web安全

白帽子黑客杰哥

护网行动，我该如何准备？“护网行动”是由国家相关部门组织的网络安全防护演练行动。它通过模拟真实的网络攻击，来检验和提升关键信息基础设施等重要信息系统的安全防护能力。

XSS攻击和CSRF攻击的区别, 完整示例攻击和防御介绍XSS（跨站脚本攻击，Cross-Site Scripting）和 CSRF（跨站请求伪造，Cross-Site Request Forgery）是两种常见的 Web 安全漏洞，它们的攻击原理、目标和防御方式有显著区别。下面将从定义、攻击流程、完整示例、危害、防御措施等方面进行详细对比说明。

API 使用 Bearer Token 为什么可天然防 CSRFAPI 使用 Bearer Token 能天然防御 CSRF（跨站请求伪造）攻击，其核心原因在于浏览器不会自动在跨站请求中携带 Bearer Token，而 CSRF 攻击恰恰依赖于浏览器的“自动携带凭证”机制。下面从原理层面详细解释：

白帽子黑客杰哥

网络安全工程师面试常见技术问题网络协议与模型OSI七层模型：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层TCP/IP四层模型：应用层、传输层、网络层、网络接口层

CTF 及网络安全相关平台汇总表

中科大计算机网络——网络安全证明：求幂次方和求模运算代价非常大使用公开密钥加密体系作认证的缺陷：中间人攻击本质原因：Bob没有拿到真正Alice的公钥

上海云盾第一敬业销售

高防CDN助力网络安全升级随着互联网的迅猛发展，网络攻击的频率和复杂性也在不断增加。企业和个人网站常常成为攻击的目标，导致数据泄露和服务中断。为了有效抵御这些攻击，越来越多的组织开始使用高防CDN（内容分发网络），它不仅能提升网站访问速度，还能提供强大的安全防护功能。本文将深入探讨高防CDN如何让攻击无所遁形，并帮助企业实现网络安全的全面升级。

网络安全防护指南：筑牢网络安全防线（510）网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。在当今数字化时代，网络已经成为人们生活和工作中不可或缺的一部分。它连接了世界各地的人们，使得信息的传递和交流变得更加便捷高效。

劝退，劝退，关于自学/跳槽/转行做网络安全行业的一些建议很好，如果你是被题目吸引过来的，那请看完再走，还是有的~如何自学入行？如何小白跳槽，年纪大了如何转行等类似问题，发现很多人都有这样的困惑。下面的文字其实是我以前的一个回答，就以文章的形式发出来，希望能帮助到各位读者吧~

API攻防&系统攻防笔记分享核心定义： API 的全称是应用程序编程接口。它是一组预定义的规则、协议和工具，允许不同的软件应用程序之间相互通信和交换数据。

漏洞文库-Web安全

CTF密码学之SM4SM4.0（原名SMS4.0）是我国采用的一种分组密码标准，由国家密码管理局于2012年3月21日发布。相关标准为“GM/T 0002-2012《SM4分组密码算法》（原SMS4分组密码算法）”。在商用密码体系中，SM4主要用于数据加密，其算法公开，分组长度与密钥长度均为128bit，加密算法与密钥扩展算法都采用32轮非线性迭代结构，S盒为固定的8比特输入8比特输出。SM4.0中的指令长度被提升到大于64K（即64×1024）的水平，这是SM 3.0规格（渲染指令长度允许大于512）的128倍。

虹科网络安全

艾体宝洞察 | 图数据驱动：网络安全威胁管理从分散情报到攻击图谱在网络安全领域，攻击从来不是一个孤立事件。一次看似普通的钓鱼邮件，背后可能隐藏着多跳跳转、多个系统交互和不同阶段的攻击行为。但现实是，大多数企业的安全日志、IOC情报、资产信息被分散在多个系统中，信息割裂严重，导致安全团队即便拥有足够的数据，也很难真正理解“攻击发生了什么”。这正是当前威胁管理体系面临的最大瓶颈：情报繁多，但洞察不足；告警众多，但关联能力欠缺。

NewStarCTF2025-Week5-Web目录1、眼熟的计算器2、废弃的网站3、小W和小K的故事（最终章）4、Binary Blog反编译jar包看源码

CTF 逆向一脸懵？这篇攻略把破解技巧讲透，新手也能快速上手！1、背景在CTF比赛中, CTF逆向题目除了需要分析程序工作原理, 还要根据分析结果进一步求出FLAG。逆向在解题赛制中单独占一类题型, 同时也是PWN题的前置技能。在攻防赛制中常与PWN题结合。CTF逆向主要涉及到逆向分析和破解技巧，这也要求有较强的反汇编、反编译、加解密的功底。

[CTF]攻防世界：ics-05题目描述: 其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统base64decode后存在简单过滤：

漏洞文库-Web安全

[CTF]PHP反序列化总结序列化其实就是将数据转化成一种可逆的数据结构，自然，逆向的过程就叫做反序列化。在网上找到一个比较形象的例子

【2025-11-28】软件供应链安全日报：最新漏洞预警与投毒预警情报汇总「2025年11月28日」新增「36」条漏洞预警信息，其中漏洞评级：高危，8.5 修复建议：建议修复 POC情况：暂无POC 漏洞描述：在Logpoint 7.7.0之前的版本中，多个组件的输入验证不足和输出转义缺失导致存在跨站脚本（XSS）漏洞。影响范围： siem，(-∞,7.7.0) 参考链接： https://www.oscs1024.com/hd/MPS-3egx-dnqt

【2025-11-29】软件供应链安全日报：最新漏洞预警与投毒预警情报汇总「2025年11月29日」新增「10」条漏洞预警信息，其中漏洞评级：高危，8.8 修复建议：建议修复 POC情况：暂无POC 漏洞描述：在org.lz4的lz4-java版本1.8.0及更早版本中，存在边界外的内存操作漏洞，这使得远程攻击者能够通过不受信任的被压缩输入导致拒绝服务并读取相邻内存。影响范围：参考链接： https://www.oscs1024.com/hd/MPS-tpl2-q0b5

渗透测试之sql注入--盲注本内容为sql注入的一部分，sql注入靶场为 sqli-labs 靶场如有对sql不熟悉的可以查看 MYSQL 笔记如需更多靶场，请查看渗透测试靶场合集

世界尽头与你

跨站请求伪造（CSRF）漏洞CSRF攻击的核心是利用用户在当前网站（如银行、邮箱、社交网络）的登录状态。浏览器会自动携带用户的Cookie等认证信息发送请求，而攻击者通过构造一个恶意链接或页面，诱骗已经登录的用户去点击或访问，从而让用户的浏览器在用户不知情的情况下向目标网站发送一个请求。对于服务器来说，这个请求看起来就是用户自己发出的合法请求。