技术资料

• 仿冒电子邮件钓鱼邮件的主流攻击方式有哪些？

  作为资深死宅，我相信大部分人吃过康师傅泡面，但是你有没有吃过康帅博？吃过大白兔，有没有吃过太白免？有没有尝试过司口司乐、娃娃哈、下好佳、脉劫、橙多多… 还有... [阅读全文] 2020-12-23

• ODNS：保护DNS隐私的新标准

  最近，Cloudflare在官方博客上宣布，他们和Apple、Fastly公司的工程师一起合作，开始支持一种新提议的DNS标准——ODNS。这种新标准声称能够保护用户在执行DNS请求... [阅读全文] 2020-12-23

• 当我们谈到情报，我们在谈论什么？

  引言威胁情报这个概念，自从2014年Gartner提出以后，安全圈就一直在提这个概念，也一直尝试应用这个技术来做一些文章，无论是加在各家的安全产品上做一些对撞，还是自己保留... [阅读全文] 2020-12-23

• 应急响应之Web日志分析

  1 、Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析，不仅可以帮助我们定位攻击者，还可以帮助我们还原攻击路径... [阅读全文] 2020-12-22

• 网络安全工程师究竟是什么？怎么入门？

  ​首先啊骚年们我们必须先了解网络安全这个行业究竟是干啥的。是打ctf的？一个个都像韩商言吴白那么帅刷刷敲几个代码就能轻易夺旗？还是像十大黑客之一的米特尼克一样... [阅读全文] 2020-12-21

• 文件上传漏洞攻击思路及绕过技巧

  文件上传检验流程：1.客户端JS检验（后缀名）2.服务器端检测： 文件类型content-type 文件内容头(cookie、HTTP认证、会话等) 目录路径 文件扩展名检测 黑名单or白名单... [阅读全文] 2020-12-21

• 基于某异性交友APP的小数据分析

  前言：我习惯在包里藏一瓶百无聊赖,打发人间的白云和苍狗，一日百无聊赖的我下载了某款异性交友APP，开始了我的异性交友之旅，尬聊了两天成功率为0的我略感苍白。感觉APP里... [阅读全文] 2020-12-21

• 如何给正在运行的Linux应用程序注入代码

  1、简介假设Linux上正在运行某程序，像Unix守护程序等，我们不想终止该程序，但是同时又需要更新程序的功能。首先映入脑海的可能是更新程序中一些已知函数，添加额外的功能... [阅读全文] 2020-12-19

• 在hackerone挖反射xss，最重要的就是要会接化发

  挖反射xss，最重要的就是要会接化发，不会接化发，你就不能说自己会挖反射xss。接，就是要看html源码，从源码里面找出可能反射的参数，看看下面，var terms_style：化，就是... [阅读全文] 2020-12-19

• PentesterLab新手教程（一）：代码注入

  PentesterLab 简介 Web for pentester 是国外安全研究者开发的的一款渗透测试平台。这个平台包含的主要漏洞如下：Code injection （代码注入）Commands injection（命令行注... [阅读全文] 2020-12-19

• 剖析“删库”背后的深层警戒

  一、事件还原2月25日，港股上市公司微盟集团在港交所公告称，SAAS业务数据遭到一名员工“人为破坏”，故障发生后排查发现大面积服务集群无法响应，生产环境及数据... [阅读全文] 2020-12-16

• 万众瞩目的赛博朋克2077还是被“黑”了

  万众瞩目的《赛博朋克2077》在解禁后不负众望的登上热搜第一，解禁当晚凌晨Steam在线玩家人数依然超过了80万，超过《CS：Go》《DOta2》《PUBG》之和，游戏异常火爆。按照游... [阅读全文] 2020-12-15

• 钓鱼钓到安全培训教室头上？黑客泪了

  我们学员被集体钓鱼了，泄露了一些同学的邮箱信息。一早上来公司，就听到学员们叽叽喳喳的都在培训室聊天，平时没见来的这么早这么积极，于是我很好奇的走进去看他们在讨论... [阅读全文] 2020-12-15

• 如何利用重放攻击一夜暴富

  大多数青年都做过白日梦，彩票中奖啦，一觉醒来发现自己有一个亿万富翁的亲戚啦，或者突然有律师找到自己说自己有百万遗产要继承啦，这种小小的梦想有时候也能支撑我们继续... [阅读全文] 2020-12-15

• 如何用漫画说明 XSS 和 CSRF 的区别？

  互联网的正常工作过程：张三被捕但是如果有漏洞被XSS攻击：XSS是跨站点脚本攻击（Cross Site Scripting），为了不与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，... [阅读全文] 2020-12-15

• BGP拓展特性_安全特性

  BGP安全特性MD5认证Keychain认证GTSM限制从对等体接受的路由数量AS_Path长度保护RPKIMD5认证为BGP的所有类型报文的数据进行MD5加密，也可以对用来建立邻居关系的TCP三次握手... [阅读全文] 2020-12-15

• XXE漏洞的详细原理解释和利用

  1.定义XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文... [阅读全文] 2020-12-15

• 如何检测脆弱性（漏洞）进行风险评估

  什么是脆弱性？在信息安全技术《信息安全风险评估规范GB/T 20984-2018标准》中对于脆弱性的解释是“可能被威胁所利用的资产或若干资产的薄弱环节”。当然脆弱性也... [阅读全文] 2020-12-15

• 近源渗透实操之一夜回到解放前

  万恶起源前段时间看了一篇手机安装kali linux nethunter的文章 ，于是突发奇想把自己的手机改装成kali nethunter，然后...诶？？有点不对劲，那我还能打电话聊微信撩公司隔... [阅读全文] 2020-12-15

• “近源渗透”最全解析

  前言近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念，近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践，许多企业内部... [阅读全文] 2020-12-15

• 免费SSL证书与收费SSL证书有什么区别？

  随着SSL证书的普及，提供免费SSL的CA机构已经开始出现，并且越来越多的CA机构提供了自己的免费SSL证书来吸引用户，但是许多人不可避免地会遇到这样的疑问：免费SSL证书和付... [阅读全文] 2020-12-15

• 浅谈如何学好网络安全

  网络安全首先得学网络啊，就业方向的话学网络的最终目的是为了看清网络拓扑图，对客户机房安全规划形成纵深防御体系。
  如果纯对技术感兴趣就主要研究相关网络协议，主要是... [阅读全文] 2020-12-14

• 交通人工智能频繁受到威胁，网络安全如何保障？

  对于现代人来说，提及交通运输我们能想到什么？ 陆运有汽车、火车、高铁，地铁、轻轨等，水运有轮船，空运有飞机，不再是曾经的马车，交通确实取得了一个重要突破。促使这一... [阅读全文] 2020-12-14

• 有哪些需要注意的弱口令

  我们在看警匪大片的时候会有一个经典桥段，对暗号：天王盖地虎，宝塔镇河妖！而在当今互联网世界，这种身份验证的暗号变成了以用户名和口令（密码）鉴权，口令的重要性就可... [阅读全文] 2020-12-14

• 新手如何入门网络安全

  1.计算机基础是任何一个进入IT领域的人都要掌握的基础能力，不要忽视更不要觉得基础理论知识不重要，万丈高楼平地起，理论知识就是地基。 计算机网络 计算机组成原理 操作... [阅读全文] 2020-12-14