置顶推荐

【资料中心】名师录制视频技术干货下载

【资料中心】名师录制视频技术干货下载

《Linux基础入门视频新手必学-10GB》 《赵小明Linux教程RHCE–进阶篇》 《兄弟连2015年新版Linux基础视频》 《跟老男孩学Linux运维:Shell编程实战.高清》 《烨子女神手把手教你学Linux系统》 《兄弟连Shell编程基础学习》 《尚观Shell视频教程》 《Linux应用系统开发及系统调试》 《Elastic Stack深入浅出视频》 《韩老师-计算机网络原理》

【管理干货】技术管理人员的实战讲义

【管理干货】技术管理人员的实战讲义

01、多年前的那些工程师都去哪了? 02、我要不要做管理呢?内心好纠结! 03、哪些人比较容易走上管理岗位? 04、我要不要转回去做技术呢? 05、作为技术管理者,我如何保持技术判断力? 06、我这样的风格能做管理吗? 07、我能做好管理吗,大家服我吗? 08、管理到底都做哪些事儿? 09、从工程师到管理者,角色都发生了哪些变化? 10、新经理常踩的坑儿有哪些? 11、我刚开始带团队,从哪里着手呢

【乌云知识】WooYun文章镜像全库

【乌云知识】WooYun文章镜像全库

001、智能设备Wi-Fi快速配置类协议安全 002、做个试验:简单的缓冲区溢出 003、最新Webqq密码的加密方式分析过程 004、自制分布式漏洞扫描 005、自动生成正则表达式 006、转储活动目录数据库凭证的方法总结 007、中间人攻击 — Cookie喷发 008、网络小黑揭秘系列之黑产江湖黑吃黑—中国菜刀的隐形把手 009、中国菜刀仿冒官网三百万箱子爆菊记 010、智能设备逆向工程之外

网络安全工程师 + 更多

利用HTTP host头攻击的技术

利用HTTP host头攻击的技术

0x00 背景 一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER["HTTP_HOST"] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如: 还有的地方还包含有secret key和token, 这样处

祸起萧墙:由播放器引爆的全国性大规模挂马分析

祸起萧墙:由播放器引爆的全国性大规模挂马分析

0x00 事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过

高效的安全,对企业践行DevSecOps的5条建议

高效的安全,对企业践行DevSecOps的5条建议

近年来,在DevOps模型的指导下,将开发和运维团队结合在一起的公司在以更快的速度发布代码方面取得了普遍的成功。但这一趋势加剧了将安全集成到流程中的必要性,因为发布代码越快,漏洞也就越容易产生。而越来越多的企业和组织已经认识到,信息安全是企业存续发展的基石之一,因此希望将安全融合在DevOps之中,也就是我们所说的DevSecOps。 简单来说,若想要将安全集成到DevOps之中,需要采用工具和方

做到这5点,安全开发让你的应用不再漏洞百出 ​

做到这5点,安全开发让你的应用不再漏洞百出 ​

如今,安全威胁的破坏力正以前所未有的速度随着信息化程度的加深而增长,扩大构建数字化业务通常会导致更大的受攻击面。要应对当前和未来的安全威胁,只依靠传统的安全产品投入已显得力不从心,除了购买安全产品,更重要的是安全意识的增强和安全流程的建设。在各种安全建设方案中,“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒,缺少安全开发过程的应

移花接木大法:新型“白利用”华晨远控木马分析

移花接木大法:新型“白利用”华晨远控木马分析

0x00 前言 “白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文

恶意传播之——社工+白+黑

恶意传播之——社工+白+黑

0x00 背景 日前实验室捕获一个样本。远远望去,像是搜狗输入法,在测试机中点开一看,弹出一款游戏的物价表,再看PE文件属性,还带正常着数字签名,一副人畜无害的样子。经过一番认真分析后。发现远没有这么简单,这里就分析过程记录一下,希望其他安全工作者有些许帮助。 先介绍一下所谓白名单免杀。随着病毒与杀软之间的斗争,杀软的手段不断地增多、增强,由早期传统的特征码匹配算法发展到目前虚拟机技术、实时监控技

打造自己的php半自动化代码审计工具

打造自己的php半自动化代码审计工具

0x00 PHP扩展进行代码分析(动态分析) 一.基础环境 二.使用PHPTracert 编辑php.ini,增加: 三.测试 CLI apache 四.phptrace分析 执行的代码如下: 执行顺序是: 参数含义: 名称 值 意义 seq int|执行的函数的次数 type 1/2 1是代表调用函数,2是代表该函数返回 level -10 执行深度,比如a函数调用b,那么a的level就是1,

系统运维工程师 + 更多

8
Linux下软件包管理

Linux下软件包管理

Linux必备命令行操作:vi|vim编辑器的配置 Linux企业软件管理及配置(为什么需要部署软件或者服务) Linux系统本身,学会了系统安装、学会了基础的命令行操作; 学会了网卡、IP的配置方法,远程工具远程服务器; 学习软件安装,软件为王,学习Linux系统中的软件或者服务; 软件可以实现各种功能,满足企业的各种需求; Linux系统软件的安装、卸载、配置、维护以及如何构建企业本地YUM光

27
SDLC开发过程:基于DevSecOps理念的解决方案

SDLC开发过程:基于DevSecOps理念的解决方案

2019年年初,拼多多APP出现重大BUG,用户可以在没有任何限制的情况下无限领取100元无门槛优惠券。据不完全统计,一晚上的时间直接造成拼多多损失的优惠券面额达200多亿。根据拼多多官方报道,此次事件是黑灰产团伙通过一个过期优惠券的漏洞,盗取了平台优惠券数千万元。 2018年年底,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,该团伙成员发现并利用某银行APP软件中的质押贷款业务安全漏洞

18
flannel 的连通与隔离 – 每天5分钟玩转 Docker 容器技术(61)

flannel 的连通与隔离 – 每天5分钟玩转 Docker 容器技术(61)

上一节我们在 flannel 网络中部署了容器,本节讨论 flannel 的连通和隔离特性。 flannel 网络连通性 测试 bbox1 和 bbxo2 的连通性: bbox1 能够 ping 到位于不同 subnet 的 bbox2,通过 traceroute 分析一下 bbox1 到 bbox2 的路径。 bbox1 与 bbox2 不是一个 subnet,数据包发送给默认网关 10.2.4

28
安装配置 flannel每天5分钟玩转Docker容器技术(59)

安装配置 flannel每天5分钟玩转Docker容器技术(59)

上一节我们部署了 etcd,本节安装和配置 flannel。 build flannel flannel 没有现成的执行文件可用,必须自己 build,最可靠的方法是在 Docker 容器中 build。不过用于做 build 的 docker 镜像托管在 gcr.io,国内可能无法直接访问,为方便大家,我把它 mirror 到了 docker hub,构建步骤如下: 下载并重命名 image。

无监控不运维——Prometheus 快速入门

无监控不运维——Prometheus 快速入门

2019-09-18 铁匠

Prometheus 是由 SoundCloud 开发的开源监控报警系统和时序列数据库(TSDB),自 2012 年起,许多公司及组织已经采用 Prometheus,并且该项目有着非常活跃的开发者和用户社区,现在已经成为一个独立的开源项目,并且保持独立于任何公司,Prometheus 在 2016 加入 CNCF ( Cloud Native Computing Foundation ), 作为在

数据存储管理员 + 更多

2019-09-29 八神

**题目**:什么是MongoDB #### **参考答案**: MongoDB是一个文档数据库,提供好的性能,领先的非关系型数据库。采用BSON存储文档数据。2007年10月,MongoDB由10gen团队所发展。2009年2月首度推出。获得安装包和查看详细的API可以访问官网网址www.mongodb.com

终于明白为什么要“分库分表”了!

随着互联网产业的蓬勃发展,在互联网应用上产生的数据也是与日俱增。产生大量的交易记录和行为记录,它们的存放和分析是我们需要面对的问题。 图片来自 Pexels 例如:单表中出现了,动辄百万甚至千万级别的数据。“分表分库”就成为解决上述问题的有效工具。今天和大家一起看看,如何进行分表分库以及期间遇到的问题吧。 为什么会分表分库 数据库数据会随着业务的发展而不断增多,因此数据操作,如增删改查的开销也会越

Oracle安全配置

0x01 测试环境 操作系统:window server 2008 x64 oracle:oracle 11.2.0.1.0 0x02 oracle权限介绍 oracle一个实例就是一个数据库,创建一个新的数据库会产生一个新的实例,并且一个实例独立运行一个进程。 一个用户对应一个方案,当用户新建一个数据对象(比如表)之后会在此方案下面。自己访问可以直接访问,其他用户访问需通过“方案名.对象名”的方

MongoDB将弃用Perl驱动,Perl还能行吗?

由于使用者过少,MongoDB 宣布弃用 Perl 驱动。 MongoDB 高级产品经理 Scott L'Hommedieu 表示,在过去几年中,团队调查了用户群体,并与使用 Perl 驱动的公司进行交流,得到的反馈是,用户对于通过 Perl 驱动支持 MongoDB 新功能的要求极少。另一边,MongoDB 社区自 2018 年以来,没有用户询问过 Perl 驱动相关的问题。 这就意味着,现在只

dba安全测试必备:SQL SERVER数据库手工延时盲注语句

假设存在一个PHP+SQL SERVER的环境,存在POST注入,只能进行延时盲注,存在防火墙,Sqlmap能够绕过,但不能注入,手工注入语句如下: 0x1:判断是否存在注入: [sourcecode language="plain"] #inject为注入点,--OwlXXpFshm%0A绕过WAF,替换空格为注释+回车 #如果存在注入,返回的数据包将延时5秒以上 inject';WAITFOR

项目开发工程师 + 更多

理解php对象注入

理解php对象注入

0x00 背景 原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识。 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看一眼这个列表,一些被审计狗挖到过该漏洞的系统,你可以发

微软工程师建议换掉 Chromium 代码库中的单词:黑名单和白名单

微软工程师建议换掉 Chromium 代码库中的单词:黑名单和白名单

去年有两个知名开源项目 —— Redis 和 Python 均因为其代码库包含 master 和 slave 这些被认为具有冒犯性的单词而被要求修改名称。即便这种请求看起来是如此的无理取闹,但开发者最终还是向“政治正确”(局部)妥协了。 最近类似的案例又再次上演,双方主角还是科技巨头公司 —— 微软和 Google。我们都知道微软已经选择 Chromium 作为 Microsoft Edge 的内

程序员选 Offer?这几个原则考虑一下

程序员选 Offer?这几个原则考虑一下

以前在文章中写过面试话题,今天聊聊职业选择,也就是选 Offer。面试是公司选择你,Offer 是你选择公司。 程序员这个职业在初期,门槛比较低,快速掌握一门编程语言,在工作中能参与有挑战且持续的项目,加入有活力和学习氛围的团队,初级程序员很快就能成长为高级工程师。这也是很多老程序员的焦虑所在,一旦自己稍微松懈一点,没能及时迭代自己的能力模型,那行业内不断涌入的新人就可能对自己形成威胁,无论是技术

技术下载公开区 + 更多

《RHEL5企业级Linux服务全攻略》

《RHEL5企业级Linux服务全攻略》

课程大纲: 第一章:常规网络管理、配置及系统服务全攻略 第二章:Samba服务全攻略 第三章:DHCP服务全攻略 第四章:DNS服务全攻略 第五章:FTP服务全攻略 第六章:NFS全攻略. 第七章:NIS服务全攻略 第八章:代理服务全攻略 第九章:Apache服务全攻略 第十章:电子邮件服务全攻略 第十一章:LDAP全攻略 第十二章:流媒体全攻略 第十三章:VPN全攻略 第十四章:NTP全攻略 第

《猎豹网校:快速掌握Python系统管理-53讲》

《猎豹网校:快速掌握Python系统管理-53讲》

播放截图: 课程目录 01.第01章 Python简介.mp4 02.第02章 IPython基础.mp4 03.第02章 IPython_UnixShell.mp4 04.第02章 IPyton_信息搜索.mp4 05.第02章 IPython_自动和快捷方式.mp4 06.第03章 文本_Python字符串及内建功能函数.mp47 07.第03章 文本_Unicode字符串和re.mp4 08

《黑客动画吧web入侵》

《黑客动画吧web入侵》

学习内容: 各种实用扫描工具的应用、针对系统,数据库的攻击程序、SQL、溢出、后门、提权等破实例的学习和应用。windows系统远程入侵方法和应用、日志的伪造与清除、win系统远程溢出攻击、服务器以及各种应用服务软件漏洞溢出以及数据库等溢出和反攻击,通过实例详细讲解黑客是怎么样进行入侵的从而提高自身安全水平,本站不定时发一些辅助教程,加强会员的知识面,丰富的学习资源,快速提高您的技术水平。为每一位

《韩老师-计算机网络原理》

《韩老师-计算机网络原理》

课程目标 掌握TCP/IP协议 重点讲解计算机通信的底层原理,从物理层、数据链路层、网络层、传输层到应用层,逐层讲解。本课程配套图书韩老师编写的《计算机网络原理创新教程》。 适用人群 可以学习本课程,作为IT从业者的选修课程。 课程简介 韩立刚老师门徒级课程套餐(Windows Server+网络安全+数据库)正式上线,与韩老师一起闯关IT世界吧 那些计算机专业的学生,在还没有弄明白网络是怎么回事

《Elastic Stack深入浅出视频》

《Elastic Stack深入浅出视频》

日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的s

《Linux应用系统开发及系统调试》

《Linux应用系统开发及系统调试》

教程名称: Linux应用系统开发及系统调试-麦可网张凌华 教程简介: Linux应用系统开发及系统调试视频教程共75讲,主要讲解了GNU开发环境基础、Linux高级程序、Linux进程管理、进程间通信、线程、网络编程、HTTP原理、Socket内核跟踪等内容。 目录如下: 001 - GNU开发环境基础1 002 - GNU开发环境基础2 003 - GNU开发环境基础3 004 - GNU开发

《尚观Shell视频教程》

《尚观Shell视频教程》

教程名称: 尚观Shell视频教程 教程目录: 获取方法: 百度云盘下载 获取密码:关注下方公众号,发送“24862”

互联网最新资讯 + 更多

1
互联网企业安全运维实践

互联网企业安全运维实践

安全领域众多,分享这个议题,是因为在之前的工作过程中我们发现像大家非常关心的机密数据泄露 、资产盗窃、数据篡改、服务中断,以及物理逻辑的破坏行为通常都发生在运维安全环节,需要通过安全运维确保整个系统在一定的安全级别中运行。 一、安全建设思考 当企业开始着手考虑安全建设时,要考虑的因素有很多,其中包括管理层的期望、业务部门的安全诉求、组织环境、企业治理模式等。综合了解这些信息后,需要评估这个时候安全

4
双十一买了吗?来看物联网是如何助力快递物流的

双十一买了吗?来看物联网是如何助力快递物流的

一年一度的双十一狂欢节,相信很多人都开启了买买买模式。与往年“双十一”后大秀“望眼欲穿”不同,如今“剁手节”后首日,居然就已有不少人开始在朋友圈里,高调展示拥抱“双十一”宝贝的甜蜜,感叹“幸福来得太快!”小编我查了下物流,快递竟然在派送中!!! 11月12日零点刚过,2019天猫双11全球狂欢节全天成交额出炉。2019天猫双11全天成交额为2684亿元人民币 ,超过去年的2135亿元人民币,再次创

13
互联网浪潮之下,聊聊 90 后所面临的困境

互联网浪潮之下,聊聊 90 后所面临的困境

作为一名 90 后,从曾经被认为玩世不恭的一代,到现在自称佛系养生的一代,这十年间经历了什么? 如今大家很少在说 90 后这个词,因为 00 后成为了互联网的话题焦点,因为他们已经开始成年,开始步入社会。 90 后接过了 80 后的接力棒,来到了这个社会的主战场上,他们是这个时代的新生力量,即将成为八零后的接班人,成为职场里的主力军。 我经常在想,我们这些 90 后在成长过程中背负了多少压力,承受

44
FIT大会全面升级!CIS 2019网络安全创新大会11月27日上海开幕

FIT大会全面升级!CIS 2019网络安全创新大会11月27日上海开幕

网络安全从未像今天这样被重视,安全法规落地、安全技术进化、安全产品创新、安全意识普及……一个崭新的产业纪元已经到来!#CIS 2019#用创新开启虫洞,连接过去与未来,漫游在网络空间安全的无限可能中。 2019年11月27日~28日,以“新纪漫游”为主题的CIS 2019网络安全创新大会将在上海宝华万豪酒店举办。本次大会由国内领先的网络安全新媒体FreeBuf、赛博研究院、上海市信息安全行业协会联

9
3CTF线上赛落幕 百强出炉

3CTF线上赛落幕 百强出炉

11月2日,由360集团主办、西安电子科技大学协办、陕西省网信办为指导单位的首届3CTF复赛开启,经过9小时激烈角逐,最终排名前一百位的选手进入决赛,将于11月30日集结线下一较高下。 线上复赛共12道CTF题目,类型涉及Web安全、数据包分析、取证分析、隐写、加解密编码、逆向、PWN、移动APP等类型方向。赛中,500强选手多次上演绝杀翻盘、拉锯领先。 11月5日,评审组对参赛队员24小时内提交

FIT大会全面升级!CIS 2019网络安全创新大会11月27日上海开幕

FIT大会全面升级!CIS 2019网络安全创新大会11月27日上海开幕

2019-11-10 铁匠

网络安全从未像今天这样被重视,安全法规落地、安全技术进化、安全产品创新、安全意识普及……一个崭新的产业纪元已经到来!#CIS 2019#用创新开启虫洞,连接过去与未来,漫游在网络空间安全的无限可能中。 2019年11月27日~28日,以“新纪漫游”为主题的CIS 2019网络安全创新大会将在上海宝华万豪酒店举办。本次大会由国内领先的网络安全新媒体FreeBuf、赛博研究院、上海市信息安全行业协会联

合作伙伴

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享