- 博客(18)
- 收藏
- 关注
RSS订阅转载 owasp top 10
这里写自定义目录标题A1 注入injection将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。危害:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机常见的注入sql注入–os-shellLDAP(轻量目录访问协议)xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的
2022-05-27 19:27:54
83
转载 Kail备忘录
侦查和枚举NMAP命令Nmap(“网络映射器”)是一个免费的开源实用程序,用于网络发现和安全审核。许多系统和网络管理员还发现它对于诸如网络清单,管理服务升级计划以及监视主机或服务正常运行时间之类的任务很有用。Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机,这些主机提供的服务(应用程序名称和版本),它们正在运行的操作系统(和OS版本),包过滤器/防火墙的类型。正在使用中,还有许多其他特性。它旨在快速扫描大型网络,但可以在单个主机上正常运行。Nmap可在所有主要的计算机操作系统上运行,并且官方
2020-10-20 11:24:35
229
1
转载 CIS安全基线
0x00x1 --Centos7 基线检查1906210x2 --Centos6 基线检查1906270x3 --Ubuntu安全基线检查1906210x3.5 --SSH登录安全策略、账户-密码0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测)0x5 --CIS 各种基线附件0x1 Centos7 基线检查描述强制用户不重用最近使用的密码,降低密码猜测攻击风险加固建议在/etc/pam.d/password-a
2020-10-20 11:23:36
4128
原创 AWVS扫描调度模块
扫描授权模块meta 数据结构中存放的是基本的授权用户信息, email 和 passworddef auth(self, meta): import urllib2 import ssl import json ssl._create_default_https_context = ssl._create_unverified_context url_login="https://localhost:3443/api/v1/me/login"
2020-10-20 11:22:50
155
原创 ISO27001电脑硬性要求。
二阶段审查各部门注意事项桌面清空工作人员离开工作区域时,应妥善保管相关业务信息。所涉及的商密信息,在无人看守状况下,不得放置在桌面上,须设置私密区域妥善放置或转由具有同等或更高等岗位职责的专人保管。与相关业务有关的会议、讨论、访谈等活动结束后,工作人员须妥善保管与之相关的各类信息;需废弃的信息,应将其销毁。客户或第三方遗留在桌面的资料,需先与之沟通后,按其需要进行处理。屏幕清空工作人员离开工作桌面时,必须锁定电脑屏幕,避免非相关人员直观的从屏幕上获取有关的业务信息。用于存储业务信息的电子系统须设
2020-10-20 11:21:52
595
1
原创 阿里云ACP学习资料
内容百分比如下:云服务器 ECS 31%弹性伸缩 (Auto Scaling) 10%负载均衡 SLB 17%专有网络 VPC 9%对象存储 OSS 17%内容分发网络 CDN 3%安全(云盾、云安全) 10%云计算通用知识 3%其中单选50题,多选30题,判断20题。题目都是连续出同一类型题目,题目单选多选和判断是混合在一起出的。欢迎更多人加入进来补全太行补充:一、重要程度云服务器ECS、负载均衡SLB、对象存储OSS弹性伸缩(Auto Scaling)、专有网络VPC安全、
2020-10-20 11:18:47
3044
1
原创 阿里云RAM权限详细设置
https://help.aliyun.com/document_detail/28657.html?spm=a2c4g.11174283.6.575.2c005662zHm4FAAPP临时授权https://help.aliyun.com/document_detail/28656.html?spm=a2c4g.11186623.6.574.7aa878a5sokTFb企业ram用户管理和分权http://gosspublic.alicdn.com/ram-policy-editor/index.
2020-10-20 11:18:21
1015
转载 Adober Pro DC 破
Adobe Acrobat Pro DC 2019破解版是Adobe公司的一款PDF编辑和阅读软件。它将全球最佳的PDF解决方案提升到新的高度,配有直观触控式界面,通过开发强大的新功能,使用户能在任何地方完成工作。新工具中心可更简单迅速的访问最常使用的工具。Acrobat DC可利用Photoshop强大的图像编辑功能,将任何纸质文件转换为可编辑的电子文件,用于传输、签字。Adobe Acrobat Pro DC 2019功能特点编辑PDF文件——使用Adobe Acrobat Pro DC,您可以在P
2020-10-20 11:16:59
7200
20
原创 chattr源码
/*Namechattr - change file attributes on a Linux file systemSynopsischattr [ mode ] files…Descriptionchattr changes the file attributes on a Linux file system. The formatof a symbolic mode is ±=[acdeijstuADST].The operator ‘+’ causes the selecte
2020-10-20 11:15:44
575
原创 区块链
简单来说区块链是由一个匿名人员(中本聪)提出的,在2008年金融危机时提出。比特币是一种电子货币或者叫数字货币,基于密码学的一种货币,这个不是我们现实中的人名币。了解一个概念叫 去中心化的电子记账系统去中心化是什么意思:大概解释一下。我们当下的支付方式都是银行去记录的,不管是信用卡或者支付宝或者微信都是银行记录。我们信任银行,因为银行的背后是国家的信用中本聪提出我们不需要中心化的记账系统...
2019-06-28 15:46:33
192
原创 自己安装黑苹果的心酸路程。
1.准备好一个U盘(16G起)一个mac电脑和你需要黑的windows电脑2.登陆https://www.tonymacx86.com/threads/unibeast-install-macos-mojave-on-any-supported-intel-based-pc.259381/下载Unibeast。3.用你的mac机器 下载一个 macOS Mojave(当前的系统版本过高,建议...
2019-03-14 16:24:46
1822
转载 VM跳过虚拟检测(游戏多开,虚拟机录制视频)
方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!)同样添加至 “.vmx配置文件” 末尾! ! !monitor_control.virtual_rdtsc = “false”monitor_control.restrict_backdoor = “true”monitor_control.disable_directexec = “true”方法二: 防检测代码 7...
2019-03-14 16:14:25
35108
5
原创 分享一款windows查询自启动程序的软件
Autorunshttps://docs.microsoft.com/zh-cn/sysinternals/downloads/autorunsIntroductionThis utility, which has the most comprehensive knowledge of auto-starting locations of any startup monitor, shows...
2019-03-14 16:12:44
514
原创 XSS
以下全是手打,如有手误欢迎提出来。XSS原理HTML注入并插入JS脚本,在注入后,若为存储型攻击,当用户再次访问页面时,运行js脚本完成攻击由于网站提交信息内容未被检查,导致提交至后端服务器,当用户访问时激活js脚本一般xss发生在留言板,在线信箱,评论栏等处,表现特征是用户可以自行输入数据,并且数据提交给服务器。以下为常见的XSS攻击类型0x01. 备:alert是javas...
2019-03-14 16:03:10
153
原创 webshell脚本自查
find /site/* -type f -name “*.php” |xargs grep “eval”如果木马做了免杀处理,可以查看是否使用加密函数find /site/* -type f -name “*.php” |xargs grep “base64_decode”查看是否做了拼接处理find /site/* -type f -name “*.php” |xargs grep...
2019-03-14 15:35:12
300
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人