播:将广播地址做为目标地址的数据帧         广播域:网络中能接收到同一个广播所有节点的集合(广播域越小越好,收到的垃圾广播越少,这样通信效率更高) 下图每个圈都是一个广播域,说明了交换机隔离不了广播域,路由器可以隔离广播域(物理隔离) 2、MAC地址广播         广播地址为:FF-FF-FF-FF-FF-FF 3、IP地址广播         255.255.255.255         广播IP地址为IP地址网段的...

通过SecureCRT打开HCL模拟器命令行

问题:H3C的HCL自带命令行终端窗口(putty)无法自由调整大小。 方法:通过SecureCRT(或Xshell)打开HCL的命令行终端,可以解决HCL自带命令行终端界面大小无法调整的问题。 说明:本文使用HCL v3.0.1、VirtualBox v4.2.4以及SecureCRT v8.5.4。 特别注意:HCL最新版本HCL v5.4.0已支持界面大小手动自由调整,建议使用最新版本。 1. 在HCL中添加交换机S6850,重命名为SW1,启动该设备 2. 在VirtualBox中查看设备SW1...

Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权

发布时间:2022-12-01 网络安全 LINUX # MEDIUM WEB安全
Hack The Box - Meta Hack The Box开始使用流程看这篇 整体思路 1.Nmap扫描 nmap全端口扫描,发现当前靶机只开启了22和80端口 80端口指向域名arptcorp.htb,我们将其写入hosts中 顺利登入arptcorp.htb页面,这个页面没什么可以利用的 我们尝试获取该域名的子域名,顺利得到一个子域名: dev01.artcorp.htb,尝试访问该域名(记得先写入hosts) 2.Exiftool远程代码执行漏洞(RCE)利用 在当前页面得到一个...

常用的渗透测试工具之 Nmap

发布时间:2022-11-28 网络安全 WEB安全攻防学习 WEB安全
Nmap介绍: Nmap是一款开放源代码的网络探测和安全审核工具。它被设计用来快速扫描大型网络,包括主机探测与发现、开放的端口情况、操作系统与应用服务指纹、WAF识别及常见安全漏洞。它的图形化界面是Zenmap,分布式框架为Dnmap。 Nmap的主要特点如下所示: 主机探测: 探测网络上的主机,如列出相应tcp和ICMP请求、ICMP请求、开放特别端口的主机; 端口扫描: 探测目标主机所开放的端口; 版本检测: 探测目标主机的网络服务,判断其服务名称及版本号。 系统检测:探测目标主机的操作系统及网络设备...

基于飞书组织架构和用户信息同步构建本地LDAP服务

目前飞书社交办公应用成为公司日常沟通办公的协作工具,以及作为各种流程的审批处理系统,HR 也会在飞书上去管理所有员工的状态及组织架构。 随着公司内新部署的业务系统越来越多,例如Jenkins、JIRA、Gitlab、Confluence、禅道等,有些应用系统是自建的用户体系,需要单独手动维护;有些应用系统使用的是LDAP账号体系,无法进行统一认证。每次有人员入职、离职或者调岗,都需要手动对本地系统进行维护,非常繁琐、低效。 如果能基于飞书的人员组织架构同步搭建LDAP目录服务,为应用...

群晖监控备份方案,为金融企业信息安全保驾护航

视频监控作为一种重要的安防手段已经有很长的发展历史,在一些重要单位和场合,监控摄像头所拍摄的视频数据有着非常重要的作用。为了更充分的使用这些重要视频数据,使用单位需要对视频录像数据长期保存,以备后查。 伴随着摄像机的精度越来越高,所产生的视频数据文件成倍增加。但是目前由于存储设备的空间有限,同时硬盘存储没有任何数据保护机制,一旦硬盘损坏数据将无法恢复,这样则失去了监控本身的意义。因此,此次通过群晖备份的解决方案增加了系统数据的安全性,同时也降低了数据存储的成本。 一、客户需求 用户现状 目前10台...

数字赋能、医疗智变——群晖备份存储方案,守护医疗数据“生命线”

随着我国医疗信息化建设的加快,数据量爆发式的增长,医疗行业的领域已迎来了自己的“大数据时代”,但是大数据所带来的安全问题成为了医疗行业新的难题。数据对于企业的重要性不言而喻,一旦数据库服务器出现突发性的故障,恢复时间难以掌握,造成的损失难以计算。 备份作为数据安全保护的唯一有效手段。只有进行了数据备份,才能够在意外发生时快速恢复系统和数据,将损失降低到最小。所以为了确保关键数据和关键业务的在意外发生后可以快速恢复,以及紧跟我国医疗信息化的典型需求,为此构建了群晖数据容灾备份解决方案,帮助企业快速构建安...

利用HACKRF进行射频信号重放攻击

射频信号重放攻击 本篇文章介绍了射频的基础知识还有目前汽车钥匙的现状,并简介了如何利用HACKRF进行射频信号重放攻击 射频基础知识 无线射频遥控器编码特点 目前市场主要有固定码、学习码、滚动码的遥控器,简单分析一下各自的特点: 固定码: ​又叫焊码、硬件码,需要用电烙铁来改变地址。代表IC:编码PT2262(用在遥控器端);解码PT2272(用在主机端)。4位按钮的地址编码组合为:3的8次方(6561)。安全度很不高,易被复制。 学习码: 安全度相对较高,100万组编码大大降低使用上编码重复的机率; 加...

JWT详解(包含多种针对JWT的攻击)

发布时间:2022-11-29 网络安全 JAVA WEB安全
JSON Web Token 知识点 概念 ​ JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种独立的方式,作为JSON对象在各方之间安全地传输信息。此信息可以被验证,因为它是经过数字签名的。JWT可以使用HMAC算法或使用RSA的公钥/私钥对进行签名。 JWT的作用场景 身份验证 这是使用JWT的典型场景,一旦用户登录,每个后续请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用JWT的一个特性,因为它的开销很小,并且能够在不同域...

【网络安全】——sql注入之奇淫巧技bypass(持续更新中)

发布时间:2022-11-26 网络安全 安全 WEB安全
作者名:Demo不是emo  主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:网络安全,数据结构 每日emo:想把世上所有的情话都说给你听 SQL注入bypass一直是个技术活,技巧也非常多,但有些技巧不是一直都好用的,所以写下这篇博客来记录我自己认为的平时比较好用的bypass技巧,都是经过了实战渗透检测的,目前内容较少,会实时更新,建议收藏  目...

Java反序列化之CommonsCollections(CC1)分析篇

发布时间:2022-11-29 网络安全 JAVA WEB安全 JAVA代码审计
前言       本文包括:Java反序列化之CommonsCollections篇(CC1)的一些过程分析。 一、过程分析    1.入口点—危险方法InvokerTransformer.transform()      1)入口点是Transformer类,Transformer类是Commons Collections中自定义的一组功能类。Transformer类的功能就是接收一个对象然后调用transform方法,对这个对象做一些操作。      2)可以看看这个transformer的...

Pcap包的包头与负载解析,制作数据集

最近在做有关网络流的项目,需要替换数据集,使用自己的网络流数据集,但发现网上的并不是那么全面,因此在这里综合了几个博客并加了自己的思路做了个小总结。 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数...

2022第三届全国大学生网络安全精英赛练习题(8)

发布时间:2022-12-04 网络 网络安全 安全 NISP一级 WEB安全
全国大学生网络安全精英赛 2022第三届全国大学生网络安全精英赛练习题(8) 701、从安全角度来看,使用下列哪种方式接入互联网使用银行APP进行转账安全性最高() A.星巴克的WIFI B.自己的手机5G网络 C.机场的免费WIFI D.以上都对 正确答案:B 解析:不要随意连接公共网络,更不要连接后操作网银和微信转账等功能 702、网络环境的安全也是windows移动办公的安全威胁之一,下列哪种接入互联网的安全分险是最小的() A.使用咖啡厅的免费WIFI B.使用名为CMCC的免费W...

【春秋云境】 CVE-2022-24663复现

发布时间:2022-12-01 网络安全 安全 靶场 开发语言 PHP
靶标介绍: 远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令  打开地址进入场景 发现是个wp的后台。链接拼接上wp-admin 进入后台 爆破得到账号密码为test test  提示任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码 这里指的是任意PHP代码并且是任意位置 随便找...

6款免费网络延迟测试工具

发布时间:2022-11-26 网络安全 网络 学习 测试工具
6款免费网络延迟测试工具 作为网络管理员或网络工程师,时刻关注网络的交付速度至关重要。不仅需要确保自己有良好的响应时间,还需要确保网络的速度足以满足用户通信所需的每一条路径。而手动测试每个路径将占用你所有的时间。所以需要获得一个测试工具,以确保延迟不会影响网络的性能。 01 什么是延迟 延迟是网络流量的速度指标。可接受的传输时间根据使用的应用而变化。视频播放和交互式VoIP呼叫需要比电子邮件传送更快的速度。因此,需要根据你为用户提供的服务计算出网络流量所需的速度。 02 测量延迟 延迟以毫秒(ms)为单位...

一文读懂,什么是DDoS攻击

发布时间:2022-11-26 网络 网络安全 学习 安全 DDOS
要说这几年崩的最多的不是我的心理健康,而是各个省市的健康码,这不昨天又有一个省市的健康码崩了。 图源微博,侵删 至于为什么崩,还是老一套,流量过大,登录困难。 图源微博,侵删 究竟是什么原因咱们不掺和,今天咱们来聊一聊“流量过载”这件事儿。 在网络安全领域,也有一种因“流量过载”导致网站崩溃,从而无法打开网页的情况。 它就是DDos攻击。 以下内容源自嵌入式微服务器,侵删 DDOS 简介 DDOS 又称为分布式拒绝服务,全称是 Distributed Denial of Service。DDOS...

第二届网络安全、人工智能与数字经济国际学术会议(CSAIDE 2023)

发布时间:2022-12-01 金融 网络安全 人工智能 安全 系统安全
大会信息 大会官网:www.csaide.net 大会时间:2023年3月3-5日 大会地点:中国-南京 一轮截稿:2022年12月28日 收录检索:EI Compendex,Scopus 大会简介 第二届网络安全、人工智能与数字经济国际学术会议(CSAIDE 2023)将于2023年3月3-5日在中国南京召开。会议将围绕“网络安全、人工智能和数字经济”展开研讨,旨在为世界各地该领域的专家、学者、研究人员及相关从业人员提供一个共享科研成果和前沿技术,了解学术发展趋势,拓宽研究思路,加强学术研究和...

kali渗透之DC-1

准备kali(192.168.61.132)和DC-1(未知) kali与DC-1都使用NAT连接 DC-1靶机 下载地址: 链接:https://pan.baidu.com/s/1DQalyjzWWZI-TS0-ZILNRQ?pwd=55yy 提取码:55yy 使用kali扫描同网段主机 nmap 192.168.61.0/24    可以看到DC-1的IP地址为192.168.61.133,端口号为80端口。我们在网站上进行80端口访问 图中可以看到, 管理系统是由Drupal组成,且可以对它进行...

等保2.0自查表(管理部分)

发布时间:2022-11-25 网络安全 网络 运维
等保2.0自查表,管理部分,参考标准: GB∕T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 GB∕T 28448-2019 《信息安全技术网络安全等级保护测评要求》 等保2.0自查表管理部分 范围 控制点 检查项 三级要求 二级要求 安全管理制度 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。 应核查网络...