全栈安全保护软件应用的每一层,包括前端、后端、基础设施和网络。它通过采用强大的安全措施来应对漏洞,利用工具和实践来保持数据完整性,防止未经授权的访问,并确保合规性,特别是在应用程序扩展并与各种技术和平台集成时更为重要。理解每个应用层所需的安全措施对于开发人员来说至关重要,以确保全面的保护。本文探讨了 ...
工具介绍: PyWxDump是一款功能丰富的工具,主要用于获取微信账号信息(如昵称、账号、手机、邮箱和数据库密钥等)、解密微信数据库、查看和备份聊天记录。它支持多种数据库类型的合并查看,可以通过Web界面查看聊天记录,并且支持聊天记录的导出功能,如导出为html或csv格式,方便用户进行备份和查看。 ...
工具介绍: 一键tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell地址。 下载地址 链接:https ...
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 ...
一、项目背景 能源交通行业作为国民经济的重要支柱之一,其信息化水平直接影响到整个社会的运作效率和发展速度。然而,长期以来,该行业内的信息中心普遍面临“重建设轻运维”的问题,即在基础设施建设上的投入远大于后续的运维管理。这种状况导致信息中心在支撑大量业务系统的过程中,出现了“人多事杂设备乱”的现象,信 ...
cd cd ~ :进入到当前用户的主目录 cd - :切换到上一次所在的目录 cd .. :切换到上一级 cd ../.. :切换到上两级 **cd / ** :切换到根目录 ls ls:列出目录下文件 ls -a :列出所有文件,包括隐藏文件 ls -A :列出所有文件,包括隐藏文件,除了.和.. ...
我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。本文将以DC系列靶场为例子,分析靶场与实战的区别,同时分享实战思路与需要用到的一些工具插件。 ...
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 ...
中间件 中间件是一类软件,为应用程序、服务和组件提供一个通用的服务层。 主要功能 通信:提供通信框架,帮助不同系统与应用之间进行数据交换和通信 事务管理、资源管理 安全服务:提供认证、授权、加密等安全策略 数据访问:提供统一的数据访问接口,简化数据库或其他存储数据的访问 IIS 是一个灵活、安全、可 ...
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 ...
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 ...
2024Hvv漏洞整理(128个POC) (网上漏洞零零散散)下面是收集到的且有POC的漏洞整理合集,鄙人分了三种格式供各位提取,下面贴上目录与图片,由于字数有点大,各位请移步网盘自行提取。 按照Hvv时间线进行汇总每天爆出的漏洞(非最全Hvv漏洞) 提前总结: 各位道友可移步到我的公众号 (公众 ...
大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。 ...
1. 安全测试的最佳实践 1.1. 编写可靠的安全测试用例是提升任何代码库安全性的重要方式 1.2. “测试驱动的开发”(Test Driven Development,TDD) 1.2.1. 在编写新代码的同时编写测试用例 1.3. 利用集成测试 1.3.1. 集成测试(integration t ...
WEB服务与虚拟主机 www(万维网)构建基于三项核心技术HTML、URL、HTTP HTML 是用于创建网页和网页应用的标准标记语言,是所有Web开发的基础,描述网站的结构和内容,而其外观和表现通常由CSS控制。 基本框架 <!DOCTYPE html> <html> <head> <titl ...
XSS (Cross-Site Scripting,跨站脚本攻击) 是一种代码注入攻击。攻击者通过在目标网站注入恶意脚本,使其在用户浏览器中执行,从而窃取用户敏感信息如 Cookie 和 SessionID。 CSS 在前端已经被用了,为了避免歧义用了 XSS 作为缩写。 XSS 的本质是恶意代码与 ...
最近Hvv活动圆满结束,我将这段时间收集到的漏洞PoC汇总成了一份148页的文档,共包括283个公开漏洞。经过近两个月的激烈演习,我们终于迎来了年度保护碗筷行动的尾声。无论大家是否已经准备好度假,现阶段我们分享的这些信息可以帮助大家更好地了解今年的漏洞情况。特别声明,这些漏洞信息来源于互联网,仅为汇 ...
1. 安全测试 1.1. 测试是开发可靠、安全代码中的关键一环 1.2. 测试安全漏洞的目的是主动检测 1.3. 模糊测试是一种强大的补充技术,可以帮助我们找到更深层次的问题 1.4. 针对当前漏洞创建的安全回归测试,目的是确保我们不会再犯相同的错误 1.5. 大多数测试都是由执行代码组成的,其目的 ...
工具介绍: P1finger 红队行动下的重点资产指纹识别工具。P1finger 是一个重点资产指纹识别的工具,旨在通过HTTP请求特征来识别目标系统。其主要特点包括: 语言和实现: 语言:使用Go语言(Golang)实现。 目的:强调跨平台能力和易于集成。 指纹库和检测策略: 指纹库:通过人工过滤 ...
@目录1.何为“上网”1.1 定义1.2 为什么连了WiFi就能上网了?2.ip2.1 什么是ip2.2 为什么区分广域网和局域网,ip的唯一性2.3 如何查看设备的ip2.4 什么叫"ping"2.5 区分是否两个ip是否在同一局域网2.5.1 最稳妥的方式:ip&mask2.5.2 最方便的方式 ...