网络安全

小白勇闯网安圈26 分钟前
sql·网络安全·web
unserialize3、php_rce、Web_php_include、warmup、NewsCenterPHP 魔术方法__wakeup()作用:当使用unserialize()函数反序列化对象时,会自动调用对象的__wakeup()方法;这里的__wakeup()是“防护手段”:反序列化时直接exit,阻止后续操作(比如获取$flag)。
bleach-1 小时前
安全·web安全·网络安全·php
buuctf系列解题思路祥讲--[ZJCTF 2019]NiZhuanSiWei1——文件包含漏洞和伪协议的利用题目是一个源码,分析代码得目标分别接收text,file,password三个参数,我们首先要满足file_get_contents($text,'r')==="welcome to the zjctf",所以
bleach-2 小时前
linux·websocket·web安全·网络安全·系统安全·信息与通信
文件描述符及Linux下利用反弹shell的各种方法本质:Liux内核给进程的非负整数标识,用于定位“打开的文件、设备、网络连接”(因iux遵循“一切 文件”设计,socket.、管道等/O资源也用文件描述符管理)。 默认值:每个进程启动时自动打开3个标准描述符: o:标准输入(stdin,如键盘): o1:标准输出(stdout,如终端屏幕); o2:标准错误(stderr,如终端屏幕,专用于错误输出)。 自定义:用户可通过exec命令创建新描述符(如exec3<>file.txt让描述符3读写file.txt)。
骆驼10244 小时前
网络安全·acl·状态检测
交换机ACL与防火墙的区别前几天看到某位工程师谈交换机的ACL和防火墙的区别,感觉他理解的有些偏差。我今天就做了一个简单的模拟看看效果,然后再对比2者的区别。
ZKNOW甄知科技5 小时前
运维·服务器·人工智能·低代码·网络安全·自动化
低代码 ITSM 知识管理平台:驱动企业数智化运维的新引擎在数字化转型浪潮中,企业 IT 运维早已不再只是“修电脑、管网络”的被动支撑部门,而是企业核心竞争力的重要组成部分。低代码 ITSM 知识管理平台 正是在这种背景下应运而生,它以高效、智能、可视化的方式,重构企业 IT 服务管理流程,让知识沉淀与业务协同真正落地。
白帽黑客-晨哥15 小时前
安全·web安全·网络安全·漏洞挖掘·副业
OWASP Top 10 2024 深度解析:Web安全新威胁与防御策略变化类型2021版2024版变化说明新增-A04: 不安全的直接对象引用从A1分离,重要性提升合并A1: 失效的访问控制 A5: 错误配置
独行soc15 小时前
网络·python·安全·web安全·网络安全·渗透测试·安全狮
2025年渗透测试面试题总结-275(题目+回答)安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
码农12138号16 小时前
笔记·web安全·网络安全·ctf·ssrf·服务端请求伪造
服务端请求伪造-SSRF 学习笔记目录一、SSRF定义二、SSRF利用1.协议三、SSRF防御1.输入验证四、靶场、实战练习1.靶场平台:BUGKU
今日上上签070719 小时前
网络安全·信息安全·山东大学·软件学院·导论·往年题·回忆版
山东大学软件学院信息安全导论2025往年回忆版数据科学与大数据技术2022级 考试时间12.9 hmb老师 八个大题一、结合国际标准组织ITU-T X.800制定的安全框架,说明一些安全机制和技术是如何运用的,阐述密码理论与技术能够解决哪些安全问题,相比传统安全技术有哪些突出优势?(10)
漏洞文库-Web安全20 小时前
开发语言·python·安全·web安全·网络安全·ctf·awd
AWD比赛随笔(上半场梭哈全场,下半场被全场梭哈)首先就是刚开始的20分钟,一定要做好防御。防御不好什么都是扯淡。如果能改root密码就改,我们这场比赛就没让我们改,因为权限不行(晕)。个人感觉如果有openssh的exp会很爽,但我没准备。所以脚本一定要备好。 在比赛刚开始要使用通杀脚本扫一遍是否有队伍还没改密码。 例:ssh_exp.py 代码如下:
小白勇闯网安圈20 小时前
网络安全·php·web
file_include、easyphp、ics-05文件包含漏洞,简单说就是:程序用「用户可控的参数」拼接文件路径,直接执行「包含文件」操作,导致攻击者能让服务器包含任意文件(如敏感信息、恶意代码)。
这儿有一堆花21 小时前
windows·网络安全
Windows 环境下 Nmap 的实战逻辑大多数人在安装阶段就埋下了隐患。双击安装包时,不要闭着眼睛一路点击下一步。Windows 的网络协议栈并不允许用户随意发送原始数据包,而这正是 Nmap 的核心能力。
Suckerbin1 天前
安全·web安全·网络安全
BTRSys: v2.1靶场渗透https://www.vulnhub.com/entry/btrsys-v21,196/https://portal.offsec.com/machine/btrsys21-114/overview/details
骥龙1 天前
网络·安全·网络安全
3.11、终端安全最后一道屏障:EDR 原理与 Evil-WinRM 实战——从攻击者视角理解终端防护体系在现代网络安全体系中,终端已经成为攻击者突破企业安全体系的核心目标——无论是勒索病毒爆发、APT 入侵,还是内网渗透链条,几乎所有攻击最终都要落地到终端。
Suckerbin1 天前
安全·web安全·网络安全
ColddBox: Easy靶场渗透将两台虚拟机网络连接都改为NAT模式那么攻击机IP为192.168.23.128,靶场IP192.168.23.155
独行soc1 天前
android·网络·python·安全·web安全·网络安全·渗透测试
2025年渗透测试面试题总结-276(题目+回答)安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
Bruce_Liuxiaowei1 天前
windows·安全·网络安全
Windows注册表安全浅析:核心键值解析与防护策略想象一下Windows操作系统有一个巨大的中央配置数据库,记录了所有硬件、软件、用户设置和安全规则——这就是注册表。它像操作系统的大脑,控制着从开机启动到软件运行的每一个环节。
虹科网络安全1 天前
网络安全
艾体宝新闻 | Python高危预警:urllib3两大漏洞曝光,引发客户端DoS风险12 月 8 日,Python 的 urllib3 库曝出两个高危漏洞,分别是 CVE-2025-66418 和 CVE-2025-66471,两个漏洞的 CVSS 评分均为 8.9 分,主要涉及到内容解压和流式处理机制,攻击者可通过精心构造请求来导致客户端崩溃或拒绝服务(DoS)。
白帽子黑客杰哥1 天前
前端·数据库·web安全·网络安全·ctf·信息收集
CTF Web题目常用考点与解题技巧合集HackTools - Web安全工具集合Wappalyzer - 技术栈识别EditThisCookie - Cookie管理器
Whoami!1 天前
网络安全·信息安全·漏洞利用·缓冲区溢出
❽⁄₅ ⟦ OSCP ⬖ 研记 ⟧ 修改漏洞利用脚本 ➱ 分析漏洞利用脚本(.c){下}郑重声明:本文所涉安全技术仅限用于合法研究与学习目的,严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任,本人概不负责。任何形式的转载均须明确标注原文出处,且不得用于商业目的。