精彩博客

腾讯三面被问到有没有参加过CTF?我反手就是一套军体拳打得面试官哑口无言!

前言: 这是一场紧张的比赛,现场激情解说: “SP的战队率先发起攻击,可惜被K&K战队以三行代码轻松拦截!” “哇哦,SP战队依旧紧追猛打,在几秒之内就找到了对方漏洞所在,极速完胜对手!” “天哪,SP战队再次找到K&K服务器防御漏洞!” 电视剧为了渲染效果,喜欢把CTF搞得跟电子竞技比赛一样,如果你真以为CTF比赛就是电视剧中“现男友”展现的这样: 还有这样: 那就大错特错了!CTF比赛并不是一个电竞项目,真实的CTF是这样...

06/15 17:21
14
0
iptables 防火墙(一)| 四表/五链、数据包匹配流程、编写 iptables 规则

一名致力于在技术道路上的终身学习者、实践者、分享者,一位忙起来又偶尔偷懒的原创博主,一个偶尔无聊又偶尔幽默的少年。 一、Linux 防火墙基础 Linux防火墙主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,典型的包过滤防火墙,基于内核编码实现,具有非常稳定的性能和高效率。 iptables:用来管理 Linux 防火墙的命令程序,位于/sbin/iptables目录下,属于用户空间的防火墙管理体系。 netfilter:Linux 内核中实现包过...

前天 11:06
639
0
密码学系列之:feistel cipher

简介 feistel cipher也叫做Luby–Rackoff分组密码,是用来构建分组加密算法的对称结构。它是由德籍密码学家Horst Feistel在IBM工作的时候发明的。feistel cipher也被称为Feistel网络。 很多分组加密算法都是在feistel cipher的基础上发展起来的,比如非常有名的DES算法。 在feistel cipher中,加密和解密的操作非常相似,通常需要进行多轮加密和解密操作。 Feistel网络的原理 Feistel网络中会用到一个round function也叫做轮函数...

前天 09:15
392
0
前端安全 — 浅谈JavaScript拦截XSS攻击

XSS/跨站脚本攻击,是一种代码注入网页攻击,攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。 如今,XSS 攻击所涉及的场景愈发广泛。越来越多的客户端软件支持 html 解析和 JavaScript 解析,比如:HTML 文档、XML 文档、Flash、PDF、QQ、一些音乐播放器以及浏览器的功能界面等。这些用户经常使用的场景往往都是 XSS 攻击的高发地带。 # 一、XSS攻击类型 ## 1. 存储型XSS(持久型) 攻击者在表...

06/15 15:09
9.6K
0
72 个网络应用安全实操要点,全方位保护你的 Web 应用

原文地址:Web Application Security Checklist 原文作者:Teo Selenius(已授权) 译者 & 校正:HelloGitHub-小熊熊 & 卤蛋 对于开发者而言,网络安全的重要性不言而喻。任何一处代码错误、一个依赖项漏洞或是数据库的端口暴露到公网,都会有可能直接送你上热搜。 那么,哪里可以找到详细的避雷指引呢?OWASP's top 10 清单太短了,而且它更关注的是漏洞罗列,而非对预防。相比之下,ASVS 是个很好的列表,但还是满足不了实际需...

06/10 09:06
866
0
浅谈利用session绕过getshell

在前些时间,国赛上再一次遇到了服务器本地文件包含`session`的漏洞,这是个老生常谈的东西了,但还是常常可以碰到,而我们想利用`session`来`getshell`往往还需要一些特殊的方法,借此机会,研究一番。 本文涉及相关实验:[文件包含漏洞-中级篇](https://www.hetianlab.com/expc.do?ec=ECID21bb-8308-4117-ab95-a4602fa6c377&pk_campaign=kaiyuan-wemedia) (本实验介绍了文件包含时绕过限制的原理,以及介绍利用文件包含漏洞读...

06/09 16:03
940
0
90后大叔连夜爆肝整理出最全内网渗透实战技巧 妹妹直呼心疼哥哥!

本文章是关于内网方面渗透技巧的一个文章,用的环境是VulnStack1,VulnStack是红日安全团队出的一个内网渗透的靶机环境,感谢红日团队,地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 主要以该环境讲解内网渗透的技术。 拓扑图如下: · Web服务器(Windows7):192.168.10.14 、192.168.52.143 主机名:stu1 · 域成员主机(Windows Server 2003):192.168.52.141 主机名:root-tvi862ubeh · 域控(Windows Server 2...

05/26 14:46
1.4K
0
数栈技术分享:数栈如何保障企业数据安全和隐私?

数栈是云原生—站式数据中台PaaS,我们在github和gitee上有一个有趣的开源项目:FlinkX,FlinkX是一个基于Flink的批流统一的数据同步工具,既可以采集静态的数据,也可以采集实时变化的数据,是全域、异构、批流一体的数据同步引擎。大家喜欢的话请给我们点个star!star!star! github开源项目:https://github.com/DTStack/flinkx gitee开源项目:https://gitee.com/dtstack_dev_0/flinkx 一、数据安全 2018年6月,《中华人民...

05/24 16:34
156
0
数栈运维安全案例:某传媒企业两会期间安全护航

数栈是云原生—站式数据中台PaaS,我们在github和gitee上有一个有趣的开源项目:FlinkX,记得给我们点个star!star!star! gitee开源项目:https://gitee.com/dtstack_dev_0/flinkx github开源项目:https://github.com/DTStack/flinkx FlinkX是一个基于Flink的批流统一的数据同步工具,既可以采集静态的数据,比如MySQL,HDFS等,也可以采集实时变化的数据,比如MySQL binlog,Kafka等,是全域、异构、批流一体的数据同步引擎...

04/13 14:44
248
0
某社交App cs签名算法解析(一) SSL双向认证

## 一、目标 奋飞: 老板,咱们得招几个妹子呀,咱们公司男女比例太失衡了。 李老板: 你去这个App上晃晃,据说上面妹子很多。 ![](https://oscimg.oschina.net/oscnet/up-b2540a5d2621e0c7a52a369c96457e2491f.png) 我去,包都抓不到,耍个毛线呀。 TIP: 新鲜热乎的 v3.83.0 ## 二、步骤 ### SSL双向认证 问了下谷歌,有不少同道都遇到了返回值是 **400 No required SSL certificate was sent** 这种情况。 他们一致认为,是遇...

05/24 19:13
1.1K
0
从Web弱口令到的获取集权类设备权限的过程

x01 web弱口令获取ssh权限 对公网的端口进行扫描后,发现443端口是某厂商的vpn管理平台,通过默认账号密码:admin/xxxxx进入平台,发现该平台可以连接内网中的机器,于是想着用该设备的ssh做一次代理,进入内网。(PS:一般情况下设备的web账号密码也是ssh的账号密码)。 telnet 22端口,端口开放,但是ssh连接则又显示不可达,如下: 咨询了团队大佬,说是有ACL限制了。刚好设备里面可以修改ACL,于是修改ACL允许我的IP进行连接...

05/20 17:53
1.2K
0
数栈数据安全案例:混合云环境数据库备份容灾实现

本文整理自:袋鼠云技术荟 | 数据安全(1):混合云环境数据库备份容灾实现 数栈是云原生—站式数据中台PaaS,我们在github上有一个有趣的开源项目:FlinkX,欢迎给我们点个star!star!star! https://github.com/DTStack/flinkx FlinkX是一个基于Flink的批流统一的数据同步工具,既可以采集静态的数据,比如MySQL,HDFS等,也可以采集实时变化的数据,比如MySQL binlog,Kafka等,是全域、异构、批流一体的数据同步引擎,大家如...

04/08 17:43
184
0
CSP浅析与绕过

XSS是最常见、危害最大的网页安全漏洞,想要抵御它们,要采取非常多编程措施,非常麻烦。那么,有没有可以从根本上解决问题,浏览器自动禁止外部注入恶意脚本的方法呢?CSP应运而生。 本文涉及相关实验:XSS进阶之CSP绕过 (实验介绍了CSP防御机制的基本原理,利用script gadget绕过CSP,进而实施XSS攻击,并对攻击原理和过程进行分析。) 什么是CSP CSP(Content Security Policy,内容安全策略),是网页应用中常见的一种安全...

05/13 17:03
5K
2
某资讯App signature签名分析 (一)

## 一、目标 这两年很少看新闻和资讯了,基本新瓜的来源都是公众号了,这是不是也算被信息茧房了? ![](https://oscimg.oschina.net/oscnet/up-c914cc04f9481b2eccd7b23588c470b6436.JPEG) 今天就看看这个资讯App吧,目标就是它 **signature** ![](https://oscimg.oschina.net/oscnet/up-fc2dad2f1bce4fae036fd0d5831edf9b809.png) 这个签名有点意思,不像md5之类的数字字母,也不像Base64 ## 二、步骤 ### Jadx搜索 "signature...

05/13 15:04
1K
0
详解 WebRTC 传输安全机制:一文读懂 DTLS 协议

作者|进学 审校|泰一 DTLS (Datagram Transport Layer Security) 基于 UDP 场景下数据包可能丢失或重新排序的现实情况下,为 UDP 定制和改进的 TLS 协议。在 WebRTC 中使用 DTLS 的地方包括两部分:协商和管理 [SRTP]() 密钥和为 [DataChannel]() 提供加密通道。 ![](https://oscimg.oschina.net/oscnet/up-958415b54840f597de7ca9642f704e4bf4c.png) 本文结合实际数据包分析 WebRTC 使用 DTLS 进行 SRTP 密钥协商的流程。并对...

05/08 11:03
8.5K
1
搞个大点的 某团购App mtgsig

## 一、目标 李老板: 奋飞呀,最近更新的都是些小App,要不要分析个大点的? 奋飞: 你是老板,你说了算喽。 大公司果然大气,人家签名是一个字段,他直接一堆字段。 ![](https://oscimg.oschina.net/oscnet/up-7db7324f49471724c84d2be2ab5af37fae5.png) **mtgsig** 就是我们今天的目标 ## 二、步骤 ### Jadx搜索 “mtgsig” 结果 ``` public static final String MTG_SIG_HEADER = "mtgsig"; ``` 继续Jadx **MTG_SIG_HEADER...

04/30 10:59
4.2K
1
漫谈SCA(软件成分分析)测试技术:原理、工具与准确性

摘要:本文介绍了SCA技术的基本原理、应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势;让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问题,从而帮助提升软件安全质量。 本文分享自华为云社区《漫谈SCA测试技术(一)》,原文作者:安全技术猿 。 1、什么是SCA SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对...

04/29 10:16
1.7K
0
60 秒系统安全认证实战

点击python编程从入门到实践,置顶 公众号重磅 python入门资料,第一时间送达 读完需要 18分钟 速读仅需 6 分钟 / python 生产实战 60 秒系统安全认证实战 / 上节主要讲解了目前主流的认证规范/协议以及对 JWT 进行了深入的研究和分析并在最后给出了在生产环境中如何去生成一个有效的 Token,基于 Python 语言那在生产环境中是如何进行有效的安全认证的呢?上节我们也基于 JWT 的 Token 的认证过程进行了登陆认证、请求认证的理...

MISC 从标题中找信息

在做隐写的时候,思路很重要,当然有时候会感觉思路不够用,那怎么办呢?记住看隐写的题目名字很重要,因为很多时候,隐写题的标题里就隐藏了信息。 本文实验地址为:《CTF MISC练习之编码1》。 进入实验机,打开http://www.ctfmisc.com/firstbl00d/后,我们仅仅看到一张图片以及一段简单的文字描述,除了网页的标题“BASE64 & MD5 & COOKIE”外,表面上没有任何有用的信息。 继续看题目,此时查看页面的Cookie也看不到任何有用...

04/15 17:22
603
0
RSA初探,聊聊怎么破解HTTPS

这篇文章跟大家讨论一个比较有意思的问题:怎么破解https?大家都知道,现在几乎整个互联网都采用了https,不是https的网站某些浏览器还会给出警告。面试中也经常问到https,本文会深入https原理,一直讲到https破解思路。 ## HTTPS 要想破解https,必须先知道https原理,下面我们先来讲讲https原理。 ### 公私钥 https的公私钥经常在面试中出现,各种面经也会给出答案:https有两个秘钥,公钥和私钥,网站自己持有私钥,用户持...

04/14 10:08
4.7K
5

没有更多内容

加载失败,请刷新页面

初窥鸿蒙

一、什么是鸿蒙 鸿蒙即 HarmonyOS ,是华为公司推出的支持手机、平板、智能穿戴、智慧屏、车机等多种终端设备的分布式操作系统,并且它提供了多语言开发的 API,支持 Java、XML、C/C++、JS、...

06/10 18:21
1.6W
6
深入浅出聊聊 Rust WebAssembly(一)

什么是 webassembly 在 2019 年 12 月之前,如果你要编写一个web页面,那一定离不开 html、css、js 这三个好兄弟。在 2019 年 12 月之后 W3C 宣布 webassembly 加入了他们。为什么要在三兄弟...

06/10 10:55
1.4W
3
一文教会你认识Vuex状态机

摘要:简单来说,Vuex就是实现组件全局状态(数据)管理的一种机制,可以方便的实现组件之间数据的共享。 本文分享自华为云社区《Vuex状态机快速了解与应用》,原文作者:北极光之夜。 一. 速识...

06/09 10:02
1.5W
4
V8 执行 JavaScript 的过程

👆 这是第 102 篇不掺水的原创,想要了解更多,请戳上方蓝色字体:政采云前端团队 关注我们吧~ 本文首发于政采云前端团队博客:V8 执行 JavaScript 的过程 https://www.zoo.team/article...

06/08 21:30
7.8K
4
读写分离水太深,你把握不住,让CQRS来

多年以前,那时我正年轻,做技术如鱼得水,甚至一度希望自己能当一辈子的一线程序员。 但是我又有两个小愿望想要达成:一个是想多挣点钱;另一个就是对项目的技术栈和架构选型能多有点主动权...

06/08 14:07
2.6W
13
Go timer 是如何被调度的?

hi,大家好,我是 haohongfan。 本篇文章剖析下 Go 定时器的相关内容。定时器不管是业务开发,还是基础架构开发,都是绕不过去的存在,由此可见定时器的重要程度。 我们不管用 NewTimer, ti...

06/08 08:37
7.2K
0
深入浅出协程、线程和并发问题

"协程是轻量级的线程",相信大家不止一次听到这种说法。但是您真的理解其中的含义吗?恐怕答案是否定的。接下来的内容会告诉大家协程是如何在 Android 运行时中被运行的,它们和线程之间的关...

06/03 11:44
1.9W
0
深入解析 Raft 模块在 ZNBase 中的优化改造(下)

作者:管延信 上期回顾:深入解析 Raft 模块在 ZNBase 中的优化改造(上) 导读 云溪数据库 ZNBase 是由浪潮开源的一款 NewSQL 分布式数据库,具备 HTAP 特性,拥有强一致、高可用的分布式架...

05/31 11:03
5.5K
8
浅析扣减库存的方案设计

你好,我是悟空,今天来探讨下扣减库存的方案。 生活中,我们总是用各种电商app抢购商品,但是库存数是很少的,特别是秒杀场景,商品可能就一件,那如何保证不会出现超卖的情况呢? 一、扣减...

05/28 15:01
2.2W
3
HTAP 数据库如何实现?浅析 ZNBase 中的列存引擎

作者:马静伟 编辑:大东BE 导读 TP 与 AP 融合的 HTAP 数据库正成为业内的发展趋势。但由于大规模数据场景下 TP 与 AP 系统本身的复杂性,要在一套数据库系统中融合两种使用场景的功能并不容...

05/28 14:03
8.6K
18
高德Serverless平台建设及实践

导读 高德启动Serverless建设已经有段时间了,目前高德Serverless业务的峰值早已超过十万QPS量级,平台从0到1,QPS从零到超过十万,成为阿里集团内Serverless应用落地规模最大的BU。这个过程...

05/28 12:10
1.4W
1
从源码出发看zgc的技术内幕

笔者经过上次对zgc在不同环境下进行的测试后,发现zgc所带来的提升非常之大。一时间对zgc在生产中使用充满信心,但是在全面使用之前,难免对其几大新特性有一些好奇,比如:染色指针,读屏障...

05/27 16:38
2W
13
拯救祭天的程序员——事件溯源模式

一、事前 你相信吗?曾经有一段日子,我几乎没接到过合格的产品需求。 开局几句话,技术全靠猜。 总是以为简单的需求 曾经,我从产品那里接到过这么一个需求: 对系统的用户进行分级,不同级别...

05/27 12:54
2.3W
8
React 事件系统是如何工作的?

一、DOM 事件流 在浏览器中,我们通过事件监听来实现 JS 和 HTML 之间的交互。一个页面往往会被绑定许许多多的事件,而页面接收事件的顺序,就是事件流。它类似于蹦床,从高处下落,触达蹦床...

05/24 19:25
1.2W
5
懂得取舍才是缓存设计的真谛

Previously 前两篇文章(缓存稳定性 和 缓存正确性)跟大家讨论了缓存的『稳定性』和『正确性』,缓存常见问题还剩下『可观测性』和『规范落地&工具建设』 稳定性 正确性 可观测性 规范落地和...

05/24 09:00
1.5W
1
提效 7 倍,Apache Spark 自适应查询优化在网易的深度实践及改进

本文基于 Apahce Spark 3.1.1 版本,讲述 AQE 自适应查询优化的原理,以及网易数帆在 AQE 实践中遇到的痛点和做出的思考。 前言 自适应查询优化(Adaptive Query Execution, AQE) 是 Spark 3....

05/21 10:47
1.2W
0
一起看 I/O | Android 更新一览

作者 / Karen Ng, Director, Product Management & Jacob Lehrbaum, Director of Developer Relations, Android & Play 作为 Android 开发者,我们致力于打造让世界各地的用户们满意的体验。...

05/20 19:06
3.5K
0
低代码平台如何一步步摧毁开发团队的效率与创新!

关于低代码平台,之前我也推送过两篇相关的文章,我的观点很简单:东西是好的,有它所擅长和适用的领域,但软件产品不存在银弹,低代码平台一样如此! 现在在搜索引擎上搜“低代码”这样的关...

05/14 10:26
4.1W
15
CSP浅析与绕过

XSS是最常见、危害最大的网页安全漏洞,想要抵御它们,要采取非常多编程措施,非常麻烦。那么,有没有可以从根本上解决问题,浏览器自动禁止外部注入恶意脚本的方法呢?CSP应运而生。 本文涉...

05/13 17:03
5K
2
Flutter Web插件实现:打通JavaScript和Dart

之前分享了如何在Flutter插件中支持Android和Windows,这篇文章将增加Web插件的实现方法,以及创建一个简单的web一维码,二维码识别应用。 参考资源 https://dart.dev/web/js-interop https:...

05/13 15:23
2.1W
1

没有更多内容

加载失败,请刷新页面

返回顶部
顶部