网络安全工程师 + 更多

34
小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计算机的远程访问权限就万事大吉了,那你就大错特错了,事情绝对没有你想得那么简单。因为目前就出现了一种新的攻击方式,就是黑客可利用Windows远程协助漏洞窃取你的敏感文件。其攻击原理就是有人主动邀请或提供给你他们自己计算机的远程访问权限,让你

17
云数据存储:漏洞及避免漏洞方法

云数据存储:漏洞及避免漏洞方法

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自己的服务器因而可降低耗电量。信息存储和备份创建变得更加便宜和简单。 这些年来,大量的数据被转移到云端,包括个人档案、照片、文件和受版权保护的内容。付费和免费云服务用户基数继续增长。根据调查公司Research 和 Markets的数据显示云

16
没错,区块链真的是最具颠覆性的数据安全技术

没错,区块链真的是最具颠覆性的数据安全技术

虽然区块链技术大多与加密货币联系在一起,作为推动比特币及比特币价格飙升的创新技术而为人所知,但专家眼中区块链将会彻底改变的行业却还有很多很多。 区块链可提供透明性、去中心化、效率、安全和其他一系列好处,彻底革新多个行业,改善数据世界的安全性。它将改变的行业包括但不限于: 银行业 供应链管理 保险 云存储 政府 慈善 在线音乐 能源管理 房地产 零售业 专家们眼中区块链将彻底颠覆的行业还有很多,有些

35
新型渗透手法:利用XSS绕过WAF进行SQL注入

新型渗透手法:利用XSS绕过WAF进行SQL注入

*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 0×00 前言 看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。 通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。 0×01 起因 咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,

21
CVE-2018-1270:spring-messaging远程代码执行漏洞分析预警

CVE-2018-1270:spring-messaging远程代码执行漏洞分析预警

报告编号: B6-2018-040901 报告来源: 360-CERT 报告作者: 360-CERT 更新日期: 2018-04-09 漏洞概述 2018年4月5日,Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞,其中编号为CVE-2018-1270的漏洞可导致远程代码执行。 360-CERT通过对此漏洞进行了相关分析,认为漏洞影响严重;目前相关PoC已经被发布,建议

22
思科网络设备漏洞波及国内,中奖后屏幕竟会出现美国国旗

思科网络设备漏洞波及国内,中奖后屏幕竟会出现美国国旗

上周,俄罗斯和伊朗多个网络基础设施遭到攻击,攻击涉及全球200000只路由器交换机,包括伊朗的3500只交换机。攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171。而就在今天,国内多个机构遭受同样的攻击。根据国外的案例,遭受攻击的企业,除了设备瘫痪之外,屏幕上还显示出美国国旗。 FreeBuf曾报告过这个漏洞的详细分析,是Embedi 安全公司研究员在 Smart

20
思科Smart Install的远程代码执行漏洞(CVE-2018-0171)详细分析

思科Smart Install的远程代码执行漏洞(CVE-2018-0171)详细分析

自 2010 年发布以来,思科的Smart Install 出现过若干漏洞,包括远程代码执行漏洞CVE-2011-3271、拒绝服务漏洞CVE-2012-0385、CVE-2013-1146、CVE-2016-1349和CVE-2016-6385。 2017 年 5 月,Embedi 安全公司研究员、俄罗斯白帽黑客 George Nosenko 在 GeekPwn 黑客大赛现场成功演示了一个思科交

73
重新认识被人遗忘的HTTP头注入

重新认识被人遗忘的HTTP头注入

前言 注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。 HOST注入 在以往http1.0中并没有host字段,但是在http1.1中增加了host字段,并且http协议在本质也是要建立tcp连接,而建立连接的同时必须知道对方的ip和端口,然后才能发送数据。既然已经建立了连接,那host字

系统运维工程师 + 更多

“深入浅出”来解读Docker网络核心原理

“深入浅出”来解读Docker网络核心原理

2018-03-20 76 ℃  0
 0 

前言  之前笔者写了有些关于dokcer的各种相关技术的文章,唯独Docker网络这一块没有具体的来分享。后期笔者会陆续更新Docker集群以及Docker高级实践的文章,所以在此之前必须要和大家一起来解读一下Docker网络原理。 就好比中国武术一样:学招数,会的只是一时的方法;练内功,才是受益终生长久之计。认真看下去你会有收获的,我们一起来把docker的内功修练好。 在深入Docker内部的

DevSecOps现状:理论叫得响,实践待发展

DevSecOps现状:理论叫得响,实践待发展

近年来,DevSecOps 的理念越叫越响,业内似乎对此都喜闻乐见,但是 DevSecOps 在具体实践上还有待发展。 DevOps 快速发展,SecOps 成为牺牲者 DevOps 就是开发与运营相结合,最初源自打破业务隔离、整体作战创造更高效率的理念。目前,越来越多的人意识到在开发过程中将安全融入到新产品的重要性,而且对于产品安全的监管需求也也越来越严格,因此,当前流行的理念是将安全纳入新的组

Ansible入门与playbook实战

Ansible入门与playbook实战

一、简要 1、关于Ansible Ansible是一个部署一群远程主机的工具;Ansible通过SSH协议实现远程节点和管理节点之间的通信。理论上说,只要管理员通过ssh登录到一台远程主机上能做的操作,Ansible都可以做到。Ansible是python开发的,故依赖一些python库和组件,如:paramiko,PyYaml和jinja三个关键组件; 2、ansible架构: 右边绿色部分是被

国内速度比较快的NTP Server

国内速度比较快的NTP Server

NTP全称是Network Time Protocol,是用来让计算机之间实现时间同步的协议,而发布这种校对时间的服务器,就是NTP Server!一般来说客户端与服务器之间的时间误差在几十毫秒以内,当然,如果你的时间服务器在美国或者欧洲,误差可能稍大一些。在我们的日常生活中,能接触到NTP的也基本就是你的Windows系统和你的路由器系统,而且这两种系统对标准时间的精度要求不是很高,就算是不联网

Cinder 组件详解 – 每天5分钟玩转 OpenStack(47)

Cinder 组件详解 – 每天5分钟玩转 OpenStack(47)

本节我们将详细讲解 Cinder 的各个子服务。 cinder-api cinder-api 是整个 Cinder 组件的门户,所有 cinder 的请求都首先由 nova-api 处理。cinder-api 向外界暴露若干 HTTP REST API 接口。在 keystone 中我们可以查询 cinder-api 的 endponits。 客户端可以将请求发送到 endponits 指定的地址

记录一次php占用系统资源过高的问题

记录一次php占用系统资源过高的问题

本地环境:redhat6.7系统。 nginx1.12.1 ,php7.1.0,  代码使用yii2框架 问题:本地的web站需要用到elasticsearch服务。当php使用本地服务器搭建的elasticsearch时,本地的负载都是正常。 当我使用aws 的elasticsearch service服务时,本地服务器出现负载经常过高的情况。查看nginx 和php日志,发现没有异常。系统的并

数据存储管理员 + 更多

86
不得不看,只有专家才知道的17个SQL查询提速秘诀!

不得不看,只有专家才知道的17个SQL查询提速秘诀!

除非你遵循本文介绍的这些技巧,否则很容易编写出减慢查询速度或锁死数据库的数据库代码。 由于数据库领域仍相对不成熟,每个平台上的 SQL 开发人员都在苦苦挣扎,一次又一次犯同样的错误。 当然,数据库厂商在取得一些进展,并继续在竭力处理较重大的问题。 无论 SQL 开发人员在 SQL Server、Oracle、DB2、Sybase、MySQL,还是在其他任何关系数据库平台上编写代码,并发性、资源管理

117
Linux运维必会的mysql企业面试题大全

Linux运维必会的mysql企业面试题大全

(1)基础笔试命令考察 1.开启MySQL服务 /etc/init.d/mysqld start service mysqld start systemctl start mysqld 2.检测端口是否运行 lsof -i :3306 netstat -lntup |grep 3306 3.为MySQL设置密码或者修%独立,互不影响的对外提供服务,便于节约服务器资源与后期架构扩展多实例的配置方法有

92
MySQL数据库root账户密码忘记两种处理方法

MySQL数据库root账户密码忘记两种处理方法

方法1: 1.停止MySQL服务 # kill `cat /var/run/mysqld/mysqld.pid` 或者 # pkill mysqld 2.创建一个密码赋值语句的文本文件 # vi mysql-init ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass!6'; 在加载授权表之前重置密码。 3.使用—init-file选项启动

116
Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

了解过两者的同学有那么个大致的印象: 1、redis与memcached相比,比仅支持简单的key-value数据类型,同时还提供list,set,zset,hash等数据结构的存储; 2、redis支持数据的备份,即master-slave模式的数据备份; 3、redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用等等。 这似乎看起来redis比memcach

83
MongoDB数据库入门的5个简单步骤

MongoDB数据库入门的5个简单步骤

对于希望使用MongoDB的组织,学习如何可以压倒:哪里,你是怎么开始使用这个强大的数据库?随着数据库的普及,IT领导者需要清楚地了解其基础以及更好的使用技巧。 对于希望使用分布式文件存储的数据库MongoDB的组织来说,如何开始使用这个强大的数据库是其所面临的挑战。随着数据库的普及,IT领导者需要对其基础有一个清晰的了解以及更好的使用技巧。 以下是确保成功应用MongoDB数据库的五个简单步骤。

别不相信 大数据已经侵入到你生活的方方面面

别不相信 大数据已经侵入到你生活的方方面面

2017-10-25 93 ℃
 0 

大数据这个词,几乎每天都会听到。不过谈到这个词的,要么是科技公司介绍新技术、要么是专家学者介绍未来发展趋势,对于普通人来说,似乎在我们的印象中只是“很大一堆数据”而已,与我们的生活似乎没有太大的关系,该上班上班、该吃饭吃饭、该逛街逛街、该旅行旅行,似乎这种看不见摸不着的东西,距离我们还很遥远。 其实对我们普通人来说,大数据并不只是简单的“很大一堆数据”,如果这些数据被充分分析、利用,那么就可以通过

项目开发工程师 + 更多

2018-03-12 26 ℃   0
 0 

触发条件: php 7.2.x,开启gd库。只需要三行代码即可完成! 我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。 php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服务器上试试: 啊哈,一样的结果。触发这个问题的代码如下: $im=imagecreate(100,100); imageantialias($im,true); imageline($im,

手把手|20行Python代码教你批量将PDF文件转为Word格式(包教包会)

在日常工作或学习中,经常会遇到这样的无奈: “小任,你把这个PDF中的文件码出来发我” 倒霉,2M的PDF12点也完不了啊! 很多时候在学习时发现许多文档都是PDF格式,PDF格式却不利于学习使用,因此需要将PDF转换为Word文件,但或许你从网上下载了很多软件,但只能转换前五页(如WPS等),要不就是需要收费,那有没有免费的转换软件呢? so,菜鸟分析给各位带来了一个免费简单快速的方法,手把手教

使用Python和Tesseract来识别图形验证码

各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,也只能苦哈哈地进行人肉识别,或者无奈地放弃任务。在这里,我分享一下自己使用Python和开源的tesseract OCR引擎做验证码识别的经验,并提供相关的源代码和示例供大家借鉴。 一、关于图形验证

运维学python之爬虫工具篇(一)Requests库的用法

历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之

运维学python之爬虫实战篇(二)爬取伯乐在线面向对象图片

历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之

互联网最新资讯 + 更多

安全客2018季刊第一季 | 区块链时代下的黑产攻防

安全客2018季刊第一季 | 区块链时代下的黑产攻防


2周前 (04-10)   浏览: 40

点击下载阅读安全客2018季刊——第一季 (更新最新版APP阅读季刊来参与活动抽奖吧)   2017年年初,安全客的第一版电子年刊正式出版,一经发布立刻在安全圈内掀起一番读书热潮。今天安全客2018年第一季度季刊正式和大家见面,截至本次已经发布了6版,并且在上一季度中,安全客季刊创下累积370000+的下载量,这是安全客一直坚守质量为本、干货为首的成果凝集,也是安全客用户和白帽伙伴对季刊

线下沙龙 + 更多

2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕

2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕

2018国际智能网联汽车创新峰会(ICVIS2018)圆满落幕 2018国际智能网联汽车创新峰会,由上海易贸携手智能网联汽车产业技术联合创新中心、各智能网联汽车联盟组织、整车厂、科研院所以及互联网科技公司、数百家媒体共同参与,于2018年4月12-13号在上海大华虹桥假日酒店隆重开幕,为期两天的峰会聚集了 260位来自国内外政府部门、协会联盟、高校及科研院所、整车厂商、零部件供应商、通信运营商、智

 2018-04-17
 6
 0 
2018年4月12号国际智能网联汽车创新峰会最新大会日程新鲜出炉啦~

2018年4月12号国际智能网联汽车创新峰会最新大会日程新鲜出炉啦~

2018年4月12号国际智能网联汽车创新峰会最新大会日程新鲜出炉啦~ ICVIS2018国际智能网联汽车创新峰会 智能 · 合作 · 未来——融合创新共享智慧出行   主办单位:上海易贸商务 协办单位:智能网联汽车产业技术联合创新中心 时间       :2018年4月12-13日 地点:中国. 上海 会议人数规模:400人(企业技术、市场、销售副总级以上) 参会嘉宾企业类型: 相关政府

 2018-04-10
 7
 0 
2018年第二届中国网络安全国际峰会5月即将开幕,精彩亮点抢先看!

2018年第二届中国网络安全国际峰会5月即将开幕,精彩亮点抢先看!

近日,Facebook承认,一名开发者层获取了5000万用户的信息,并将它们出售给为政治竞选提供数据的Cambridge Analytica公司。该公司随后被特朗普竞选团队雇佣。尽管Facebook称这名开发者和Cambridge Analytica都违反了平台的政策,但Facebook因此受到监管机构调查并激怒用户。 网络安全一时成为网民热议话题,而在2017年,数据泄露、网络攻击、漏洞发现等各

 2018-03-28
 30
 0 

合作伙伴

切换注册

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享