《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(5)-Wireshark捕获设置 - 北京-宏哥
1.简介 WireShark的强大之处就在于不用你再做任何配置就可以抓取http或者https的包。今天宏哥主要是讲解和分享如何使用WireShark抓包。 2.运行Wireshark 安装好 Wireshark 以后,就可以运行它来捕获数据包了。方法如下: 1.在 Windows 的“开始...[2024/8/19]
探索网络安全:浅析文件上传漏洞
前言 在数字化时代,网络安全已成为我们每个人都需要关注的重要议题。无论是个人隐私保护,还是企业数据安全,网络威胁无处不在。了解网络安全的基本知识和防护措施,对我们每个人来说都至关重要。 网络安全 网络安全并非只是对网络做一层防护,而是指保护网络空间的安全,包括硬件、软件、数据和网络本身的安全。...[2024/7/22]
【漏洞分析】Li.Fi攻击事件分析:缺乏关键参数检查的钻石协议
背景信息 2024 年 7 月 16日,Li.Fi 协议遭受黑客攻击,漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查,导致 call 函数任意执行。且 diamond 合约拥有用户的 approve,所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交...[2024/7/19]
异构数据源数据同步 → 从源码分析 DataX 敏感信息的加解密
开心一刻 出门扔垃圾,看到一大爷摔地上了 过去问大爷:我账户余额 0.8,能扶你起来不 大爷往旁边挪了挪 跟我说到:孩子,快,你也躺下,这个来钱快! 我没理大爷,径直去扔了垃圾 然后飞速的躺在了大爷旁边,说道:感觉大爷带飞! 书接上回 通过 异构数据源同步之数据同步 → DataX...[2024/7/15]
FFmpeg开发笔记(三十八)APP如何访问SRS推流的RTMP直播地址
?《FFmpeg开发实战:从零基础到短视频上线》一书在第10章介绍了轻量级流媒体服务器MediaMTX,通过该工具可以测试RTSP/RTMP等流媒体协议的推拉流。不过MediaMTX的功能实在是太简单了,无法应用于真实直播的生产环境,真正能用于生产环境的流媒体服务器还要看SRS或者ZLMediaK...[2024/7/14]
布谷鸟过滤器解析海山了-
在我的记忆中布谷鸟过滤器一直是说比bloom好,那么我博客便以一个di 布谷鸟过滤器的角度来探究 学前须知:本篇立足于读者了解bloomfilter底层实现上 布谷鸟相较于bloom的优点 支持删除操作 如何支持呢?因为bloom的话是不能支持的,他的一个bit可能代表了多个key存...[2024/7/12]
Vulnhub-ICA01
简介 名称:ICA: 1 发布日期:2021 年 9 月 25 日 难度:容易 描述:根据我们情报网络的信息,ICA 正在开展一个秘密项目。我们需要弄清楚这个项目是什么。获得访问信息后,请将其发送给我们。我们稍后会放置一个后门来访问系统。您只需关注项目是什么。您可能必须通过...[2024/7/12]
劫持TLS绕过canary && 堆和栈的灵活转换
引入:什么是TLScanary? TLScanary 是一种在 Pwn(主要是二进制漏洞利用)中常见的技术,专门用于处理 TLS 保护的二进制文件。在安全竞赛(例如 CTF)和漏洞利用场景中,攻击者需要应对目标程序的多层安全机制,其中 TLS 是一种常见的保护措施。TLScanary 结合了 T...[2024/7/11]
ARP协议介绍与投毒攻击
目录ARP是什么?ARP协议工作原理ARP攻击原理攻击软件防范Reference ARP是什么? ARP是通过网络地址(IP)来定位机器MAC地址的协议,它通过解析网络层地址(IP)来找寻数据链路层地址(MAC)的网络传输协议。 ARP已经在很多网路层和数据链接层之间得以实现。不过在...[2024/7/11]
椭圆曲线加密算法中公钥与私钥互换性分析
PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。 在现代密码学中,椭圆曲线加密算法(Elliptic Curve Cryptography, ECC)因其高效的加密速度、较小的密钥尺寸和较高的安全性而受到...[2024/6/17]
RSA算法中,为什么需要的是两个素数?
PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。 RSA算法中,为什么需要的是两个素数? RSA算法是一种广泛使用的非对称加密技术,基于大数分解的困难性。本文将探讨为什么RSA算法需要两个素数,并以通俗易...[2024/6/12]
你的智能汽车正在窥视你!
2021年8月,蔚来部分用户数据被窃取,并遭到勒索225万美元等额比特币; 2022年5月,通用汽车表示部分在线客户账户出现异常登录; 2023年5月,丰田云服务导致215万日本用户车辆数据承担泄露风险; 2024年4月,高合汽车因车内摄像头拍摄的不雅影像泄露而备受关注; …… 近些年...[2024/6/11]
如何安全地访问互联网
当你深夜在浏览器中输入 www.baidu.com 时有没有想过,除了月黑风高的夜和本机的浏览记录,还有谁知道你访问了它呢?要搞清楚这件事,首先我们要了解一下访问网站时,这其中发生了什么。 如果你在 10 年之前访问网站,大概率会在浏览器的地址栏中看到这样的网址 http: www.baidu...[2024/6/11]
入侵检测系统综述文献研读
什么是入侵检测系统? 入侵检测就是从大量行为中找出异常部分,如果将其转化为深度学习知识,就是构建一个二分类器来识别异常和正常两种类别,但是因为网络入侵检测还需要相应的类别,因此二分类器不可以满足,所以要扩展到多分类器。 入侵检测系统的分类 现在有关入侵检测系统主要研究基于网络的入侵检测或基...[2024/6/1]
隐私计算在智能城市建设中的应用:平衡公共安全与个人隐私
PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。 随着智能城市建设的快速推进,各种数据采集技术和设备在城市管理中的应用越来越广泛。这些技术和设备在提升城市管理效率、优化资源分配和提高公共安全方面发挥着重要...[2024/5/31]
申请并部署免费的 SSL/TLS 证书
对于囊中羞涩的我们来说,只要能白嫖,就绝不乱花钱。惯常申请免费 SSL/TLS 证书的途径有: 各大云服务平台限量提供。比如阿里云会给每个账号每年 20 个证书的申请额度。缺点是不支持泛域名,一年(目前已缩短至三个月)后须重新申请并部署; 一些网络服务商如Cloudflare会提供自动化的证书...[2024/5/29]
挖矿病毒消灭记
参考:https: blog.csdn.net/qq_59201520/article/detail 129816447 接上篇《挖矿病毒消灭记》传送门 项目场景: 叮咚,一条短信打破了安静平和的氛围。 啊?咋又被挖矿了,现在在外面,回头要赶紧把进程关了 问题描述 回到家赶紧打开电...[2024/5/21]
第二届黄河流域网络安全技能挑战赛Web_wirteup
前言 好久没写过比赛的wp了,黄河流域的web出的不错,挺有意思了,花了点时间,也是成功的ak了 myfavorPython 注册登录,一个base64输入框,猜测pickle反序列化,简单测试下,返回的数据是pickletools.dis解析的opcode结构,猜测其实已经load了,但是没...[2024/5/13]
HTTPS 是如何进行安全传输的 ?
概述 现代密码学对信息的处理主要离不开以下的三种形式: 摘要:主要用于数据校验,例如存储密码等,摘要是对信息进行单向的哈希,改变信息的原有形态,因为哈希函数的特点是易变性(即使微小的变化也会产生完全不同的哈希值),而且无法被反向推导出来,例如上文提到常见的哈希加密方式有:MD2/4/5/6、SHA0...[2024/5/8]
算法~PBKDF2-SHA让密码更安全
摘要:在当今的数字世界中,密码安全是至关重要的。为了保护用户密码免受未经授权的访问和破解,Pa word-Based Key Derivation Function 2 (PBKDF2)算法成为了一种重要的工具。 在 PBKDF2 算法中,SHA 表示 Secure Hash Algorithm,...[2024/5/8]
深入理解高级加密标准(Advanced Encryption Standard)
title: 深入理解高级加密标准(Advanced Encryption Standard) date: 2024/4/23 20:04:36 updated: 2024/4/23 20:04:36 tags: AES概述 加密原理 优势特点 算法详解 安全性 应用实践 案例分析 ...[2024/4/23]
渗透测试-信息收集
“感谢您阅读本篇博客!如果您觉得本文对您有所帮助或启发,请不吝点赞和分享给更多的朋友。您的支持是我持续创作的动力,也欢迎留言交流,让我们一起探讨技术,共同成长!谢谢!???” domain:"kuaishou.com" AND port:"80" 360网络空间检索语句 (d...[2024/4/23]
RC4Drop加密技术:原理、实践与安全性探究
第一章:介绍 1.1 加密技术的重要性 加密技术在当今信息社会中扮演着至关重要的角色。通过加密,我们可以保护敏感信息的机密性,防止信息被未经授权的用户访问、窃取或篡改。加密技术还可以确保数据在传输过程中的安全性,有效防止信息泄露和数据被篡改的风险。在网络通信、电子商务、金融交易等领域,加密技...[2024/4/19]
密码学中的RSA算法与椭圆曲线算法
PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。 在数字安全领域,加密算法扮演着至关重要的角色。它们确保了信息的机密性、完整性和不可否认性。RSA算法和椭圆曲线算法(ECC)是当前最广泛使用的两种非对称加...[2024/4/17]
面试官:为什么忘记密码要重置而不是告诉你原密码?
这是一个挺有意思的面试题,挺简单的,不知道大家平时在重置密码的时候有没有想过这个问题。回答这个问题其实就一句话:因为服务端也不知道你的原密码是什么。如果知道的话,那就是严重的安全风险问题了。 我们这里来简单分析一下。 做过开发的应该都知道,服务端在保存密码到数据库的时候,绝对不能直接明文...[2024/4/17]
知名压缩软件 xz 被植入后门,黑客究竟是如何做到的?
昨天,Andres Freund 通过电子邮件告知 o -security@ 社区,他在 xz/liblzma 中发现了一个隐藏得非常巧妙的后门,这个后门甚至影响到了 OpenSSH 服务器的安全。Andres 能够发现并深入调查这个问题,实在令人敬佩。他在邮件中对整个事件进行了全面的总结,所以...[2024/4/3]
我们正在被 DDoS 攻击,但是我们啥也不干,随便攻击...
最近,一场激烈的攻防大战在网络世界悄然上演。 主角不是什么国家安全局或者黑客组织,而是一家名不见经传的创业公司——TablePlus。 DDoS 攻击者们摩拳擦掌,跃跃欲试。他们从四面八方蜂拥而至,誓要用数亿次请求把 TablePlus 的服务器挤爆、搞垮。特别是那些来自德国和英国的流量,简...[2024/4/1]
遭遇DDOS攻击忍气吞声?立刻报警!首都网警重拳出击,犯罪分子无所遁形
公元2024年2月24日18时许,笔者的个人网站突然遭遇不明身份者的DDOS攻击,且攻击流量已超过阿里云DDos基础防护的黑洞阈值,服务器的所有公网访问已被屏蔽,由于之前早已通过Nginx屏蔽了所有国外IP,在咨询了阿里云客服之后,阿里网安的老同事帮助分析日志并进行了溯源,客服建议笔者选择立...[2024/2/26]
糟糕,接口被刷了,怎么办?
前言 在面试时,经常会被问一个问题:如何防止别人恶意刷接口? 这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。 1 防火墙 防火墙是网络安全中最基本的安全设备之一,主要用于防止未经授权的网络访问和攻击。 防火墙可以防止的攻击行为包括: 无...[2024/2/18]
《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(1)-初识Wireshark - 北京-宏哥
1.简介 前边已经介绍过两款抓包工具,应该是够用了,也能够处理在日常工作中遇到的问题了,但是还是有人留言让宏哥要讲解讲解Wireshark这一款抓包工具,说实话宏哥之前也没有用过这款工具,只能边研究边分享。换句话说就是现学现卖,希望大家不要介意,宏哥这里的分享仅供你参考学习,有错误的地方也欢...[2024/2/2]
SQL手工注入
两要素 用户能够控制输入的内容 web应用把用户输入的内容,在没有经过过滤或者严格过滤的情况下带入到数据库中执行 分类 GET和POST 整数型,字符型,搜索型 万能密码 ’1 or 1 = 1# 1 or 1 = 1# 注释符: -- (后面有空格) --+ %23 注入流程: ...[2024/1/29]
【译】解开托管内存的秘密:深入了解事件处理程序泄漏!
事件处理程序泄漏已经存在很长时间了,这是 WPF (Windows Presentation Foundation)开发人员经常要处理的最麻烦的问题之一。您可能会想:是什么让事件处理程序泄漏如此重要?事件处理程序泄漏很容易引起,只需忘记取消订阅事件即可。此外,它们很难发现,甚至更难修复。 ...[2024/1/26]
SQL注入详解
一、SQL注入 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件, 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 var sql = "select * from tableName where name=''" + "test" ...[2024/1/24]
Charles的奇巧淫技
大家好,我是 dom 哥。今天讨论一下 Charles 的高级用法。 Charles 是 mac 电脑的一个网络代理软件,也是我平时开发常用的一个工具,用过的都说好??。 本文不是 Charles 的入门介绍,而是针对一些特殊使用场景的摸索和总结。 Tools > Map Remo...[2023/12/27]
如果让你来设计消息加密
你是跑码场的一个程序员,名字叫招财。 利用上班摸鱼的时间编写了一个简易的即时通讯软件,并发布到了网上。过了一段时间,你在软件上突然收到一条私信。 “小哥哥,我很喜欢你写的这个软件,我也是程序媛,希望以后能多多和您交流。” 你望了望四周,没有人表现得异常,于是你确认不是同事在逗自己。 你兴...[2023/12/22]
通过访问URL地址,5分钟内渗透你的网站!很刑很可拷!
今天我来带大家简单渗透一个小破站,通过这个案例,让你深入了解为什么很多公司都需要紧急修复各个中间件的漏洞以及进行URL解析拦截等重要操作。这些措施的目的是为了保护网站和系统的安全性。如果不及时升级和修复漏洞,你就等着被黑客攻击吧! 基础科普 首先,我想说明一下,我提供的信息仅供参考,我不会透露...[2023/12/8]
黑客玩具入门——6、网络嗅探
1、网络嗅探:使用TCPDump分析网络数据 TCPDump是一款资深网络工作人员必备的工具。TCPDump是一款小巧的纯命令行工具,正是因为它的体积小巧,所以这款工具可以完美的运行在大多数路由器,防火墙以及Linux系统中。而且TCPDump现在有了Windows版本。 TCPDump的使用...[2023/12/1]
黑客玩具入门——1、前言与装机
一切的一切,希望你做一个正直的、心地善良的人。 1、虚拟机安装指南 常用的虚拟机有VMware和virtualbox。咱们使用VMware来安装虚拟机。 然后我们通过百度搜索VMware,找到下载方式下载VMware-workstation-16即可。也可以在我的网盘中找到。 下载完成后,就...[2023/11/29]
6k Star!B站、滴滴、小红书都在用的网站防火墙
你有网站么?你担心网站被黑客攻击么?你知道如何抵御来自黑客的攻击吗? 据称互联网上有 30% 的流量都来自于恶意攻击。做过 Web 开发或者有过建站经验的朋友对 SQL 注入、CC 攻击、XSS、WebShell 等名词应该并不陌生,如果你经常在日志中看到各种奇奇怪怪的请求,这说明你的...[2023/11/22]
前端如何防止数据被异常篡改并且复原数据
每天,我们都在和各种文档打交道,PRD、技术方案、个人笔记等等等。 其实文档排版有很多学问,就像我,对排版有强迫症,见不得英文与中文之间不加空格。 所以,最近在做这么一个谷歌扩展插件 chrome-extension-text-formatting,通过谷歌扩展,快速将选中文本,格式化为符合...[2023/11/10]
Semantic Kernel 将成为通向Assistants的门户
OpenAI 也推出了让开发者更容易使用 OpenAI API 的开发方式——A istants API。Sam Altman 表示,市面上基于 API 构建 agent 的体验很棒。比如,Shopify 的 Sidekick 可以让用户在平台上采取行动,Discord 的 Clyde 可以让管...[2023/11/8]
记录一次内存泄漏排查过程
某天收到运维线上警报,服务器内存告警,需要处理一下。此时通过浏览器打开页面,系统可以正常访问,但是有明显卡顿。为了不影响客户使用,先重启了服务释放了内存。由于该项目平时访问量并不大,因此随着程序运行内存占用率的增长比较缓慢,直到第三天才发现从原本的10%跳到了45%。初步怀疑有内存泄漏问题需要进...[2023/11/8]
生产真实案例:震惊,几条SQL把服务器干崩了,事后还大言不惭!
大家好,我是冰河~~ 今天跟大家分享一个发生在今天凌晨的真实案例,这篇文章也是我事后临时写出来的,处理事情的过程有点无语,又有点气愤! 事件背景 事情的背景是这样的:一个朋友今年年初新开了一家公司,自己是公司的老板,不懂啥技术,主要负责公司的战略规划和经营管理,但是他们公司的很多事情他都会过...[2023/11/8]
Hundred Finance 攻击事件分析
Hundred Finance 背景知识 Hundred Finance 是 fork Compound 的一个借贷项目,在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子,因为发起攻击的前提是池子处于 empty 的状态(发行的 hToken 数量为 0...[2023/11/6]
基于iptables防火墙堵漏
之前在网上流传个段子:发现自己电脑被入侵,最有效的办法是即拔掉网线~ 虽然只是个段子,却说明一旦机器发现漏洞被入侵,阻断入侵刻不容缓,无论对个人电脑和业务服务器都是如此。 商业服务器虽然有各种防护措施,但是也不能保证百分百安全,一旦被入侵处理起来可不能直接拔网线。具体处理措施有很多,比如打各...[2023/11/6]
xxl-job默认accessToken命令执行漏洞复现
起因: 昨天看见微步发布XXL-JOB默认acce Token身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https: github.com/xuxueli/xxl-job/re...[2023/11/3]
Fiddler安装,使用及汉化教程
Fiddler安装及汉化教程 一、下载安装 1.下载 官网链接:https: www.telerik.com/download/fiddler 左侧填写用途,邮箱及城市,然后下载就可以 左侧下载即Download For Windows:Fiddler Cla ic(经典版),这个...[2023/10/25]
常见国密算法简介
SM2 SM2 国密SM2算法是中国国家密码管理局(CNCA)发布的一种非对称加密算法。它采用椭圆曲线密码体系(Elliptic Curve Cryptography,ECC)进行密钥交换、数字签名和公钥加密等操作。以下是SM2算法的主要特点和步骤: 特点: 安全性高: SM2基于椭圆曲线离...[2023/10/20]
OpenSSL 生成 RootCA (根证书)并自签署证书(支持 IP 地址)
背景 某机房内部访问需要配置 HTTPS,网上找的一些证书教程都不是特别好,有些直接生成证书,没有根 CA 的证书导致信任不了 Ubuntu 机器,有些教程只有域名生成,没有 IP 生成,有些甚至报错。故发一个笔者在 Ubuntu 22.04 机器上测试正确可用的流程,这里使用 10.12.0....[2023/10/11]
造轮子之权限管理
上文已经完成了自定义授权策略,那么接下来就得完善我们的权限管理了。不然没有数据,如何鉴权~ 表设计 创建我们的表实体类: namespace Wheel.Domain.Permi ions { public cla Permi ionGrant : Entity<Guid...[2023/10/11]