登录社区云,与社区用户共同成长
邀请您加入社区
每年等保测评、专项安全检查,都有大量单位因网络隔离不合规被扣分整改。进入 2026 年,伴随 GA/T2380-2026 数据安全行标、新版物理隔离国标同步落地,网络隔离监管标准全面收紧,仅靠防火墙逻辑隔离已经无法通过三级及以上系统测评,物理隔离正式升级为全行业硬性标配。不少运维、采购还停留在 “防火墙够用” 的旧认知,继续沿用 VLAN、VPN、边界策略做隔离,等到现场测评才发现直接触发一票否决
2026护网全面升级,APT攻击、AI钓鱼、云原生漏洞成为攻防主战场,合规考核更严格;红队攻、蓝队守、紫队裁,新手深耕蓝队最容易落地成长;护网核心在于战前清零漏洞、战时快速处置、赛后复盘优化,形成安全闭环;护网不是PK游戏,是真实的网络安全练兵,是新手快速进阶、简历镀金的绝佳机会。声明:本文所有技术内容仅用于网络安全合规学习、企业安全防护演练,禁止用于非法测试与恶意攻击,违规后果自负。*## 学习
聚焦安全产品和工具的开发,比如防火墙、WAF、漏洞扫描工具等,核心技术栈包括 Python、C/C++、GoLang 等编程语言,以及内核开发、分布式架构等知识。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。技术层面,云原
红蓝对抗的本质不是 “分胜负”,而是通过实战化对抗,推动企业安全从 “被动防御” 向 “主动免疫” 进化。对企业而言,常态化的红蓝对抗能让安全体系在 “淬炼” 中不断完善;对安全从业者而言,参与红蓝对抗是积累实战经验、提升核心竞争力的最佳路径。未来,随着云原生、AI 等技术的发展,红蓝对抗的攻击手段将更隐蔽(如 AI 生成钓鱼邮件、智能合约攻击),防御技术也将更智能(如 AI 驱动的实时威胁狩猎、
研发、运营、客服这些场景都在用。涉及 AI 安全、量子防御、运营方式、合规这些关键方向,对企业做安全规划、分配预算、落地技术,都有挺强的参考意义。零信任也要从原来只关注人,扩展到人、机器一起管,坚持持续验证的思路,用身份和行为一起做认证,灵活管控权限,防止因为权限泄露引发一连串攻击。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路
2026年,网络安全的风口还在持续,中国网络安全支出增速位列全球第一,AI与安全融合、量子安全、物联网安全、数据安全等领域正在爆发式增长,新增岗位越来越多,对新手的包容度也越来越高。更值得一提的是,全国第一所独立设置的网络安全类公办本科高校已获批招生,与龙头企业深度合作,实战化培养人才,可见国家对网安人才的重视程度。网安从来不是“少数人的技术游戏”,而是普通人也能抓住的时代机遇。
网络安全攻防是一个充满挑战的技术领域,但成为一名专业黑客绝非易事。这需要持续保持对新技术的好奇心,具备扎实的计算机系统、编程语言和操作系统知识基础,同时还要保持终身学习的态度。
一个内部内容门户隐藏着比表面更多的信息,而某些旧版行为可能影响受保护资源的访问方式。请从站内收集线索,获取服务器中的 flag。接着试试任意文件读取,因为提到了自定义http解析,可以多试几种方法。(究竟是怎么想到的,/etc下面还有个private?后续测试发现,很多文件都会和config.py一样返回。还保留着,已归档的笔记还引用旧的隐藏快照命名空间。双重url编码提示请求的对象位于允许的存储
信息收集就是"踩点"——在真正动手之前,先摸清目标(一个网站、一个公司、一个系统)的各种底细。这家公司在哪(IP 地址)有几个门可以进(开放的端口)里面是什么装修风格(运行的服务)用的什么锁(操作系统、中间件)有没有没锁的后门(漏洞)这些信息收集得越全,后面"动手"的成功率就越高。公司名 / 域名 / IP│▼│ 1. 企业信息查询 │ ← 天眼查、企查查、爱企查│ 2. ICP 备案查询 │ ←
它可以检测操作系统、应用程序、服务和网络设备中的各种安全问题,如已知的漏洞、配置错误、弱密码、未经授权的访问等。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高
以上就是关于网络安全相关岗位的介绍,主要介绍了渗透测试、安全运维、安全运营、安全开发、等保测评、安全服务、安全研究、网络工程师、合规工程师、售前工程师等岗位。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。需要的掌握的技术有
如何保障敏感数据不被窃听?如何实现毫秒级实时消息推送?本文详解HTTPS SSL/TLS握手过程与数字证书原理,手把手教你在Spring Boot中配置SSL。实战演练WebSocket实现群聊与私聊,深入探讨CDN加速、Nginx负载均衡策略及HikariCP连接池调优。最后,结合XSS、CSRF、SQL注入防护与限流算法,带你从零设计一个高并发秒杀系统。
所以这里直接给 _tfactory 赋值成 TransformerFactoryImpl 即可。
2025年5月,GitHub官方的MCP服务器被爆出一个严重漏洞。攻击者只需注入一段恶意提示词,就能让AI编程助手把私有代码库里的敏感信息吐出来。当AI从“只会回答”进化到“能自己调工具、能持续决策”的智能体,攻击面也从一个模型,扩展到了从硬件到合规的整条链路。景安云信联合北京师范大学郭宇副教授团队发布的《面向企业的AI智能体全生命周期安全体系白皮书》,把这条链路上的威胁系统拆解为五大维度、20类
根据对系统的功能进行分析可以总结大学生社团管理平台的具体功能模块包括下面的几个主要的功能模块:该系统主要从两大模块进行设计的,首先就是用户参与操作需要的模块,此外还需要有管理员用到的模块,两者之间不是互相独立的,他们之间有着密切的联系,同数据库表中的数据连接起来进行操作。每个模块访问相同的数据库,但访问的表不同。针对本文中设计的大学生社团管理平台在实际的实现过程中,最终选择Mysql数据库的主要原
JC-STAR(Japan Cyber-Security Technical Assessment Requirements,日本网络安全技术评估要求)是由日本经济产业省(METI)监督、信息处理推进机构(IPA)具体执行的物联网(IoT)设备网络安全符合性评估与标签制度。该制度于2025年3月25日正式推出,是日本首个系统性的IoT设备网络安全认证体系。
strlen(count_chars(strtolower($_), 0x3)) > 0xd这个函数是说最多16重字符。首先看源码这里正则匹配了%0x00~%0x20(空格),0~9,'"`$&等,还有字符defgops不区分大小写。我们可以检查一下是否超过了16种字符,可以用复制下来直接看,但是只能php7.4+一下才能看。接下来就是一样的了,把scandir给拼写出来,我这边直接写payloa
每年 9月,新生到校后,各种社团在校园中进行宣传,招募新成员,新成员通过填写报名表参加对应社团,之后社团组织活动时需要经过教师审批,学生报名等过程,周期较长,所有过程材料通过纸质保存,不仅浪费纸张,而且容易丢失,整个组织过程也比较低效,因此,有必要开发一个社团信息管理系统,简化报名和组织活动流程,提高效率[4]。SQL是一种用于创建、查询和维护数据库的语言。由于需要处理的信息可能更多,为了使页面更
本文基于 SocPrime 威胁分析框架,系统剖析 Python 后门的技术机理、攻击链路、隐匿对抗与安全危害,构建覆盖代码安全、终端加固、流量检测、行为分析、应急响应的多层防御体系,提供可直接部署的代码示例与检测规则,形成完整的理论与实践闭环。反网络钓鱼技术专家芦笛指出,Python 后门防御的核心是从特征检测转向行为检测、从被动响应转向主动预防、从单点防护转向体系防御,以行为基线、内存检测、流
总得来说,青藤云安全凭借全栈式安全技术实力,入选 13 大核心领域,全面覆盖主流安全赛道:AI智能体、云原生安全、主机防护、容器安全、DevSecOps、云主机安全、微隔离、运行时应用程序自我保护 (RASP)、零信任、信创主机安全及管理平台、Web 漏洞扫描与监控、演练保障、重保支持。未来,青藤将持续以AI 原生安全为核心战略,以安全智能体为创新引擎,不断强化全栈安全产品能力,为政企客户构建更智
摘要:本文记录了针对Java Web靶机的渗透测试过程。通过分析网站登录界面,发现help.docx文件读取漏洞,进而尝试读取WEB-INF/web.xml配置文件。在GET请求失败后改用POST方式成功获取配置文件,发现FlagController类路径。最终通过读取WEB-INF/classes/com/wm/ctf/FlagController.class文件,获取到base64编码的fla
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主
本文详细介绍了利用PHP日志文件包含漏洞进行Web渗透测试的实验步骤。实验涉及PHPStudy配置、BurpSuite使用、日志文件操作等关键技术点,完整演示了从漏洞发现到权限获取的全过程,并提供了常见问题解决方法。
要点说明代码示例密钥强度至少32位随机字符串使用 crypto.randomBytes(64)算法白名单限制为 HS256/RS256Access Token 短期15分钟过期Refresh Token 长期7天过期不存敏感信息Payload 可被 Base64 解码只存 userId 等标识Token 黑名单支持主动撤销Redis 存储黑名单HTTPS 传输防止 Token 被窃取Nginx 强
Python常用类的命名方法为Pascal命名法,即首字母大写。定义类的方法与创建普通函数差不多。有两点区别:1、需要创建在class里面,前面需要有缩进,来表示属于该类的方法。2、和 /_/_init/_/_ 一样,第一个参数被占用,用于表示对象自身,约定俗成为 self。Python 标准库 — Python 3.13.0 文档看完这套Python入门教程后:想继续巩固基础,推荐书籍《Pyth
【代码】极客大挑战2023-web-easy_php。
本文详解 Python 列表和字典的核心用法,助您从单变量管理进阶到批量数据处理。通过增删改查、循环遍历及通讯录实战案例,掌握高效数据结构技巧,为处理复杂业务逻辑与 JSON 数据打下坚实基础。
本文深入解析了CTF比赛中PHP弱类型比较的常见陷阱,特别是MD5哈希和Session处理中的漏洞利用。通过ctfshow-web5和web11题目的实战案例,揭示了'0e'开头的魔术哈希和空Session比较的安全风险,并提供了严格比较、密码哈希最佳实践等防御措施,帮助开发者在实战中避免类似问题。
文章摘要: 本文主要修复了CustomProviderTokenGenerator工具类在OAuth2.1框架中的几个关键问题。首先指出OAuth2AuthorizationService接口在令牌刷新机制中的核心作用,其实现类需根据项目实际选择内存或数据库存储。针对原工具类的三个主要缺陷:1) Principal属性设置错误导致类型转换异常,应改用包含UserDetails的Authentica
主要内容:免费开题报告、任务书、全bao定制+中期检查PPT、代码编写、🚢文编写和辅导、🚢文降重、长期答辩答疑辅导、一对一专业代码讲解辅导答辩、模拟答辩演练、和理解代码逻辑思路。
这篇WriteUp详细分析了PHP回调函数RCE靶场的解题思路。文章首先解析了题目核心代码逻辑:系统随机选择PHP函数与用户输入的content拼接后执行eval()。作者分享了踩坑经验,指出在PHP 7.2+版本中直接使用assert可能导致错误,提出更稳定的解决方案是让回调函数打印变量而非执行代码。文章提供了完整的抓包操作流程和两种Payload类型:直接执行型(eval/assert)和回调
PHPStudy就像漏洞靶场的“一键精装房”——让我们跳过繁琐的环境搭建,直接拎包入住开始练手。输入以下命令:mysql -u root -p (-u 指的是用户 user,-p 指的是密码 password)找到这个位置“phpstudy_pro/Extensions/MySQL5.7.26/bin”,再点击“确定”更改数据库密码,点击数据库,点击修改 root 密码,输入密码123456,点击
PHP序列化漏洞分析摘要 PHP序列化是将变量转换为可存储字符串的过程,反序列化则将其还原。该机制在数据存储和传输中非常实用,但存在严重安全风险: 漏洞原理:当unserialize()参数可控时,攻击者可构造恶意序列化字符串,通过魔术方法(如__destruct)自动触发危险操作,形成POP攻击链。 关键特征: 序列化格式包含类型标记(如O表示对象) 魔术方法是主要攻击入口点 protected
摘要: 本文聚焦现代化前端框架(Vue/React)专属安全风险,重点解析原型链污染漏洞的原理与防御。传统XSS等风险在框架中因自动转义而减少,但框架底层机制(如原型继承、裸渲染API)引入新隐患。核心内容包括: 原型链污染:通过生活化类比解释JS原型继承机制,分析漏洞成因(外部可控输入+递归合并+未过滤__proto__字段),提供三层防御方案(字段过滤、无原型对象、限制合并函数)。 框架高危A
PHP解析序列化字符串时,发现声明属性数量 大于类实际属性数量,判定数据异常,直接放弃执行__wakeup方法,成功绕过过滤。1. 正常序列化对象:O:4:"Test":1:{s:4:"flag";3. 构造溢出:O:4:"Test":2:{s:4:"flag";// 禁止恶意反序列化,重置flagthis->flag = "error";这也是CTF中最经典、最稳定的__wakeup绕过方式,适
Python .pth 劫持
Cofense 情报团队监测数据显示,新型钓鱼活动可在用户点击恶意链接瞬间,通过浏览器主动上报的 User-Agent 字符串完成设备、操作系统、浏览器、时区、地理定位、屏幕尺寸全维度指纹采集,依托云分发节点前置分流逻辑,向 Windows、macOS、移动端设备推送对应专属恶意载荷,同步动态切换仿冒页面模板,分别伪装 Microsoft Teams、Adobe、Zoom、Google、Docus
web安全
——web安全
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net