网络安全

2301_780303904 小时前
运维·web安全·网络安全·自动化·安全威胁分析
网络安全、自动化运维、ERP、CRM、MES主页:http://www.mdrsec.com产品功能特性:http://www.docs.mdrsec.com
学逆向的5 小时前
开发语言·汇编·算法·网络安全
汇编——内存三种合法基础读写格式总公式 有效地址 EA = 基址寄存器 + 变址寄存器 × 比例因子 + 偏移立即数 比例因子仅允许:1、2、4、8
学逆向的10 小时前
开发语言·汇编·算法·网络安全
汇编——位运算核心逻辑拆解关键规则 计算机负数用补码存储,-B = B按位取反 + 1(NOT B + 1),减法等价「被减数 + 减数的补码」,复用上面一套加法位运算逻辑 实例演示:4 - 5
福来阁86号技师13 小时前
网络安全·ctf·awd
2026-now 网络安全笔记CSRF 的本质:攻击者诱导受害者浏览器向目标站点发起非预期请求。成立条件常见载体特点适合攻击的接口SSRF 的本质:攻击者控制服务端或受信组件向指定目标发起请求。
数据知道11 小时前
安全·网络安全·漏洞修复·安全报告·渗透测试报告
安全报告怎么写才专业:渗透测试报告模板与踩坑很多渗透工程师技术不差,报告却被吐槽:专业安全报告要同时满足四类读者:一句话标准:让不读技术细节的人敢拍板,让不看摘要的人能修好漏洞。
编程(变成)小辣鸡15 小时前
java·后端·网络安全
如何防止接口被恶意刷?适用场景:内部服务调用、第三方合作对接、高危核心接口(开通会员、支付、内部审核)原始HTTP三大风险:明文窃听、身份伪造、报文篡改; HTTPS = HTTP + TLS加密 + 身份证书校验 + 报文完整性校验; 作用:防止黑客抓包拿到接口入参、Cookie、签名信息,避免被伪造请求刷接口。
ylscode1 天前
网络·安全·网络安全
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复七月初的这次更新来得不算突然,但分量足够重。OpenSSH 10.4 在 2026 年 7 月 6 日悄然上线,没有大张旗鼓的宣传,却带着一揽子安全补丁和一项颇具前瞻性的技术——后量子加密支持的实验性引入。对于每天依赖 SSH 隧道管理服务器的技术人员来说,这绝不是一次可以忽略的常规版本迭代。
HackTwoHub1 天前
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描ARL资产灯塔系统完成全面现代化重构,搭建完整多维闭环资产侦察体系。系统摒弃老旧引擎,搭载全新Chromium动态爬虫与Nuclei漏洞扫描能力,融合万级高精度指纹库,一站式覆盖网络边界探测、资产指纹识别、漏洞风险检测全链路场景。可联动ICP、天眼查抓取企业全域资产,支持自动化任务调度与常态化监控,轻量化部署、高效迭代,为企业资产测绘、红蓝对抗、安全巡检提供稳定可靠的技术支撑。
ccino .1 天前
网络安全·xss
Hackerone-地址栏xss注入点:结算页面中的地址字段存储位置:用户提交的地址数据被存储在数据库中,并在后续页面(如订单详情、后台管理界面)中未经处理地渲染输出
数据知道1 天前
安全·web安全·网络安全
网络安全工具箱:100+ 工具分类速查与选型建议Kali Linux 预装 600+ 安全工具。新手常见两种误区:真正有用的是 按 Kill Chain 阶段 + 按角色(红/蓝)+ 按场景选型 的工具地图:
txg6661 天前
深度学习·安全·web安全·网络安全·xss
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞“ 跨站脚本攻击(XSS)长期以来都是PHP Web 安全领域最顽固、最常见的漏洞类型之一。现有检测技术主要分为两类:动态分析能够生成 PoC,但覆盖率不足;静态分析覆盖全面,但严重依赖 sanitizer 建模,易产生误报与漏报。那么,是否可以融合二者优势,在保证覆盖率的同时提供可验证的漏洞证明?研究者提出了一个全新的解决方案:XSSky,一种基于路径持久化模糊测试的 XSS 漏洞检测框架。 ”
红信鸽1 天前
网络安全
2026 年 AI 钓鱼攻击现状与防御深度解析进入 2026 年,网络安全的边界正在发生不可逆转的坍缩。曾经被视为“高级持续性威胁”(APT)专属手段的社会工程学攻击,如今已随着生成式 AI 能力的平民化而彻底下沉。对于绝大多数依赖数字基础设施的企业而言,安全不再仅仅是防火墙后的技术博弈,而是直接关乎企业存亡的董事会级战略议题。当攻击者能够以毫秒级速度生成完美伪装的语言模型时,传统的基于规则和安全意识培训的防御体系显得苍白无力。这一转变标志着我们正处于一个“信任危机”的前夜,任何假设“人类员工能识破低级错误”的侥幸心理,都可能在下一秒付出惨痛代价。
数据知道2 天前
安全·网络安全·电脑
安全实验室搭建指南:一台电脑搭出完整靶场环境很多人学安全的路径是这样的:问题不在工具,在于没有一块安全、可重置、可反复折腾的练习场。一块合格的本地靶场,应该满足:
LYFlied2 天前
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞OpenAI 与 Paradigm 发布的 EVMbench,不再只让模型阅读代码后输出一段安全报告,而是把 Agent 放进可执行的区块链环境,分别评测漏洞检测、补丁修复和端到端利用能力。基准收录 40 次审计中的 117 个高严重度漏洞,并用确定性交易回放、链上验证和受限 RPC 构建可复现评分。本文分析三种评测模式、Harness 设计、结果差异及其对安全研发流程的启示。
Hiyajo pray2 天前
网络安全
属性sdn隐私保护分析ABAC 四元组全部是可泄露隐私载体:摘要:本文深入分析 ABAC(基于属性的访问控制)在 SDN 网络中的隐私泄露风险。ABAC 四元组(主体、客体、操作、环境)包含大量敏感属性,以明文形式传输和存储将导致网络拓扑泄露、权限规则被逆向推断、跨域信息扩散、属性加密体系安全性削弱等六大核心安全威胁。文章从攻击者视角模拟了利用明文属性推断策略并伪造属性绕过访问控制的完整过程,同时从防御方视角给出了属性加密、数字签名、动态风险评分、零知识证明等安全增强方案。此外,还分析了 SDN 原生架构(控制平面、南向接口、
Hiyajo pray2 天前
网络安全
属性sdn的隐私保护策略(1)ABAC-SDN 属性明文泄露引发的分层安全问题前言:软件定义网络(SDN)与基于属性的访问控制(ABAC)的结合,为工业、云租户、跨域 SD-WAN 等场景提供了细粒度的动态授权能力。然而,ABAC 的核心——属性信息(如设备类型、角色、安全等级、切片 ID 等)在 SDN 南向协议、控制器同步报文及审计日志中多以明文形式传输与存储,导致属性泄露问题普遍存在且长期被忽视。攻击者一旦截获属性,即可逆向推导访问策略、伪造权限、削弱后量子密码安全性,甚至瘫痪生产网络。本文系统梳理 ABAC-SDN 中属性明文
HackTwoHub2 天前
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell某事业单位老旧闭源 CMS 完整渗透实战,目标部署宝塔免费 WAF,防护存在明显短板。通过注册用户发现 id 参数可控,采用 %0a 换行、十六进制字符编码绕过拦截完成报错注入,爆破后台管理员账号并解密 MD5 密码。成功登录后台后,拆分关键字绕过代码过滤写入 Webshell,再借助 curl 远程落地木马,LD_PRELOAD、FPM、open_basedir、disable_functions 多重绕过手段,完整还原从注入到获取系统 Shell 的全攻击链路。
杭州默安科技2 天前
人工智能·网络安全
从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践当前政企单位持续完善网络安全防护体系,普遍部署防火墙、EDR、NDR、流量分析等多类安全硬件与平台,但设备数量增长并未同步提升安全运营效率,传统人工处置模式存在三类核心瓶颈: 威胁研判周期长 各类设备独立产生海量告警,运维人员需逐一对攻击特征、资产信息、告警真实性人工核验,单次完整风险研判耗时数十分钟至数小时,无法匹配高频攻击场景处置需求。 异构设备协同壁垒高 不同厂商防火墙管理平台相互独立,针对同一攻击源执行封禁操作时,运维人员需登录多套系统重复配置访问控制策略,跨设备协同依赖人工操作,流程繁琐易出现遗
云栖梦泽在3 天前
网络·网络协议·tcp/ip·网络安全·性能优化
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查平台要求验证,并不一定代表账号出问题。它更常见的含义是:常见变化包括:所以排查方向不是只看“能不能打开后台”,而是看登录环境是否连续、稳定、可解释。
VidDown6 天前
网络·网络协议·网络安全
DNS 解析原理:当你在浏览器输入网址后发生了什么?你在浏览器输入 www.example.com 并按下回车,到页面加载出来,中间发生了无数次 DNS 查询。这个过程只需要几百毫秒,但涉及的步骤远比想象中复杂。这篇文章从根服务器开始,把 DNS 的层级结构、递归查询、缓存机制拆开讲清楚。