0

邬江兴院士:鲁棒控制与内生安全

传统的安全问题是自然发生的安全问题,现在非传统安全问题是人为的,比如黑客或蓄谋已久的人所做的事情,这时候的安全问题就由Safety 变成Security。对于Security 怎么办呢?广义鲁棒控制是手段,获得的效果是内生安全。 广义鲁棒控制与网络安全挑战 广义不确定扰动定义如下:如果目标对象内部既 ...

DWY 发布于 2019-11-26 15:49 评论(0)阅读(23)
0

邬江兴院士:工业互联网安全&拟态防御

尊敬的郑院士、曹书记、张秘书长,各位学术界的同仁们,很高兴在第一届工业互联网学术专题论坛上发言。我今天想谈的问题是工业互联网,这个概念很热,前景也很美好,很诱人。但是我认为工业互联网的安全挑战更严峻,从某种意义上来说,一个没有完全保证的工业互联网,是不会有什么美好前景的。 我今天想谈一下工业互联网的 ...

DWY 发布于 2019-11-26 15:44 评论(0)阅读(33)
0

邬江兴院士:多模态智慧网络与内生安全

一、背景与意义——国家安全战略的重大举措 我国的网络安全战略规划,有的是演进式的,有的是革命式的,还有的介于这两者之间。我今天介绍一种比较激进的设想,供大家参考。 我认为网络空间首先要解决好基础网络问题。现在大家在争论,现在的互联网是中国的互联网,还是美国的互联网?其实很简单,能控制网络的就是网络的 ...

DWY 发布于 2019-11-26 15:36 评论(0)阅读(24)
0

[靶场实战]:SQL注入-显错注入

SQL注入的本质:就是将用户输入的数据当作代码带入执行。 注入条件: 1.用户能控制输入 2.能够将程序原本执行的代码,拼接上用户输入的数据进行执行 首先检查是否存在注入点 Rank1: 构造语句 ?id=1 and 1=1 没有报错 ?id=1 and 1=2 也没有显示错误,检查是否被过滤了 ? ...

软二的小忠晏 发布于 2019-11-26 14:27 评论(0)阅读(13)
0

Natas25-writeup

前言 题目链接: http://natas25.natas.labs.overthewire.org 做这一题花了一些时间,也是由于自己知识点掌握不足,所以分享下解题过程。 题目分析 首先,登录后看到以下界面,是一篇文章的内容。右上角,language的地方可以选择语言,默认是英语,可以选择德语。当 ...

b10d9 发布于 2019-11-25 13:12 评论(0)阅读(13)
0

byteCTF 2019

本文作者:z3r0yu 由“合天智汇”公众号首发,未经允许,禁止转载! 0x00 前言 周末的比赛质量还是挺高的,特别是boring_code,有点烧脑但是做的就很开心。 0x01 boring_code 题目描述 http://112.125.25.2:9999 题目解答 题目上来的邮件源码中给了 ...

合天智汇 发布于 2019-11-25 11:30 评论(0)阅读(28)
0

竞斗云2.0开箱,内含全网首发真实测量数据

今年最热的最便宜的网红千兆机器是什么?如果时间回溯到上上上上个月,闻着桂花香,我会告诉你当然是地球人无法做到的全世界仅有的唯一最高LINUX版本的白菜路由,支持NAND记,然而时光飞续,突如其来的竞斗云2.0变成了网络流传很广的geek机 竞斗云的在SMZDM如雨后春笋般冒了出来,不同于'365-5 ...

A.Z 发布于 2019-11-23 18:01 评论(2)阅读(479)
0

子网掩码的作用与IP网段的划分

公有IP地址分类 A类:1.0.0.0 到 127.255.255.255主要分配 给大量主机而局域网网络数量较少的大型网络 B类:128.0.0.0 到191.255.255.255 一般用于国际性大公司和政府机构 C类:192.0.0.0 到223.255.255.255 用于一般小公司校园网研 ...

jimmy0k 发布于 2019-11-23 16:27 评论(0)阅读(60)
0

SQL注入:宽字节注入

了解GBK编码 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf 8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如我国的gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,推出了gbk和ut ...

软二的小忠晏 发布于 2019-11-22 22:15 评论(0)阅读(16)
1

用二进制写程序,提升装 X 境界

用二进制来写程序这么反人类的事情,的确是很装的事情,但是它不但是一件很装的事情,也是掌握底层知识的基础能力之一。听我慢慢道来。 程序设计语言有高级语言和低级语言之分,尤其是现在各种编程语言的不断发展,掌握高级程序设计语言的人越来越多。 但是是否可以使用二进制来写程序呢?也许最初使用打孔带来控制机器的 ...

tosser 发布于 2019-11-21 21:50 评论(0)阅读(37)
1

除了获取 MAC 地址还能干啥

以前写过一篇《在Web中获取MAC地址》的文章,文章的地址是:https://www.cnblogs.com/tosser/p/9022187.html,我当时使用 OCX 来实现,可是 OCX 只支持 IE 浏览器,后来在往上找了一个 Chrome 的扩展,也解决了该问题。不过,总觉得无论使用 O ...

tosser 发布于 2019-11-20 22:07 评论(9)阅读(433)
0

网络安全的进步之路

自我介绍 小辣鸡一枚,刚开始也是啥也不懂,走了也有一段路,分享一下我对安全入门的概念,来开始我这第一篇博客。 学习大方向 安全的基础确实是网络,如果懂网络,那么学习安全就会相得益彰更加流畅。 其次就是编程,如果程序懂得越多,那么对代码的了解就越深刻,对于漏洞的理解跟复现还有挖掘的学习就会非常的迅速, ...

夏清风。 发布于 2019-11-20 16:01 评论(0)阅读(37)
0

MD5 加盐加密

一、概述 MD5(Message Digest Algorithm 5),是一种散列算法,是不可逆的,即通过md5加密之后没办法得到原文,没有解密算法。 在一般的项目中都会有登录注册功能,最简单的,登录注册过程完全没有加密,存储在数据库的密码也是明文,安全性是很差的,万一数据泄露就不好了(表一)。所 ...

Max_Lyu 发布于 2019-11-19 21:57 评论(0)阅读(48)
0

SQL注入:Cookie注入

什么是Cookie Cookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获取了管理员的Cookie,就表示你可以无需密码直接登陆管理员账号。 Cookie注入的原理 在动态脚本语言中存在超全局变量可以获取多种传参方式(基本上) 很多时候开发在开发的时候为了考虑到多种接受参 ...

软二的小忠晏 发布于 2019-11-19 16:03 评论(0)阅读(31)
0

站长必须要了解的网络安全法

今天老板收到了阿里发来的短信,提示网站有 WebShell,由于没有购买阿里的服务,因此 WebShell 只是被检测出来,而没有被处理掉,因此想要处理需要自行解决。 我通过分析日志,找到了黑客利用的网站的漏洞,在本地进行了测试,并成功复现。但是由于服务器权限的缘故,其实黑客并没有利用成功。后来通过 ...

tosser 发布于 2019-11-18 21:31 评论(0)阅读(31)
0

Sqlmap基础指令

安装: 下载地址:https://github.com/sqlmapproject/sqlmap 下载好后直接解压,并且加入环境变量,就可以直接在cmd调用 常用基础指令: 常见指令: 安装浏览器插件的文章地址:https://www.zkaq.org/t/3683.html ...

软二的小忠晏 发布于 2019-11-18 18:59 评论(0)阅读(10)
0

SQL注入:盲注

盲注简介 所谓的盲注就是在服务器没有错误回显的时候完成的注入攻击。 服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”。 盲注分类 1.布尔盲注 布尔很明显Ture和Fales,也就是说它只会根据你的注入信息返回True和Fales,也就没有了之前的报错信息。 2.时间盲注 界面返回值只 ...

软二的小忠晏 发布于 2019-11-18 18:56 评论(0)阅读(13)
0

SQL注入:显错注入

SQL注入的本质 就是把用户输入的数据当做代码执行 注入条件 1.用户能控制输入 2.能够将程序原本执行的代码,拼接上用户输入的数据进行执行 注入的基本流程 1.判断是否存在注入点 1.最古老的方法: ​ and 1=1 页面正常 ​ and 1=2 页面不正常 ​ 注:and 1=1 and 1= ...

软二的小忠晏 发布于 2019-11-18 18:54 评论(0)阅读(23)
0

渗透测试学习 三十一、MSF

术语 测试者利用系统程序或服务的漏洞进行攻击的一个过程——渗透攻击(exploit),攻击载荷(payload) 攻击者在目标系统上执行的一段代码,该代码具有反弹链接,创建用户、执行其他系统命令的功能。 shellcode 在目标机器上运行的一段机器指令,成功执行后会返回一个shell 模块(mod ...

Yuuki丶 发布于 2019-11-18 11:21 评论(2)阅读(32)
0

渗透测试学习 三十、综合扫描

综合扫描 Dmitry 是一体化的信息收集工具 1、端口扫描 2、whois主机ip和域名信息 3、从Netcraft.com获取主机信息 4、子域名 5、域名中包含的邮件地址 该工具可以将搜集结果放在一个文件中 dmitry –wnpb baidu.com dmitry –winse baidu. ...

Yuuki丶 发布于 2019-11-18 10:02 评论(0)阅读(25)