- 嗯,首先你要先了解网络安全行业是做什么的。是ctf吗?一个个帅得跟枪伍佰一样,轻敲几个码就能轻松拿下旗。还是像十大黑客之一的米特尼克一样,在他想要逃跑的时候闯入北美防空指挥系统”的电脑主机,控制当地的电脑系统,让他知道所有关于跟踪他的信息?网络信息安全工程师实际上是指按照信息安全管理体系和标准工作,防止黑客入侵,并对其进行分析和防范,设置防火墙、防病毒、IDS、PKI、攻防技术等。开展安全系... 嗯,首先你要先了解网络安全行业是做什么的。是ctf吗?一个个帅得跟枪伍佰一样,轻敲几个码就能轻松拿下旗。还是像十大黑客之一的米特尼克一样,在他想要逃跑的时候闯入北美防空指挥系统”的电脑主机,控制当地的电脑系统,让他知道所有关于跟踪他的信息?网络信息安全工程师实际上是指按照信息安全管理体系和标准工作,防止黑客入侵,并对其进行分析和防范,设置防火墙、防病毒、IDS、PKI、攻防技术等。开展安全系...
- 服务器信息收集在渗透攻击过程中,对目标服务器的信息收集是非常重要的一步,服务器上面可以运行大量的系统服务和第三方应用服务,如果操作系统或者第三方教件没有及时升级打补丁,攻击者就有可能直接通过服务器上运行的服务进行攻击,因为服务器的错误配置或者不安全的访问控制,导致通过服务器漏洞进行攻击的案例墨见不鲜,如果数据库可以直接对外连接并且存在数据库弱口令,攻击者就可以直接通过数据库的弱口令漏洞对数据... 服务器信息收集在渗透攻击过程中,对目标服务器的信息收集是非常重要的一步,服务器上面可以运行大量的系统服务和第三方应用服务,如果操作系统或者第三方教件没有及时升级打补丁,攻击者就有可能直接通过服务器上运行的服务进行攻击,因为服务器的错误配置或者不安全的访问控制,导致通过服务器漏洞进行攻击的案例墨见不鲜,如果数据库可以直接对外连接并且存在数据库弱口令,攻击者就可以直接通过数据库的弱口令漏洞对数据...
- 我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(XXE)漏洞、反序列化漏洞、解析漏洞等。,因为这些安全漏洞可能被黑客利用,从而影响业务。以下每一条路线都是一种安全风险。黑客可以通过一系列的攻击手段发现目标的安全弱点。如果安全漏洞被成功利用... 我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(XXE)漏洞、反序列化漏洞、解析漏洞等。,因为这些安全漏洞可能被黑客利用,从而影响业务。以下每一条路线都是一种安全风险。黑客可以通过一系列的攻击手段发现目标的安全弱点。如果安全漏洞被成功利用...
- 服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底... 服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底...
- 临近2020年末,我们SINE安全监测中心发现Linux系统被爆出致命漏洞,导致大部分服务器受到黑客的攻击与入侵,该漏洞发生的根源是由于系统的管理命令。SUDO存在问题,导致普通用户无需输入root密码,可以直接使用sudo命令提权到root管理员权限,这漏洞是今年linux爆出的最大的漏洞,危害性极高,目前受漏洞影响的Linux版本是Linux Sudo1.8.2- 1.8.31p2 Li... 临近2020年末,我们SINE安全监测中心发现Linux系统被爆出致命漏洞,导致大部分服务器受到黑客的攻击与入侵,该漏洞发生的根源是由于系统的管理命令。SUDO存在问题,导致普通用户无需输入root密码,可以直接使用sudo命令提权到root管理员权限,这漏洞是今年linux爆出的最大的漏洞,危害性极高,目前受漏洞影响的Linux版本是Linux Sudo1.8.2- 1.8.31p2 Li...
- 学习代码审计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。jquery主要写一些涉及CSRF脚本或DOMXSS、JSON劫持等。2.后端语言的基本语法要知道,比如变量类型、常量、数组(python是列表、元组、字典)、对象、调用、引用等。,MVC设计模式要清晰,因为大部分目标程序都是基于MVC写的,包括不限于php... 学习代码审计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。jquery主要写一些涉及CSRF脚本或DOMXSS、JSON劫持等。2.后端语言的基本语法要知道,比如变量类型、常量、数组(python是列表、元组、字典)、对象、调用、引用等。,MVC设计模式要清晰,因为大部分目标程序都是基于MVC写的,包括不限于php...
- 在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转移到移动互联网的战场。尽管国内近五年互联网安全行业发展迅速,优秀的安全防护产品层出不穷,但黑客攻击手段也日益变化,想从根本上解决互联网安全问题,目前无从下手。以前,我们谈过网站如何保护安全。今天... 在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转移到移动互联网的战场。尽管国内近五年互联网安全行业发展迅速,优秀的安全防护产品层出不穷,但黑客攻击手段也日益变化,想从根本上解决互联网安全问题,目前无从下手。以前,我们谈过网站如何保护安全。今天...
- 随着数据库的发展,数据库安全问题越来越受到业界人士的关注,学者们对数据库安全的定义也有不同,其中以其定义最为典型。它全面地描述了数据库的安全性,包括物理和逻辑数据库的完整性,元素的安全性,可审核性,访问控制和用户认证。目前国内一般把数据库系统的安全需求归结为机密性,完整性和可用性。对于提高数据库安全的措施,一般有以下几种方法:身份认证安全性数据库严格区分请求数据库连接的用户的身份合法性,用户... 随着数据库的发展,数据库安全问题越来越受到业界人士的关注,学者们对数据库安全的定义也有不同,其中以其定义最为典型。它全面地描述了数据库的安全性,包括物理和逻辑数据库的完整性,元素的安全性,可审核性,访问控制和用户认证。目前国内一般把数据库系统的安全需求归结为机密性,完整性和可用性。对于提高数据库安全的措施,一般有以下几种方法:身份认证安全性数据库严格区分请求数据库连接的用户的身份合法性,用户...
- 对于我们开发者,Api接口调试一定不陌生。包括我在内,之前进行Api调试时,一直使用的是一款印度的软件Postman。记得刚入手的时候,由于该款软件缺乏中文版本,上手一直比较慢,而且还至少存在如下几个缺陷 对于我们开发者,Api接口调试一定不陌生。包括我在内,之前进行Api调试时,一直使用的是一款印度的软件Postman。记得刚入手的时候,由于该款软件缺乏中文版本,上手一直比较慢,而且还至少存在如下几个缺陷
- HashMap 和 Hashtable 有什么区别?** 存储:HashMap 允许0000000000key 和 value 为 null,而 Hashtable 不允许。线程安全:Hashtable 是线程安全的,而 HashMap 是非线程安全的。推荐使用:在 Hashtable 的类注释可以看到,Hashtable 是保留类不建议使用,推荐在单线程环境下使用 HashMap ... HashMap 和 Hashtable 有什么区别?** 存储:HashMap 允许0000000000key 和 value 为 null,而 Hashtable 不允许。线程安全:Hashtable 是线程安全的,而 HashMap 是非线程安全的。推荐使用:在 Hashtable 的类注释可以看到,Hashtable 是保留类不建议使用,推荐在单线程环境下使用 HashMap ...
- DevSecOps的核心DevSecOps的安全实践主要集中于以下两个方面: 安全工作前移采用安全在软件开发前期介入的方式,降低解决安全问题的成本,前期介入的内容包括对开发、维护人员的安全意识培训、安全开发规范的培训、安全需求(非功能需求)的导入、前期的代码审计工作、基于白盒的安全测试、渗透测试等内容。在运营阶段增加的内容与前期开发阶段类似,主要内容集中在对新安全需求实现情况的验证以及... DevSecOps的核心DevSecOps的安全实践主要集中于以下两个方面: 安全工作前移采用安全在软件开发前期介入的方式,降低解决安全问题的成本,前期介入的内容包括对开发、维护人员的安全意识培训、安全开发规范的培训、安全需求(非功能需求)的导入、前期的代码审计工作、基于白盒的安全测试、渗透测试等内容。在运营阶段增加的内容与前期开发阶段类似,主要内容集中在对新安全需求实现情况的验证以及...
- 揭秘镖局那些不为人知的终极法宝 揭秘镖局那些不为人知的终极法宝
- 本地认证基础知识在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在%SystemRoot%\system32\config\sam当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对,如果相同,证明认证成功!Windows本身不保存明文密码,只保留密码的HashNTLM Hash与NT... 本地认证基础知识在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在%SystemRoot%\system32\config\sam当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对,如果相同,证明认证成功!Windows本身不保存明文密码,只保留密码的HashNTLM Hash与NT...
- 秦始皇应该算是中国基建狂魔的鼻祖之一。01 从秦驰道到信息高速公路除了《大秦赋》中花费约十年时间修筑郑国渠,在秦一统天下前后,秦始皇陆续开始建设万里长城、秦始皇陵、阿房宫、秦驰道等超大工程,并推出了“车同轨、书同文、统一度量衡”的耳熟能详的中国标准。秦驰道是“车同轨”建设标准下的伟大产物,据《汉书·贾山传》曰:“秦为驰道於天下,东穷燕齐,南极吴楚,江湖之上,滨海之观毕至。道广五十步,三丈而树... 秦始皇应该算是中国基建狂魔的鼻祖之一。01 从秦驰道到信息高速公路除了《大秦赋》中花费约十年时间修筑郑国渠,在秦一统天下前后,秦始皇陆续开始建设万里长城、秦始皇陵、阿房宫、秦驰道等超大工程,并推出了“车同轨、书同文、统一度量衡”的耳熟能详的中国标准。秦驰道是“车同轨”建设标准下的伟大产物,据《汉书·贾山传》曰:“秦为驰道於天下,东穷燕齐,南极吴楚,江湖之上,滨海之观毕至。道广五十步,三丈而树...
- 微软Type 1字体解析远程代码执行漏洞预警 微软Type 1字体解析远程代码执行漏洞预警
上滑加载中
推荐直播
-
HDC深度解读系列 - Serverless与MCP融合创新,构建AI应用全新智能中枢2025/08/20 周三 16:30-18:00
张昆鹏 HCDG北京核心组代表
HDC2025期间,华为云展示了Serverless与MCP融合创新的解决方案,本期访谈直播,由华为云开发者专家(HCDE)兼华为云开发者社区组织HCDG北京核心组代表张鹏先生主持,华为云PaaS服务产品部 Serverless总监Ewen为大家深度解读华为云Serverless与MCP如何融合构建AI应用全新智能中枢
回顾中 -
关于RISC-V生态发展的思考2025/09/02 周二 17:00-18:00
中国科学院计算技术研究所副所长包云岗教授
中科院包云岗老师将在本次直播中,探讨处理器生态的关键要素及其联系,分享过去几年推动RISC-V生态建设实践过程中的经验与教训。
回顾中 -
一键搞定华为云万级资源,3步轻松管理企业成本2025/09/09 周二 15:00-16:00
阿言 华为云交易产品经理
本直播重点介绍如何一键续费万级资源,3步轻松管理成本,帮助提升日常管理效率!
回顾中
热门标签