- 博客(19)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 2022技术前沿思考
特斯拉也是一家能源公司,只用自动驾驶的话他可以直接造燃油汽车+AI系统,但他还定位在能源公司,或本身特斯拉就是能源公司造车只是个入口,它研发充电技术,新型电池,新型动力系统,它改变能源行业,推进可持续能源的发展。拥有AI能力的公司将比其它企业根据竞争力,可以更精准的推送视频,推送广告,制作更好的节目,制作更受欢迎的产品。自动驾驶不会出现人类的错误,疲劳驾驶,闯红灯,酒驾,开车看手机等情况,当所有的车都在自动驾驶时,也不需要开车灯,路灯,转向灯,甚至红绿灯,这些都是给人准备的,机器不需要。
2022-10-09 14:38:59
154
转载 用BurpSuit的Burpy插件搞定WEB端中的JS加密算法
一、提问上次写过一篇文章,那篇文章主要是是针对移动应用进行加解密处理的,今天我们要说的是WEB端的加解密处理方式。大家在进行WEB渗透测试的时候,有没有像我一样遇到这样的问题?下图可以看到发送的数据和接收到数据都是密文,应该都是通过加密变形,这样给我们进行渗透测试的时候,带来了很大的麻烦。今天我找到了一款神器(Burpy),通过这个神器的处理后,对密文进行右键点击解密后,就会显示明文。在重放的区域,修改要发送的内容,进行加密后,可以直接进行渗透测试。完成了以上的内容后,我
2020-07-20 18:47:44
4141
转载 腾讯安全发布《数据安全解决方案白皮书》
以下是《腾讯数据安全解决方案白皮书》全文:第1章 导读1.1 背景近年来数据安全事件频出,尤其个人隐私信息保护是行业关注的热点话题,GDPR法案的推出进一步推动了全球数据安全相关的法规和标准的建立和完善,企业的数据安全合规压力陡增,多数企业把数据安全摆在了整个信息安全体系提升的最重要的位置。然而,数据安全牵扯信息化各个层面的问题,在企业探究构建完善的数据安全体系时发现:数据安全体系建设是一项体系化工程,而非简单的技术工具运用,它是个复杂的大工程,从信息安全部门无法推动,尤其是一些IT建设有诸多.
2020-07-13 15:18:25
2291
1
转载 mimikatz在Win10及2012系统以后的明文抓取方式
1.procdump+mimikatz获取win10/win2012 R2用户明文密码测试环境:win10企业版和win2012 R2 版本工具下载:链接:https://pan.baidu.com/s/1gNc9qLcNSNBohIVrAiqShw 密码:fc38原理:获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码利用前提:拿到了admin权限的cmd,管理员用密码登录机器,并运行了lsass.exe进程,把密码保存在内存文件lsass进程中。抓.
2020-07-10 17:35:11
9970
3
原创 开源sso单点登陆系统推荐
一、CAS 地址https://www.apereo.org/projects/casCAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。1、开源的企业级单点登录解决方案。2、CAS Server 为需要独立部署的 Web 应用。3、C..
2020-05-20 10:44:52
6902
1
原创 数据治理与数据安全治理的区别
数据治理概念 数据治理是指将数据作为组织资产围绕数据全生命周期而展开的相关管控活动、绩效和风险管理工作的集合,以保障数据及其应用过程中的运营合规、风险可控和价值实现。从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到企业范围内的综合数据治理、从尝试处理数据混乱状况到数据井井有条的一个过程。 数据安全治理 数据安全治理的思路,将数据安全技术与数据安全管理融合在一起...
2020-04-15 16:01:18
2687
原创 centos安装elasticsearch修改IP后无法启动解决方法
之所以要记录下,因为过程中遇到很多问题,现在终于解决,结果如下图es最新软件软件包可在官方网站下载:https://www.elastic.co/downloads/elasticsearch下载完tar zxvf 解压缩然后进bin目录./elasticsearch 执行,都没有问题。但是这是IP地址后竟然运行不起来,报错如下the default discovery se...
2019-11-01 13:49:42
1081
3
原创 开源安全工具汇总
BWAPP:漏洞演示系统cintruder:破解带有验证码的登录 https://sourceforge.net/projects/cintruder/bdtunnel:隧道工具Mimikatz:抓本机系统密码工具LaZagne :抓本机使用过的密码Wycheproof:测试加密方案WebSploit:使用Metasploit扫描DNS Tunneling,是协议封装在...
2018-11-23 17:43:09
1040
转载 值得关注的AI信息安全公司
Cybereason:融资1亿美元这家公司总部设在美国波士顿,却是2012年由以色列国防部8200部队成员在以色列创立,在特拉维夫仍保留一家研发中心。Cybereason的技术方向不是“高筑墙”,而是实时响应和防御。这家公司的核心技术是“端点感知”,利用机器学习和行为分析来实时处理大量端点监测数据,引擎处理速度达到800万条问询/秒。产品的定价基于企业IT环境的端点数量。目前Cyber...
2018-11-23 17:38:05
1270
转载 各种提权、渗透经验技巧总结大全(下)
liunx 相关提权渗透技巧总结,一、ldap 渗透技巧:1.cat /etc/nsswitch看看密码登录策略我们可以看到使用了file ldap模式2.less /etc/ldap.confbase ou=People,dc=unix-center,dc=net找到ou,dc,dc设置3.查找管理员信息匿名方式ldapsearch -x
2017-01-23 11:25:10
2742
转载 各种提权、渗透经验技巧总结大全(上)
旁站路径问题:1、读网站配置。2、用以下VBS: On Error Resume NextIf (LCase(Right(WScript.Fullname, 11)) = “wscript.exe”) ThenMsgBox Space(12) & “IIS Virtual Web Viewer” & Space(12) & Chr(13) & S
2017-01-23 11:23:35
2303
转载 使用google authenticator(谷歌身份验证器)打造用户登录动态口令
google authenticator php 服务端使用php类直接下载 https://github.com/PHPGangsta/GoogleAuthenticator/raw/master/PHPGangsta/GoogleAuthenticator.php在自己的业务逻辑中引用此php类.require_once '../PHPGangsta/GoogleA
2016-11-23 09:49:18
23904
1
转载 使用google authenticator打造运维平台的动态口令
otp是什么知道么? 是一次性密码,简单的说,totp是基于时间的,htop是基于次数的。Google Authenticator这个开源的项目实现了基于时间的一次一密算法,也就是Time-based One-time Password (TOTP),这个是客户
2016-11-23 09:40:43
8746
转载 在DNS中的SQL注入攻击
0x00 前言原文地址:http://arxiv.org/ftp/arxiv/papers/1303/1303.3047.pdf原文作者: Miroslav tampar本文描述了一种利用DNS解析过程获取恶意SQL查询结果的先进的SQL注入技术。带有sql查询结果的DNS请求最终被攻击者控制的远程域名服务器拦截并提取出宝贵的数据。开源SQL注入工具—SqlMap现在已
2016-10-09 09:55:18
1883
原创 信息安全参考图书
移动安全篇《Android Security Cookbook》《Android 软件安全与逆向分析》《Android Hacker’s Handbook》《iOS Hacker’s Handbook》《iOS应用安全攻防》《iOS应用逆向工程:分析与实战》《Android Hacker’s Handbook》程序设计篇《Python核心编程(中文第二版)》
2016-09-28 09:50:51
508
原创 windows10安装python出现错误2502/2503解决方法
原因就是C:\Windows\Temp文件夹NTFS权限错误,将它的user权限改为完全控制就OK了。
2016-09-23 12:53:54
35361
26
原创 windwos10开启BASH后安装metasploit
windows10安装好Linux后,想要安装metasploit,首先到官网执行下载命令,如下图复制画红线处的代码,即可下载安装脚本。进入OPT目录,运行安装开始自动下载metasploit了
2016-09-23 09:44:50
891
转载 利用ubuntu 14.04+apache+modsecurity实现云WAF
近年来,云计算的热潮推动着IT行业的发展,很多企业的产品或服务都在尽力与云“挂钩”。其中,在国内外信息安全市场中,也多了一个新的概念,就是“云WAF”。云WAF,也称WEB应用防火墙的云模式。它是一种全新的信息安全产品模式。这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对 网站实施安全防护。防SQL注入、防XSS、防DDOS等,这些传统WAF上存在的功能,云WAF同样
2015-06-09 14:35:07
449
Go Web编程 教程下载
2020-05-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人