信息安全

飞的肖4 天前
微服务·信息安全·架构
搭建一个微服务需求注意的安全问题在微服务架构中,安全问题是非常重要的考虑因素,因为每个服务都是独立部署的,这增加了攻击面。以下是一些常见的安全措施,可以帮助保护微服务中间件的安全:
不一样的信息安全6 天前
网络·网络安全·信息安全
网络安全与信息安全的区别在平常中,很多同学和刚入门的红客们总是将网安和信安搞混淆,网络安全和信息安全是两个相关但不同的概念。在现代社会中,随着信息化程度的不断提升,二者的界限逐渐模糊,但它们依然有明确的区分。
飞的肖8 天前
微服务·信息安全·中间件
微服务中间件~nacos安全配置(含参考案例)Nacos 是阿里巴巴开源的一个动态服务发现、配置管理和服务管理平台。为了确保 Nacos 的安全性,可以从以下几个方面入手:
网络安全工程师老王12 天前
网络安全·信息安全·渗透测试
域渗透入门靶机之HTB-Cicadaeasy难度的windows靶机发现开放了53,88,389等端口,推测为域控 进一步信息收集,对爆破的端口进行更加详细的扫描 小tips:对于众多的端口,可以借助awk&grep处理一下便于操作
网络安全工程师老王20 天前
web安全·网络安全·信息安全·apache·solr·lucene
从Apache Solr 看 Velocity 模板注入学过 freemaker,学过 Thymeleaf 模板注入,但是还没有学过 Velocity 模板注入,然后学习一个知识最好的方法就是要找一个实际中的例子去学习,好巧不巧,前端时间还在分析 apache solr 的 cve,这次又搜到了 Apache Solr 的 Velocity 模板注入漏洞,开始学习,启动,感觉结合一个例子来学,学得还是比较理解到的
网络安全工程师老王23 天前
网络安全·信息安全·ctf·ctf比赛
2024“蜀道山” RE 部分题解题目描述真真假假真真,你能够寻找到最后的终点吗?附件下载迷宫生成v5 是一个长度为 105 的数组,被用作 15x15 的二维网格
小康师兄24 天前
数据库·笔记·信息安全·系统架构·系统架构师·全国计算机技术与软件专业
【软考速通笔记】系统架构设计师③——信息安全技术基础知识笔记目录大纲请查阅:【软考速通笔记】系统架构设计师——导读对称密钥加密算法,又称专用密钥加密,即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。
网络安全工程师老王25 天前
web安全·网络安全·信息安全
spring +fastjson 的 rce众所周知,spring 下是不可以上传 jsp 的木马来 rce 的,一般都是控制加载 class 或者 jar 包来 rce 的,我们的 fastjson 的高版本正好可以完成这些,这里来简单分析一手
mickey03801 个月前
信息安全·密码技术·mbedtls
开源加密库mbedtls及其Windows编译库目录1 项目简介2 功能特性3 性能优势4 平台兼容性5 应用场景6 特点7 Windows编译8 编译静态库及其测试示例下载
网络安全工程师老王1 个月前
web安全·网络安全·信息安全·flask
flask请求头回显的学习和探究如何进行错误页面污染回显首先我们要了解一些flask的请求和响应是利用了什么。 flask的请求和响应主要利用了werkzeug,那么我们就要先了解一下什么是werkzeug,其结构又是什么。 werkzeug是一个基于python开发的一个web工具包,其是flask的核心组件之一。其功能有http工具,路由系统。调试等。 其是一个模块化的库。其核心模块如下
网络安全工程师老王1 个月前
web安全·网络安全·信息安全
关于OpenRASP的绕过实现最近学习了一下Baidu的OpenRASP,正好碰到一道RASP的题目,先看看RASP是怎么做的open RASP也是利用Javaagent去做代理,premain是启动时加载agent,agentmain是启动后加载agent,这里init做了一件事,就是把rasp.jar的路径加载到bootstrap类加载器,那什么是bootstrap类加载器呢?
mickey03801 个月前
信息安全·ssl/tls·密码技术
SSL/TLS协议简介目录1 概述2 主要功能3 技术演化3.1 明文时代3.2 对称加密时代3.3 非对称加密时代3.4 公证时代
it技术分享just_free1 个月前
网络安全·信息安全·软考·网络安全模型
软考教材重点内容 信息安全工程师 第 4 章 网络安全体系与网络安全模型4,1 网络安全体系的主要特征: (1)整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。 (2)协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。 (3)过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。 (4)全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。 (
网络安全工程师老王1 个月前
web安全·网络安全·信息安全
2024 hkcertctf web 部分wp一个登录一个注册进去是个小游戏 300分拿flag游戏结束的时候通过update_score.php更新分数
it技术分享just_free1 个月前
网络安全·信息安全·密码学·软考
软考教材重点内容 信息安全工程师 第 3 章 密码学基本理论(本章相对老版本极大的简化,所有与算法相关的计算全部删除,因此考试需要了解各个常 用算法的基本参数以及考试中可能存在的古典密码算法的计算,典型的例子是 2021 和 2022 年分别考了 DES 算法中的 S 盒计算,RSA 中的已知 P,Q,E 求 D 等基本计算,建议大家掌握 古典密码学中的置换计算和典型的代换密码的原理)
网络安全工程师老王1 个月前
安全·web安全·网络安全·信息安全·web3
web3+web2安全/前端/钱包/合约测试思路——尝试前端绕过直接上链寻找漏洞DEFI APP会存在许多的前端限制,原因是一些项目常常会有多种多样的限制,然而DEFI APP有别于传统的JAVA后端语言,DAPP有自己独属于区块链特性,能够直接交互上链且上链后不可篡改特征也让DAPP上线前往往更加严格,在前端的限制有可能只是为了掩盖该项目合约的问题(项目合约可编译不公开代码,可进行白名单KYC认证) 因为我们也可以通过绕过前端来寻找该合约问题,可能会发现一些小的问题,也可能发现不到问题,但是是一种有效的测试方案。
安 当 加 密2 个月前
网络·安全·信息安全·数据安全·芯片·加密技术·数据加密集成服务
【安当产品应用案例100集】029-使用安全芯片保护设备核心业务逻辑我国工业企业普遍缺乏数据安全意识,对数据安全保护缺乏基本认识。这导致企业在数据安全方面的投入不足,保护能力基本不具备,难以有效应对数据安全风险。不过随着安全事件越来越多,很多工业企业的安全意识也越来越高,在网络安全、数据安全、供应链安全、物联网安全等方面的投入也逐渐增多。
网络安全工程师老王2 个月前
网络安全·信息安全·渗透测试
从APP小游戏到Web漏洞的发现在对一次公司的一个麻将游戏APP进行渗透测试的时候发现,抓到HTTP请求的接口,但是反编译APK后发现没有在本身发现任何一个关于接口或者域名相关的关键字,对此感到了好奇。 于是直接解压后everything搜索了一下,发现域名关键词在global-metadata.dat文件中
mickey03802 个月前
信息安全·密码技术·密钥管理·dukpt
密钥管理方法DUKPT的OpenSSL代码实现Demo目录1 DUKPT简介2 基本概念2.1 BDK2.2 KSN2.3 IPEK2.4 FK2.5 TK
无极9212 个月前
运维·网络·安全·网络安全·信息安全·cisp·物理安全
物理安全(Physical Security)物理安全(Physical Security)是指为保护人员、建筑、设备以及其他物理资产免受物理威胁(如盗窃、破坏、间谍活动、自然灾害等)的一系列措施和技术。物理安全通常涉及三个主要方面:预防、检测和响应。以下是一些关键的物理安全概念和措施: