业务安全顾名思义是与业务紧密联系的,企业常见的业务场景有账号安全、活动安全、账户安全、交易安全、内容安全等,每种场景可能遇到不同类型的威胁,如虚假注册、撞库、盗号等等。 业务安全的目标是识别…
数据安全对企业生存发展举足轻重,数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。企业的安全管理和防护机制不健全往往忽略了数据安全重要性,导致数据安全事件频发。近期多家互联网企业接受网络…
事件起因事件背景目标站点是国内一家有影响力的综合技术网站。通过网管人员及技术人员多次排查均告失败或者未能解决问题。网站不断被人疑似挂马,在其所有网站上发现挂有图片的非法广告,公司站点是托管在阿里云服务…
代码审计,是对应用程序源代码进行系统性检查的工作。目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。PHP代码审计我这里分享个基础篇…
国家网络安全主管部门为落实全国网络安全和信息化工作会议精神而发起了长期专项行动,旨在检验各单位信息基础设施和重点网站网络安全的综合防御能力和水平,实战验证相关单位“监测发现、安全防护和应急处置”的能力…
以下书籍排名不分先后,整理来自朋友推荐和网络评分筛选,都是大家看过后的真实书评反馈,希望能给你一些参考,当然入门信息安全也有视频、文档、资料等更多方式可以选择,看个人喜好,除了推荐的这27本书籍,我还…
大家对于信息安全或网络安全比较熟悉的词应该就是“黑客”了吧,事实上从事网络安全的人在技能上确实让你说一句“我擦,这也可以”。信息安全领域的内容比较杂,很多大学是信息安全专业的同学发现毕业时好像什么也没…
转眼又到凤凰花开的夏天,在这个全民公认就业最难毕业季,你找到工作了吗?实习找好了吗?你真的相信这只是因为你生不逢时吗?给你讲个故事!一个“弟弟”跑来跟我抱怨工作不好找,我说可以考个适合自己的证书傍身,…
CTFweb类型(二十七)gopher对mysql的利用及例题讲解
本次来讲一下gopher协议在MySQL中的利用,其实CTF题目中已经有出现过了,比如说红帽杯还有CTF都有出现过,不管是像之前讲的Redis还是MySQL,就是这种协议的利用,都是有可以做转化,现在…
CTFweb类型(二十六)IP限制绕过及gopher对redis的利用讲解
当对外发起请求时,会存在一个安全限制,比如去检测IP地址,去访问自己是不是127.0.0.1,相当于去访问内网段是192.168以及172网段。这种内网有非常明显的一个特征的,有不同的过滤存在,有的时…
CTFweb类型(二十五)ssrf介绍、相关php函数及demo演示
SSRF系列问题比较有趣,很多题目其实可以千变万化,这边大致的讲一些基本原理和几个利用场景。基本概念最初普遍不认为SSRF是漏洞,后来因为利用手段多了才开始重视。场景:一家公司存在一个模型,服务器1在…
木马通信方式的演变在互联网发展的早期,恶意程序采用TCP直连的方式连上受害者的主机。随着局域网的发展,以TCP反弹的方式进行连接。随着防火墙还有边界检测产品的出现,对TCP的数据格式端口进行了限制,普…
加密恶意加密流量的检测始终是行业的一个难点和痛点。病毒病毒我们通常称为感染式的恶意程序,它最大的特点就是通过感染其他正常文件的方式来进行传播。感染正常文件有很多种不同的情况,比如说可能把恶意的程序写在…
命令执行判断命令执行可能会存在命令执行完没有回显,首先要判断命令是否有执行,可以通过三种方式来判断:延时、HTTP请求、DNS请求。1、 延时 无延时无回显有延时无回显通过是否延时来判断该条…