• 渗透测试之WEB协议剖析

    2020-09-27 蔡建辉 网络安全

    渗透测试之WEB协议剖析 前言我们所做的渗透测试主流还是倾向于WEB方向的,由此可见对于常用的WEB协议的了解也是非常重要的,这一小节主要简述一些常用的WEB协议内容。IP协议IP(Internet Protocol)协议的英文名直译就是因特网协议,IP协议是TCP/IP协议簇的核心协议,也是TCP/IP协议的载体,所有的TCP、UDP、、ICMP数据都以IP协议数据报格式传输。IP协议提供的是不可靠的、无连接的数据传送服务。在日常生活当中每一台要上网的电脑都会有ISP(网络服务提供商)给予一个上网的IP地址,通过该IP...

    9 次 0 条

  • Spring Boot十种安全措施

    2020-09-27 蔡建辉 网络安全

    Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。Spring Boot于2014年首次发布,自那以后发生了很多变化。安全性问题与代码质量和测试非常相似,已经日渐成为开发人员关心的问题,如果你是开发人员并且不关心安全性,那么也许认为一切理所当然。本文目的是介绍如何创建更安全的Spring Boot应用程序。马特雷布尔与Simo...

    4 次 0 条

  • 网络空间安全赛题解析(2018)

    2020-09-27 蔡建辉 网络安全

    网络空间安全赛题解析(2018) 2018年全国职业院校技能大赛中职组“网络空间安全”赛卷一一、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 单兵模式系统渗透测试 任务1 ARP扫描渗透测试 100分钟 100 任务2 漏洞扫描与利用 100 任务3 MSSQL数据库渗透测试 100 任务4 主机发现与信息收 100 任务5 SNMP信息收集与利用 100 任务6 Windows操作系统渗透测试 100 任务7 Linux操作系统渗透测试 100 任务8 网络协议堆栈渗透测试 100 任务9 Web应用程序渗...

    3 次 0 条

  • 技能大赛中职组“网络空间安全”-数据分析

    2020-09-27 蔡建辉 网络安全

    技能大赛中职组“网络空间安全”-数据分析 任务1. Wireshark数据包分析(100分)2019年国赛正式赛题的数据包的上一版(重点是:上一版!非现场环境数据包)任务环境说明: 服务器场景:PYsystem20191 服务器场景操作系统:Windows(版本不详)1.使用Wireshark查看并分析PYsystem20191桌面下的capture4.pcap数据包文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;(9分)...

    3 次 0 条

  • 2020年宁波第三届网络安全大赛 Web Writeup (真题)

    2020-09-27 蔡建辉 网络安全

    2020年宁波第三届网络安全大赛 Web Writeup (真题) Easy_SSRF<?php show_source(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET["url"]); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_HEADER, 0); $output...

    3 次 0 条

  • 全国网络空间安全技术大赛 Web补题 By Assassin

    2020-09-27 蔡建辉 网络安全

    全国网络空间安全技术大赛 Web补题 By Assassin 签到题首先进入界面发现如下代码 然后就知道用==弱匹配,构造一个纯数字串和一个纯字母串,让他们的MD5值形如0exxx且0e后面全是纯数字。就构成科学记数法0==0,payloadUsername:QNKCDZOpassword:24061070812进去后发现还有一个简单的绕过 我们看到又是==,有一个参考表,大家一看便知~ post的payload构造如下message={"key":0}1抽抽奖看到这题首先想到转盘模板,应该是js,然后看源代码的时候发现了jQur...

    7 次 0 条

  • 福建省高校网络空间安全大赛——WEB-Do you know upload?

    2020-09-27 蔡建辉 网络安全

    福建省高校网络空间安全大赛——WEB-Do you know upload? 打开链接,发现是文件上传题,所以就先按正常套路来burpsuite抓包改文件类型上传成功菜刀连上以后在config文件中得到用户名和密码得到flag这道题有很多种做法,我就不一一列举了,总之是很基础的题了...

    6 次 0 条

  • 网络安全、web安全、渗透测试AQ问答

    2020-09-27 蔡建辉 网络安全

    1.什么是WebShell?2.什么是网络钓鱼?3.你获取网络安全知识途径有哪些?4.什么是CC攻击?5.Web服务器被入侵后,怎样进行排查?6.dll文件是什么意思,有什么用?DLL劫持原理7.0day漏洞8.Rootkit是什么意思9.蜜罐10.ssh11.DDOS12.震网病毒:13.一句话木马14.Https的作用15.手工查找后门木马的小技巧16.描述OSI(开放系统互联基本参考模型)七层结构17.TCP和UDP的区别18.脱壳19.“人肉搜索”20.SYN Flood的基本...

    5 次 0 条

  • Web安全学习路线及木马、病毒和防御初探

    2020-09-27 蔡建辉 网络安全

    Web安全学习路线及木马、病毒和防御初探 一.攻防安全及案例1.网络安全学习路线网络安全涉及的内容非常广,其主要的学习路线如下图所示。可以简单归纳为:基础知识: Web发展简史、计算机网络、域名系统、HTTP标准、代码审计、WAF信息收集: 域名信息、 站点信息、端口信息、其它内网渗透: Windows信息收集、持久化、Linux信息收集、痕迹清理、其他常见漏洞: SQL注入、XSS、CSRF、SSRF、命令注入、文件读取、文件上传、文件包含、XXE、模版注入、Xpath注入、 逻辑漏洞 、业务漏洞、配置安全、中间件、Web Cache...

    7 次 0 条

  • 搜索引擎语法+网络空间搜索and在线web工具

    2020-09-27 蔡建辉 网络安全

    你用过哪些搜索引擎呢?百度 bing Google ?一 :利用百度的高级搜索功能帮助你找到关键信息二 :Google Hackgoogle hack是指使用Google等搜索引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的。 PS:Google的很多服务在大天朝都是用不了的,所以Google的搜索很不稳定,这也是很多人不喜欢用 Google 的原因。 但是Hackers怎么能没有Google,所以我们一般都要用正确的姿势来打开Goo...

    7 次 0 条