前端安全问题——暴破登录 声明：本文仅供学习和研究用途，请勿用作违法犯罪之事，若违反则与本人无关。 暴力破解登录是一种常见的前端安全问题，属于未授权访问安全问题的一种，攻击者尝试使用不同的用户名和密码组合来登录到受害者的账户，直到找到正确的用户名和密码组合为止。攻击者可以使用自动化工具，如...[2023/3/22]

一、压测工具选型 1.1、前言 压力测试是每一个Web应用程序上线之前都需要做的一个测试，他可以帮助我们发现系统中的瓶颈问题，减少发布到生产环境后出问题的几率；预估系统的承载能力，使我们能根据其做出一些应对措施。所以压力测试是一个非常重要的步骤，关于java应用的压力测试，业界常用工具为Apac...[2023/3/8]

记得有一个看到鱼皮的网站被攻击，那时候我只是一个小小号，还在调侃，没想到我居然也有那么一天！ 突袭 一个风和日丽中午，我正在和同事吃饭，一个内存oom，我的小破站崩溃了。 虽然天天被攻击吧，给我干oom了多少是不是有点离谱？？ 一个小小博客，值得这么攻击吗？我觉得肯定是不值得的。肯...[2023/2/17]

一直都是用的 Typora+微博免费图床写作，前段时间突然发现图片全都裂了，打开一看都是 403 。 开始我以为图片微博都给我删了，找了一堆平台去翻我的历史文章看图片是不是都在，找了半天发现图片要么不够清晰，要么就是文章不全，要么呢就是有水印，所有的原图基本上是找不回来了，跟不用说还有一些...[2023/2/17]

目录1.前言2.Mitmproxy 简介3.Mitmproxy 工作原理4.实践应用5.总结 1.前言 在移动商业广告的测试的工作中，经常会需要对广告请求进行捕获和分析，常使用的有两个测试工具：fiddler,Charles,这两个工具都可以对广告请求进行抓包，断点调试，请求替换，构造请求等，但...[2022/6/21]

文章首发于安全客：https: www.anquanke.com/post/id/264500 0x00 漏洞背景 今年十一月Cliff Fisher 在推特披露了CVE-2021-42278和CVE-2021-42287两个关于AD域漏洞相关信息，该漏洞影响巨大，在默认情况下只需一个域用户即...[2022/1/2]

基础概念 eBPF是kernel 3.15中引入的全新设计，将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行，注入时要先用llvm编译得到使用BPF指令集的elf文件，然后从elf文件中解析出可以注入内核...[2021/12/31]

0x1:技术背景 bpf： BPF 的全称是 Berkeley Packet Filter，是一个用于过滤(filter)网络报文(packet)的架构。（例如tcpdump)，目前称为Cbpf（Cla ical bpf） Ebpf： eBPF全称 extended BPF，Linux Ker...[2021/12/31]

背景： 针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击，需要考虑如何收敛服务器ebpf相关权限，防止被黑客利用。 静态方案： 宿主机层面： 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN 注：3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可...[2021/12/31]

0x1:应用层流程 基于Linux kernel source v5.13 1.加载bpf.o文件并处理elf section信息 1.int bpf_object__open(char *path) 参数是bpf.o文件路径 -- __bpf_object__open(const ...[2021/12/31]

0x1:基本概念 当使用tracepoint的时候，函数参数如何确认？ cat y kernel/debug/tracing/event yscall xxx/format. xxx为要跟踪的函数，在这里有函数参数定义。 0x2:注意事项 写结构体的时候一定要注意内存对齐，...[2021/12/31]

前段时间编译bpf c文件，都是用的bpf2go这个go包，这个包虽然很方便，但是指定参数比较困难， 学习到tracee falco这种大型项目都是通过makefile直接编译bpf代码，因此打算自己写Makefile clang -D__KERNEL__ -D__ASM_SYSREG_H ...[2021/12/31]

Perf Buffer常规用法： struct addrinfo 需要上传给应用层的数据结构 { int ai_flags; /* Input flags. */ int ai_family; /* Protocol family for socket...[2021/12/31]

本次记录自己测试时每一步操作，很详细。   本次复现分为curl测试和拿shell两种操作，测试完curl后体验时长到期了，只能换环境了。 本次测试环境如下： curl------------------------------------------------------ ...[2021/12/15]

在2021年3月和4月期间，av-test连续评估了21个使用默认设置的Windows系统安全产品。测试全部采用最新公开版本，测试软件全部来自官网下载，测试过程中安全软件可在云服务中查询自己的数据，测试场景全部为用户实际使用场景。 家庭版病毒防护软件结果（仅供参考）：   企...[2021/6/28]

实时时钟、系统时钟和主机服务器时钟的区别 实时时钟、系统时钟和主机服务器时钟的区别 京准电子科技官微——ahjzsz 实时时钟：RTC时钟，用于提供年、月、日、时、分、秒和星期等的实时时间信息，由后备电池供电，当你晚上关闭系统和早上开启系统时，RTC仍然会保持正确的时间和日期。 系统时钟...[2021/6/15]

0x00 序言 总结下命令执行绕过字母数字的一些小技巧。 0x01 原理 管理员为了防止任意用户输入的恶意代码导致的命令执行，在用户输入处加了一层waf拦截，waf可能是通过正则匹配过滤了字母，也可能是通过正则匹配过滤了字母和数字。 0x02 过滤了字母的绕过方式 <?php /* ...[2021/6/7]

0x00 原理 x 全称为cro site scripting，中文为跨站脚本攻击。它允许web用户将恶意代码植入到提供给用户使用的页面。代码包括HTML代码和客户端脚本。 0x01 危害 盗取用户账户(获取cookie) 控制网页数据 盗窃企业资料 非法转账 强制发送电子邮件 网站挂马 控...[2021/6/7]

0x00 原理 首先需要知道的是，redis是一种非关系型数据库。它在默认情况下，绑定在0.0.0.0:6379 ，若不采取相关策略，比如添加防火墙限制非信任IP访问，会使得redis服务暴露到公网，若未设置密码认证，可导致任意用户未授权访问redis以及读取redis数据。 攻击者可利用red...[2021/5/31]

NTP同步时钟（时钟同步服务器）助力智能抓拍系统 NTP同步时钟（时钟同步服务器）助力智能抓拍系统 京准电子科技官微——ahjzsz 方案背景： 城市道路违章停车现象一直是城市交通中的顽疾，对道路的畅通以及行人的安全存在严重影响。如何规范驾驶员的驾驶行为，对违法交通规则的行为及时准确地进...[2021/5/24]

近期CNVD爆出漏洞编号：CNVD-2021-28277，首次公开日期为2021-04-15，蓝凌oa存在多个漏洞，攻击者可利用该漏洞获取服务器控制权。今天挑选一个蓝凌OA前台任意文件读取漏洞进行分析使用。链接：https: www.cnvd.org.cn/flaw how/CNVD-2021...[2021/5/24]

0x00 原理 mysql无列名注入是报错注入的一个变种，前提是已知表名，但是不知道列名，或者只知道部分列名，可通过报错注入拼接查询自身表，当自表被拼接时，由于存在重复属性列，会将列信息报错返回，这样我们就能知道表中的列名，再select 列名 from 表名 可直接查询出对应的数据。 0x01...[2021/5/24]

时间同步（NTP/PTP）技术原理介绍 时间同步（NTP/PTP）技术原理介绍 京准电子科技官微——ahjzsz 1.前言 由计算机网络系统组成的分布式系统，若想协调一致进行：IT行业的“整点开拍”、“秒杀”、“Leader选举”，通信行业的“同步组网”之类业务处理，毫秒级甚至微秒级的时...[2021/5/24]

0x00 原理 变量覆盖漏洞可以让用户定义的变量值覆盖原有程序变量，可控制原程序逻辑。 0x01 代码 <?php highlight_file(''index.php''); function waf($a){ foreach($a as $key => $value...[2021/5/24]

基于PTP协议的时钟服务器（授时服务器）设计 基于PTP协议的时钟服务器（授时服务器）设计 京准电子科技官微——ahjzsz 1、 引言 　　以太网技术由于其开放性好、价格低廉和使用方便等特点，已经广泛应用于电信级别的网络中，以太网的数据传输速度也从早期的10M提高到100M，G...[2021/5/6]

今年，国家网信办深入推进“清朗·春节网络环境”专项行动。截至3月24日，网信办共累计清理相关违法违规信息208万余条，处置账号7.2万余个，协调关闭、取消备案网站平台2300余家。 可以预见的是，国家网信办严打违法违规信息会成为常态，网络安全政策更是一年比一年严格，企业约谈、整顿、罚款、关停的...[2021/4/19]

GPS时钟同步设备（PTP时钟系统）助力广东省天然气管网公司 GPS时钟同步设备（PTP时钟系统）助力广东省天然气管网公司 京准电子科技官微——ahjzsz 2021年3月下旬，我京准科技生产研发的GPS时钟同步设备（PTP时钟系统）成功投运广东省天然气管网有限公司，为该企业所管辖的天然气...[2021/4/12]

# SQL注入小记 ## 分类 联合查询 布尔盲注 报错注入 延时注入 堆叠查询 get  post  cookie  http头部 ## mysql元数据库数据库 informati...[2021/4/12]

金融行业网络时钟系统（NTP时间同步）技术应用方案 金融行业网络时钟系统（NTP时间同步）技术应用方案 京准电子科技官微——ahjzsz 随着金融市场的不断发展、信息化程度的不断提高，金融信息系统构成已逐渐完成量变到质变的转化，各个系统不再独自处理各自业务而是趋向协同工作，逐渐形成信息系统...[2021/3/1]

网络时间服务器（NTP服务器）应用铁路计算机联锁系统 网络时间服务器（NTP服务器）应用铁路计算机联锁系统 安徽京准电子官微——ahjzsz 1 系统概述 KJS-MCIS模块化计算机联锁系统(以下简称MCIS) 是由我公司自主开发的模块化计算机联锁系统，该系统符合原铁道部颁布的《计...[2021/3/1]

转载地址 注意 要尽量删除数据，请在运行cipher /w时关闭其他所有应用程序。 1.如果你在格式化磁盘后想要防止数据被恢复， Format 命令，而现在只需在其后添加 /P 参数，即可用随机数据覆盖已格式化的分区指定次数。 例如，运行命令： format D: /P:5 2.不想...[2021/3/1]

浅谈PTP精密时钟同步（GPS北斗授时）原理及应用 浅谈PTP精密时钟同步（GPS北斗授时）原理及应用 京准电子科技官微——ahjzsz 在如今时频行业市场中，时间服务器占到了很大一部分比重。其多元化的授时方式，良好的易操作性和可维护性更是受到了一些需要用到时间同步技术的行业青睐。但是由于...[2021/3/1]

　　本篇主要介绍了基于OpenSSL的PKI的PKI数字证书系统实现，利用OpenSSL建立一个CA中心的详细解决方案和建立的具体步骤。 1、PKI数字证书系统设计 　　PKI数字证书系统主要包括证书颁发机构CA、注册机构RA和公共查询数据库三个部分，基本框架如下:  ...[2021/2/18]

　　下面给出PKI利用SRAM PUF实现芯片标识唯一性的方法思路： PKI利用SRAM PUF实现芯片标识唯一性的方式 (1)使用PUF原因 　　物理上不可克隆函数利用硅制造的自然变化来产生每个芯片统计上唯一的不可预测的值。这种芯片底层物理结构的差异是完全随机的，而且不可能消除，...[2021/2/18]

北斗授时服务器（时钟系统）行业新风口阐述 北斗授时服务器（时钟系统）行业新风口阐述 京准电子科技官微——ahjzsz 纵观中国历史，秦始皇所作出的卓越功绩绝非是一般帝王所能比拟的，不但建立了现今位列世界八大奇观的万里长城，更是实现了国家的统一，这种统一不只是土地的统一，更是文字、钱...[2021/2/18]

第一次写自己总结的文章，之后也会有更新，目前还在初学阶段。 首先介绍一下靶机，靶机是 vulnhub Os-hackNos-1 简介: 难度容易到中， flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt 靶机的地址：https: www.vu...[2021/2/18]

时间统一（时间同步）对全球化发展进程的影响力 时间统一（时间同步）对全球化发展进程的影响力 京准电子科技官微——ahjzsz 在人类历史的长河中，时间一直协调着人与自然以及人与人之间的关系，它为我们的社会生活和生产提供了秩序。一切社会活动的顺利开展都需要我们遵守共同的时间体系，然而...[2021/2/18]

背景： 网络安全法第三章第二十一条明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。 为了满足合规性的要求，应当建设相应的日志采集存储系统。 市面上不少日志系统价格不菲，所以考虑在Centos 7.6环境下，基于MariaDB...[2021/2/18]

目录信息收集信息收集手段被动信息收集主动信息收集信息收集阶段要做什么？域名子域名子目录真实物理路径真实ip真实ip段旁站后台端口服务操作系统cms(指纹)waf防火墙社工库其他信息收集的实现（重点）Google Hack or Baidu Hackcdn判断及绕过子域名获取子目录及真实路...[2021/2/18]

欧几里得算法 欧几里得算法，也叫辗转相除，简称 gcd，用于计算两个整数的最大公约数 　　定义 gcd(a,b) 为整数 a 与 b 的最大公约数 给定整数a和b，且b>0，重复使用带余除法，即每次的余数为除数去除上一次的除数，直到余数为0，这样可以得到下面一组方程： ...[2021/1/25]

解读NTP网络时间服务器（GPS北斗时钟服务器） 解读NTP网络时间服务器（GPS北斗时钟服务器） 京准电子科技官微——ahjzsz 分布式系统由Tanenbaum定义，“分布式系统是一组独立的计算机，在”分布式系统?—?原理和范例“中作为用户的单一，连贯的系统出现”。 区块链通...[2021/1/18]

制药行业SCADA系统架设NTP时钟服务器（网络时间服务器） 制药行业SCADA系统架设NTP时钟服务器（网络时间服务器） 京准电子科技官微——ahjzsz 导言 随着德国“工业4.0”概念的提出，智能制作成为全球制作业的研讨热门，柔性制作、灵敏制作、数字化车间等先进的制作理念层出不穷...[2021/1/18]

NTP时钟服务器,NTP授时服务器,时间同步服务器 NTP时钟服务器,NTP授时服务器,时间同步服务器 安徽京准电子科技官微——ahjzsz GPS时间同步的原理和技术 1、有关时间的一些基本概念：  时间与频率之间互为倒数关系，两者密不可分，时间标准的基础是频率标准...[2021/1/4]

GPS北斗卫星时钟（卫星时间同步系统）投运四川华能宝兴河水电 GPS北斗卫星时钟（卫星时间同步系统）投运四川华能宝兴河水电 安徽京准电子官微——ahjzsz 2020年9月中旬，我华人开创生产研发的PTP网络时钟服务器成功投运四川华能宝兴河水电有限责任公司，为该企业的计算机网络系统...[2020/12/28]

OWASP API 安全 TOP 10 今天先到这儿，希望对云原生，技术领导力， 企业管理，系统架构设计与评估，团队管理, 项目管理, 产品管管，团队建设 有参考作用 , 您可能感兴趣的文章: 领导人怎样带领好团队 构建创业公司突击小团队 国际化环境下系统架...[2020/12/28]

首先来看一段HmacSHA1加密和SHA1加密的代码 #!/usr/bin/env python # -*- coding: utf-8 -*- """ Created on 1/31/18 10:03 AM @author: Chen Liang @function: HmacSH...[2020/12/21]

  参考内容 https: www.cnblogs.com/my466879168/p/12902799.html https: www.cnblogs.com/poloyy/p/12231357.html  首先给大佬们鞠躬了！！   一、安装...[2020/12/14]

NTP时间同步服务器,GPS时钟系统,北斗授时产品,京准科技 NTP时间同步服务器,GPS时钟系统,北斗授时产品,京准科技 京准电子科技官微——ahjzsz 1、系统概述： 安徽京准HR系列数字子母钟系统主要为医院提供准确、标准的时间，系统采用GPS与北斗卫星导航定位系统中的时标...[2020/12/8]

Snort实验 一．实验环境 操作系统：ubuntu18.04、Kali 实验工具：snort、vmware workstation 1号机IP:192.168.204.131 2号机IP:192.168.204.132 二．实验内容 在进行Snort配置前需要搭建实验环境，...[2020/12/8]

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。 基于“对称密钥”的加密算法主要有DES、3DES（TripleDES）、AES、RC2、RC4、RC5和Blowfish等，当前最为安全的是 AES 加密算法。 密钥 ...[2020/12/8]