网络安全

python常见漏洞总结

总结一下python里面常见安全问题,文章大部分内容来自MisakiKata师傅的python_code_audit项目,对原文进行了一些修改,后续会使用编写了规则对代码里面是否用到这些危险函数进行相应检测 SQL注入 SQL注入漏洞的原因是用户输入直接拼接到了SQL查询语句里面,在python W ... »

微信聊天内容可以被监听吗

上班摸鱼与网络安全 成为了锅叔在博客园阅读数最高的一篇文章,足可见同学们上班摸鱼的热情,同时也反映了大家对网络安全的担忧…… 对于其中的一个存疑问题,“微信的聊天记录内容,到底能不能被监听”。锅叔打算再花点篇幅做一些详细的说明,在“摸鱼”一文中,锅叔得出了一个结论,微信聊天内容是无法被公司取得的。然 ... »

上班摸鱼与网络安全

上班不摸鱼,那这班上的没有灵魂啊。但是不久前爆出的国美网络监控事件,也提示我们网络有风险,摸鱼需谨慎。 https://baijiahao.baidu.com/s?id=1716730797543887197&wfr=spider&for=pc ——“另一家国企的技术处负责人表示,“理论上,员工打开 ... »

网络安全笔记-入侵检测系统

入侵检测系统 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动); 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力; IDS的必要性 在造成损害前切断连接或终止操作 对攻击者震慑作用 可以搜集入侵信息,与 ... »

struts2绕过waf读写文件及另类方式执行命令

之前碰到过好几次Struts2,还都是016,项目、众测都遇到过,每次都只是证明了一下存在,由于waf的存在,没有深入去利用,这里简单的记录下。 0x01 背景 xray或者Struts2漏扫可以扫到网站存在Struts2漏洞 但是执行命令会发现直接Connection Reset,很明显是被waf ... »

中华人民共和国网络安全法

中华人民共和国网络安全法 (2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过) 目 录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二 »

lsxs-wy

关于Linux系统 网络安全的一些内在限制

Linux为美国以外的其它国家提供了自主发展操作系统的一条捷径。主要是因为Linux操作系统本身的源代码是公开的,操作系统开发方可以对源代码自由修改并且从新编译成二进制机器码,也就是说用户可以对系统及 »

20560838q

第七章 网络安全

安全包括哪些方面 数据存储安全 应用程序安全 操作系统安全 网络安全 物理安全 用户安全教育 网络安全面临的问题 计算机网络上的通信面临以下的四种威胁:(1) 截获——从网络上窃听他人的通信内容。 ( »

sleeli

打靶笔记-04-vulnhub-Jangow

打靶笔记-04-vulnhub-Jangow 前面两篇名称写成了vulhub,已经更改为vulnhub;vulhub的之后再找个时间集中打一遍。 一、靶机信息 Name: Jangow: 1.0.1 (Easy) Date release: 4 Nov 2021 Author: Jangow Ser ... »

当我们看到phpinfo时在谈论什么

我们在渗透测试的过程中,如果存在phpinfo界面,我们会想到什么? 大部分内容摘抄自:https://www.k0rz3n.com/2019/02/12/PHPINFO%20%E4%B8%AD%E7%9A%84%E9%87%8D%E8%A6%81%E4%BF%A1%E6%81%AF/ 关于phpi ... »

php常见的危险函数

代码执行的危险函数 eval() 把字符串作为php代码执行 早期php一句话木马都用这个 <?php @eval($_POST['shell']);?> assert() 检查一个断言是否为false,将字符串作为php代码执行 同样经常被用作一句话木马 <?php assert(@$_POST[ ... »

网络安全常见面试题(第二弹)

欢迎关注我的个人公众号:小谢backup 1、RSA算法能干什么? 密钥对生成:产生公钥和私钥 非对称加密:采用公钥加密,私钥解密 数字签名:私钥对消息摘要加密,公钥验签 注意:加密和签名要使用不同的 »

xiaoxiebackup

网络安全之内网安全 - 豆登儿

下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略,同时也是一个提高大型企业网络安全的策略。 1、注意内网安全与网络边界安全的不同 内网安全的威胁不同于网络边界的威胁。网络边界 »

Xenia

网络安全概论——身份认证

一、身份证明 身份证明可分为以下两大类 身份验证——“你是否是你所声称的你?” 身份识别——“我是否知道你是谁?” 身份证明系统设计的三要素: 安全设备的系统强度 用户的可接受性 系统的成本 实现身份证明的基本途径 所知:个人所知道的或所掌握的知识,如密码、口令等。 所有:个人所具有的东西,如身份证、护照、信用卡、钥匙等。 个人特征:如指纹、笔迹、声纹、视网膜、虹膜、DNA及个人一些动 »

QUIC协议详解

声明 本文可以自由转载但需注明原始链接。本文为本人原创,作者LightningStar,原文发表在博客园。本文主体内容参考论文1完成。 介绍 QUIC,发音同quick,是"Quick UDP Internet Connections"的简称,是一种通用的传输层网络协议。QUIC与TCP相同,是一种 ... »