经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
 网络安全

知名压缩软件 xz 被植入后门,黑客究竟是如何做到的?

昨天,Andres Freund 通过电子邮件告知 o -security@ 社区,他在 xz/liblzma 中发现了一个隐藏得非常巧妙的后门,这个后门甚至影响到了 OpenSSH 服务器的安全。Andres 能够发现并深入调查这个问题,实在令人敬佩。他在邮件中对整个事件进行了全面的总结,所以...[2024/4/3]

我们正在被 DDoS 攻击,但是我们啥也不干,随便攻击...

最近,一场激烈的攻防大战在网络世界悄然上演。 主角不是什么国家安全局或者黑客组织,而是一家名不见经传的创业公司——TablePlus。 DDoS 攻击者们摩拳擦掌,跃跃欲试。他们从四面八方蜂拥而至,誓要用数亿次请求把 TablePlus 的服务器挤爆、搞垮。特别是那些来自德国和英国的流量,简...[2024/4/1]

遭遇DDOS攻击忍气吞声?立刻报警!首都网警重拳出击,犯罪分子无所遁形

公元2024年2月24日18时许,笔者的个人网站突然遭遇不明身份者的DDOS攻击,且攻击流量已超过阿里云DDos基础防护的黑洞阈值,服务器的所有公网访问已被屏蔽,由于之前早已通过Nginx屏蔽了所有国外IP,在咨询了阿里云客服之后,阿里网安的老同事帮助分析日志并进行了溯源,客服建议笔者选择立...[2024/2/26]

糟糕,接口被刷了,怎么办?

前言 在面试时,经常会被问一个问题:如何防止别人恶意刷接口? 这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。 1 防火墙 防火墙是网络安全中最基本的安全设备之一,主要用于防止未经授权的网络访问和攻击。 防火墙可以防止的攻击行为包括: 无...[2024/2/18]

《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(1)-初识Wireshark - 北京-宏哥

1.简介   前边已经介绍过两款抓包工具,应该是够用了,也能够处理在日常工作中遇到的问题了,但是还是有人留言让宏哥要讲解讲解Wireshark这一款抓包工具,说实话宏哥之前也没有用过这款工具,只能边研究边分享。换句话说就是现学现卖,希望大家不要介意,宏哥这里的分享仅供你参考学习,有错误的地方也欢...[2024/2/2]

SQL手工注入

两要素 用户能够控制输入的内容 web应用把用户输入的内容,在没有经过过滤或者严格过滤的情况下带入到数据库中执行 分类 GET和POST 整数型,字符型,搜索型 万能密码 ’1 or 1 = 1# 1 or 1 = 1# 注释符: -- (后面有空格) --+ %23 注入流程: ...[2024/1/29]

【译】解开托管内存的秘密:深入了解事件处理程序泄漏!

  事件处理程序泄漏已经存在很长时间了,这是 WPF (Windows Presentation Foundation)开发人员经常要处理的最麻烦的问题之一。您可能会想:是什么让事件处理程序泄漏如此重要?事件处理程序泄漏很容易引起,只需忘记取消订阅事件即可。此外,它们很难发现,甚至更难修复。 ...[2024/1/26]

SQL注入详解

一、SQL注入 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件, 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 var sql = "select * from tableName where name=''" + "test" ...[2024/1/24]

Charles的奇巧淫技

大家好,我是 dom 哥。今天讨论一下 Charles 的高级用法。 Charles 是 mac 电脑的一个网络代理软件,也是我平时开发常用的一个工具,用过的都说好??。 本文不是 Charles 的入门介绍,而是针对一些特殊使用场景的摸索和总结。 Tools > Map Remo...[2023/12/27]

如果让你来设计消息加密

如果让你来设计消息加密

你是跑码场的一个程序员,名字叫招财。 利用上班摸鱼的时间编写了一个简易的即时通讯软件,并发布到了网上。过了一段时间,你在软件上突然收到一条私信。 “小哥哥,我很喜欢你写的这个软件,我也是程序媛,希望以后能多多和您交流。” 你望了望四周,没有人表现得异常,于是你确认不是同事在逗自己。 你兴...[2023/12/22]

通过访问URL地址,5分钟内渗透你的网站!很刑很可拷!

今天我来带大家简单渗透一个小破站,通过这个案例,让你深入了解为什么很多公司都需要紧急修复各个中间件的漏洞以及进行URL解析拦截等重要操作。这些措施的目的是为了保护网站和系统的安全性。如果不及时升级和修复漏洞,你就等着被黑客攻击吧! 基础科普 首先,我想说明一下,我提供的信息仅供参考,我不会透露...[2023/12/8]

黑客玩具入门——6、网络嗅探

黑客玩具入门——6、网络嗅探

1、网络嗅探:使用TCPDump分析网络数据 TCPDump是一款资深网络工作人员必备的工具。TCPDump是一款小巧的纯命令行工具,正是因为它的体积小巧,所以这款工具可以完美的运行在大多数路由器,防火墙以及Linux系统中。而且TCPDump现在有了Windows版本。 TCPDump的使用...[2023/12/1]

黑客玩具入门——1、前言与装机

一切的一切,希望你做一个正直的、心地善良的人。 1、虚拟机安装指南 常用的虚拟机有VMware和virtualbox。咱们使用VMware来安装虚拟机。 然后我们通过百度搜索VMware,找到下载方式下载VMware-workstation-16即可。也可以在我的网盘中找到。 下载完成后,就...[2023/11/29]

6k Star!B站、滴滴、小红书都在用的网站防火墙

6k Star!B站、滴滴、小红书都在用的网站防火墙

你有网站么?你担心网站被黑客攻击么?你知道如何抵御来自黑客的攻击吗? 据称互联网上有 30% 的流量都来自于恶意攻击。做过 Web 开发或者有过建站经验的朋友对 SQL 注入、CC 攻击、XSS、WebShell 等名词应该并不陌生,如果你经常在日志中看到各种奇奇怪怪的请求,这说明你的...[2023/11/22]

前端如何防止数据被异常篡改并且复原数据

每天,我们都在和各种文档打交道,PRD、技术方案、个人笔记等等等。 其实文档排版有很多学问,就像我,对排版有强迫症,见不得英文与中文之间不加空格。 所以,最近在做这么一个谷歌扩展插件 chrome-extension-text-formatting,通过谷歌扩展,快速将选中文本,格式化为符合...[2023/11/10]

Semantic Kernel 将成为通向Assistants的门户

OpenAI 也推出了让开发者更容易使用 OpenAI API 的开发方式——A istants API。Sam Altman 表示,市面上基于 API 构建 agent 的体验很棒。比如,Shopify 的 Sidekick 可以让用户在平台上采取行动,Discord 的 Clyde 可以让管...[2023/11/8]

记录一次内存泄漏排查过程

记录一次内存泄漏排查过程

某天收到运维线上警报,服务器内存告警,需要处理一下。此时通过浏览器打开页面,系统可以正常访问,但是有明显卡顿。为了不影响客户使用,先重启了服务释放了内存。由于该项目平时访问量并不大,因此随着程序运行内存占用率的增长比较缓慢,直到第三天才发现从原本的10%跳到了45%。初步怀疑有内存泄漏问题需要进...[2023/11/8]

生产真实案例:震惊,几条SQL把服务器干崩了,事后还大言不惭!

大家好,我是冰河~~ 今天跟大家分享一个发生在今天凌晨的真实案例,这篇文章也是我事后临时写出来的,处理事情的过程有点无语,又有点气愤! 事件背景 事情的背景是这样的:一个朋友今年年初新开了一家公司,自己是公司的老板,不懂啥技术,主要负责公司的战略规划和经营管理,但是他们公司的很多事情他都会过...[2023/11/8]

Hundred Finance 攻击事件分析

Hundred Finance 背景知识 Hundred Finance 是 fork Compound 的一个借贷项目,在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子,因为发起攻击的前提是池子处于 empty 的状态(发行的 hToken 数量为 0...[2023/11/6]

基于iptables防火墙堵漏

之前在网上流传个段子:发现自己电脑被入侵,最有效的办法是即拔掉网线~ 虽然只是个段子,却说明一旦机器发现漏洞被入侵,阻断入侵刻不容缓,无论对个人电脑和业务服务器都是如此。 商业服务器虽然有各种防护措施,但是也不能保证百分百安全,一旦被入侵处理起来可不能直接拔网线。具体处理措施有很多,比如打各...[2023/11/6]

xxl-job默认accessToken命令执行漏洞复现

起因: 昨天看见微步发布XXL-JOB默认acce Token身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4  环境准备: 1、下载即可:https: github.com/xuxueli/xxl-job/re...[2023/11/3]

Fiddler安装,使用及汉化教程

Fiddler安装及汉化教程 一、下载安装 1.下载 官网链接:https: www.telerik.com/download/fiddler 左侧填写用途,邮箱及城市,然后下载就可以 左侧下载即Download For Windows:Fiddler Cla ic(经典版),这个...[2023/10/25]

常见国密算法简介

SM2 SM2 国密SM2算法是中国国家密码管理局(CNCA)发布的一种非对称加密算法。它采用椭圆曲线密码体系(Elliptic Curve Cryptography,ECC)进行密钥交换、数字签名和公钥加密等操作。以下是SM2算法的主要特点和步骤: 特点: 安全性高: SM2基于椭圆曲线离...[2023/10/20]

OpenSSL 生成 RootCA (根证书)并自签署证书(支持 IP 地址)

OpenSSL 生成 RootCA (根证书)并自签署证书(支持 IP 地址)

背景 某机房内部访问需要配置 HTTPS,网上找的一些证书教程都不是特别好,有些直接生成证书,没有根 CA 的证书导致信任不了 Ubuntu 机器,有些教程只有域名生成,没有 IP 生成,有些甚至报错。故发一个笔者在 Ubuntu 22.04 机器上测试正确可用的流程,这里使用 10.12.0....[2023/10/11]

造轮子之权限管理

上文已经完成了自定义授权策略,那么接下来就得完善我们的权限管理了。不然没有数据,如何鉴权~ 表设计 创建我们的表实体类: namespace Wheel.Domain.Permi ions { public cla Permi ionGrant : Entity<Guid...[2023/10/11]

这款 7k Star 的国产监控系统,真不错!

我们都知道天下没有“永不宕机”的系统,但每次线上出问题都要拉出一个程序员“祭天”。所以一款靠谱、好用的监控工具就显得十分重要,它可以在生产环境出故障的第一时间发出告警,并提供详实的数据,帮助程序员尽早发现故障、尽快定位问题。 可以毫不夸张地说:监控就是运维的眼睛、研发的“免死金牌”,程序员...[2023/10/11]

【故障公告】遭遇用心良苦的疯狂攻击:DDoS + CC攻击 团队

【10月3日10:48更新】这次攻击水平很高很专业,动用了很多国内的肉鸡,专门针对我们采用的低成本躲避 DDoS 攻击的部署方式。下手非常之狠,不给任何反应机会。目标非常明确,就是要被攻击域名的全部访问被阿里云黑洞屏蔽20分钟。这次攻击很完美,唯一的缺点就是太完美了,因为攻击这个破园子,没必要...[2023/10/9]

618京东到家APP-门详页反爬实战

一、背景与系统安全需求分析 1. 系统的重要性 上图所示是接口所属位置、对电商平台或在线商店而言,分类查商品都是很重要的,通过为用户提供清晰的商品分类,帮助他们快速找到所需产品,节省浏览时间,提升购物效率,是购物结算产生GMV的核心环节。那么电商平台为什么都很看重商品信息的爬取? a....[2023/9/15]

对称加密 vs 非对称加密

计算机网络在给我们带来便利的同时,也存在很多安全隐患,比如信息伪造,病毒入侵,端点监听,SQL 注入等,给我们日常生活造成很严重的影响。 那么这篇文章我就跟大家聊聊常见的网络安全隐患,只作为科普,不能作为网安系列文章。 网络安全性威胁的种类 在网络通信中可能会受到各种各样的潜在的安全性威胁,...[2023/9/14]

域名扫描工具subDomainBrute源码分析

SubDomainsBrute简介 ? SubDomainsBrute是一款目标域名收集工具 ,用小字典递归地发现三级域名、四级域名、五级域名等不容易被探测到的域名。字典较为全面,小字典就包括3万多条,大字典多达8万条。默认使用114DNS、百度DNS、阿里DNS这几个快速又可靠的公共DNS进...[2023/9/13]

SQL注入简介

SQL注入(SQL Injection)是一种计算机安全漏洞,它允许攻击者通过操纵应用程序的输入来执行恶意的SQL查询,从而访问、修改或删除数据库中的数据。这种攻击通常发生在应用程序未正确验证、过滤或转义用户输入的情况下。以下是一个SQL注入的简单示例: 假设有一个基于Web的应用程序,用于验...[2023/9/9]

一款国产开源 Web 防火墙神器!

随着开源 Web 框架和各种建站工具的兴起,搭建网站已经是一件成本非常低的事情,但是网站的安全性很少有人关注,以至于 WAF 这个品类也鲜为人知。 一、WAF 是什么? WAF 是 Web 应用防火墙(Web Application Firewall)的缩写,也就是我们俗称的网站防火墙。它...[2023/9/6]

《Kali渗透基础》15. WEB 渗透

@目录1:WEB 技术1.1:WEB 攻击面1.2:HTTP 协议基础1.3:AJAX1.4:WEB Service2:扫描工具2.1:HTTrack2.2:Nikto2.3:Skipfish2.4:Arachni2.5:OWASP-ZAP2.6:BurpSuite2.7:AWVS2.8:App...[2023/8/29]

银河麒麟SP2 auditd服务内存泄露问题

这几天遇到基于海光服务器的银河麒麟V10 SP2版本操作系统出现内存无故增长问题。 排查发现auditd服务,占用了大量内存。 我的环境是银河麒麟V10 SP2 524,audit版本audit-3.0-5.se.06 ==5037== HEAP SUMMARY: ==5037== ...[2023/8/29]

Web通用漏洞--sql注入

SQL注入 mysql注入目的:获取当前web权限 mysql注入--常规查询&union联合查询 MYSQL--Web组成架构 服务器搭建web服务可能存在多个站点搭建在一台服务器中,数据集中存储在数据库中,因此对数据库的管理也可以分为两种架构: 统一用户管理数据库,即对所有站点...[2023/8/29]

记录一次内网渗透过程

记录一次内网渗透过程 0x01 前言: 一切以学习为主,记录一次小小的攻击过程 本次是通过外网漏洞撕开的口子,主要通过一下方式 拿到了目标资产 nday扫一扫 弱口令爆一爆 上传接口找一找 后台上传找一找 数据库弱口令 关注新day,有了立马在资产里面跑一下 逻辑漏洞什么的就不要了,只要能...[2023/8/18]

数据安全之数据库字段加解密检索和前端返回脱敏?看看我这个最强解决方案

数据安全之数据库字段加解密检索和前端返回脱敏?看看我这个最强解决方案 前言 数据安全一直是我们老生常谈的话题了,随着国产化的日渐推进和数字化信息改革,数据安全越来越被人们所重视。数据库作为存储、管理和检索数据的核心基础设施,其中可能包含着大量的敏感信息,如个人手机号、身份证号码、银行账户、家庭地...[2023/8/14]

#Powerbi 1分钟学会,设置有密码保护的powerbi报告

#Powerbi 1分钟学会,设置有密码保护的powerbi报告

目前,有一些朋友和笔者一样,公司暂时没有部署powerbi服务器,但是有时也需要使用powerbi共享一些看板。 如果直接将制作好的报告直接发布在公网上,又存在一定的风险,即便可能只是公布1天。 那么有没有办法,可以让咱们的报告能在短期内受到保护呢? 今天,我们就花1分钟来学习一下,通过书...[2023/8/2]

同态加密为什么能被称为密码学的“圣杯”?

同态加密是一种支持数据密态处理的密码学技术,可以广泛应用于云计算、医疗、金融等领域。本热心小编不允许还有人不知道什么是同态加密!都给小编进来学!(天空一声巨响 ?? 小编闪亮登场 ??~) 一、什么是同态加密 全同态加密是一种加密技术,允许在不解密的前提下,对密文进行一些有意义的运...[2023/8/2]

如何生成一个足够安全又容易记住的密码?

本文提到的计算方法已由 随机密码生成器&密码强度计算器 实现。一些基本的密码学概念可以参考 密码学概念科普(加密算法、数字签名、散列函数、HMAC)。 什么是密码强度? 密码强度是指破解一个密码需要尝试的次数,其本质是密码所包含信息熵的大小。所以通常不是使用十进制数字来表示,而是用这个...[2023/7/5]

辅助测试和研发人员的一款小插件【数据安全】

一、为什么要做一款这样的小插件 数据,一直在思考如何让数据更安全的流转和服务于客户,围绕这样的想法,我们做过许多方面的扩展。我们落地了服务端的数据切片支持场景化的设计,实现了基于JDBC协议对SQL的拦截与切片,实现了在应用层的全链路数据库审计方案和实现,实现了WEB端明暗水印和文档水印等等,但...[2023/5/30]

安全测试实践-万家APP越权逻辑漏洞挖掘

逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以越权逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。 一、什么是越权逻辑漏洞 定义: 指由于系统的权限控制逻辑不够严谨,使得系统用户可以访问或操作未授权的数据和功能。包括水平越权和垂直越权。 水平越权: ...[2023/5/30]

[安全开发] SQL注入扫描(一股子GPT味~)

实际上大部分都是它写的,它真我哭 SQL注入扫描就是一种用于检测和预防SQL注入攻击的工具。它通过模拟SQL注入攻击的方式,向目标网站发送特定的SQL查询语句,以验证目标网站是否存在SQL注入漏洞。SQL注入扫描的过程通常分为以下几个步骤: 收集信息:扫描器会首先向目标网站发送各种类型的...[2023/5/22]

服务器遭受攻击之后的常见思路

哈喽大家好,我是咸鱼   不知道大家有没有看过这么一部电影:   这部电影讲述了男主是一个电脑极客,在计算机方面有着不可思议的天赋,男主所在的黑客组织凭借着超高的黑客技术去入侵各种国家机构的系统,并引起了德国秘密警察组织、欧洲刑警组织的重视   刚开...[2023/4/24]

记录一次最近遇到的新网络诈骗经历,大家要提高警惕啊

第一次接到诈骗电话,说是要求修改支付宝信息的,一开始说的确实是很迷惑人,一下子可能没法马上分辨出来,但是到后面说要加QQ操作什么什么的,那肯定就是有严重问题的,因为很多诈骗都是通过QQ来操作的,一听到这个就要警惕了。 他的诈骗流程是这样的: 先是说你的支付宝花呗要调整利率...[2023/4/24]

项目讲解之常见安全漏洞

本文是从开源项目 RuoYi 的提交记录文字描述中根据关键字漏洞|安全|阻止筛选而来。旨在为大家介绍日常项目开发中需要注意的一些安全问题以及如何解决。 项目安全是每个开发人员都需要重点关注的问题。如果项目漏洞太多,很容易遭受黑客攻击与用户信息泄露的风险。本文将结合3个典型案例,解释常见的安全...[2023/4/19]

关于账号安全的一些思考

目录声明0x01-提升账号安全的目的0x02-问题分析1、攻击思路1.1、页面关键点拆解1.2、关于提升账号成本2、攻击行为3、黑产资源维度1:资源维度2:作弊工具0x03-矛与盾资源维度1、IP资源1.1、IP资源介绍1.2、攻击方式(1)IP池实现逻辑(2)IP池页面展示1.3、防御思路(1...[2023/4/10]

前端安全问题——暴破登录

前端安全问题——暴破登录 声明:本文仅供学习和研究用途,请勿用作违法犯罪之事,若违反则与本人无关。 暴力破解登录是一种常见的前端安全问题,属于未授权访问安全问题的一种,攻击者尝试使用不同的用户名和密码组合来登录到受害者的账户,直到找到正确的用户名和密码组合为止。攻击者可以使用自动化工具,如...[2023/3/22]

压测工具Jmeter介绍及使用

一、压测工具选型 1.1、前言 压力测试是每一个Web应用程序上线之前都需要做的一个测试,他可以帮助我们发现系统中的瓶颈问题,减少发布到生产环境后出问题的几率;预估系统的承载能力,使我们能根据其做出一些应对措施。所以压力测试是一个非常重要的步骤,关于java应用的压力测试,业界常用工具为Apac...[2023/3/8]

夭寿啦!我的网站被攻击了了735200次还没崩

记得有一个看到鱼皮的网站被攻击,那时候我只是一个小小号,还在调侃,没想到我居然也有那么一天! 突袭 一个风和日丽中午,我正在和同事吃饭,一个内存oom,我的小破站崩溃了。 虽然天天被攻击吧,给我干oom了多少是不是有点离谱?? 一个小小博客,值得这么攻击吗?我觉得肯定是不值得的。肯...[2023/2/17]

124
2
记录数:531 页数:1/1112345678910下一页尾页
 友情链接:直通硅谷  直通硅谷 怎么样 mac软件下载
加载更多