置顶推荐
【资料中心】名师录制视频技术干货下载
《Linux基础入门视频新手必学-10GB》 《赵小明Linux教程RHCE–进阶篇》 《兄弟连2015年新版Linux基础视频》 《跟老男孩学Linux运维:Shell编程实战.高清》 《烨子女神手把手教你学Linux系统》 《兄弟连Shell编程基础学习》 《尚观Shell视频教程》 《Linux应用系统开发及系统调试》 《Elastic Stack深入浅出视频》 《韩老师-计算机网络原理》
【技术干货】Docker精华学习资料集锦,老司机快上车
初始Docker 大白话Docker入门(一) 大白话Docker入门(二) Docker学习路线 Docker学习路线图 (持续更新中) Docker基础之一: Docker架构 Docker基础之二: Linux快速入门
【管理干货】技术管理人员的实战讲义
01、多年前的那些工程师都去哪了? 02、我要不要做管理呢?内心好纠结! 03、哪些人比较容易走上管理岗位? 04、我要不要转回去做技术呢? 05、作为技术管理者,我如何保持技术判断力? 06、我这样的风格能做管理吗? 07、我能做好管理吗,大家服我吗? 08、管理到底都做哪些事儿? 09、从工程师到管理者,角色都发生了哪些变化? 10、新经理常踩的坑儿有哪些? 11、我刚开始带团队,从哪里着手呢
【乌云知识】WooYun文章镜像全库
001、智能设备Wi-Fi快速配置类协议安全 002、做个试验:简单的缓冲区溢出 003、最新Webqq密码的加密方式分析过程 004、自制分布式漏洞扫描 005、自动生成正则表达式 006、转储活动目录数据库凭证的方法总结 007、中间人攻击 — Cookie喷发 008、网络小黑揭秘系列之黑产江湖黑吃黑—中国菜刀的隐形把手 009、中国菜刀仿冒官网三百万箱子爆菊记 010、智能设备逆向工程之外
网络安全工程师 + 更多
十年回顾:2010年以来重大网络安全事件盘点
二十一世纪的第二个十年即将过去,在过去十年里有哪些重要网络安全事件发生,小编带大家一起来回顾一下。 我们见证了过去十年,大量的数据泄露、黑客攻击、民族国家之间的间谍行动、几乎不间断的金钱利益网络犯罪以及让系统崩溃的恶意软件,这些安全事件不绝于耳。下文按时间顺序列举了2010年以来的重大网络安全事件。以史为镜可以知兴替,我们不必沉溺于过去重大的数据泄露事件或者黑客行动,而是更应该专注他们的技术,从这
数字证书及其在安全测试中的应用
0x00 背景 做Web层面的安全测试,免不了要做中间人代理来截包分析。常用的工具有BurpSuit,Fiddler,Charles等等。关于这些工具的用法网上已经有很多介绍,这里就不赘述了。然而在测试一些安全性高的站点时,往往会遇到SSL通信的问题。这里对这些数字证书的问题进行一个小结,欢迎拍砖交流。 0x01 数字证书 数字证书主要在互联网上的用于身份验证的用途。 安全站点在获得CA(Cert
小谈移动APP安全
0x00 背景 随着移动互联的扩张,移动APP承载了更多企业的终端梦。“用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。” 种子是种下了,可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载安装一款知名APP,深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景! 通过这近一个月来的观察和实验,斗胆在这里简单介绍一下手机移动A
拆分密码
0x00 研究范围 在WEB渗透中可能使用某个关键字为密码核心的密码(Mail,Vpn,后台登陆等) 0x01 实际数据分析 Gmail 500W明文密码 个人以往渗透实例 美国姓名top2000 在以往的渗透过中发现绝大多数企业的web服务是不允许注册,都是由某个人或系统分配的,而在这之中又有大部分的分配是人为分配,这就引出了我今天研究的主题《拆分密码》。 人们在分配密码的时候是无法做到计算机那
利用HTTP host头攻击的技术
0x00 背景 一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER["HTTP_HOST"] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如: 还有的地方还包含有secret key和token, 这样处
祸起萧墙:由播放器引爆的全国性大规模挂马分析
0x00 事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过
高效的安全,对企业践行DevSecOps的5条建议
近年来,在DevOps模型的指导下,将开发和运维团队结合在一起的公司在以更快的速度发布代码方面取得了普遍的成功。但这一趋势加剧了将安全集成到流程中的必要性,因为发布代码越快,漏洞也就越容易产生。而越来越多的企业和组织已经认识到,信息安全是企业存续发展的基石之一,因此希望将安全融合在DevOps之中,也就是我们所说的DevSecOps。 简单来说,若想要将安全集成到DevOps之中,需要采用工具和方
做到这5点,安全开发让你的应用不再漏洞百出
如今,安全威胁的破坏力正以前所未有的速度随着信息化程度的加深而增长,扩大构建数字化业务通常会导致更大的受攻击面。要应对当前和未来的安全威胁,只依靠传统的安全产品投入已显得力不从心,除了购买安全产品,更重要的是安全意识的增强和安全流程的建设。在各种安全建设方案中,“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒,缺少安全开发过程的应
系统运维工程师 + 更多
面试问Kafka,这一篇全搞定
应大部分的小伙伴的要求,今天这篇咱们用大白话带你认识 Kafka。 图片来自 Pexels Kafka 基础 消息系统的作用 大部分小伙伴应该都清楚,这里用机油装箱举个例子: 所以消息系统就是如上图我们所说的仓库,能在中间过程作为缓存,并且实现解耦合的作用。 引入一个场景,我们知道中国移动,中国联通,中国电信的日志处理,是交给外包去做大数据分析的,假设现在它们的日志都交给了你做的系统去做用户画像分
Linux下软件包管理
Linux必备命令行操作:vi|vim编辑器的配置 Linux企业软件管理及配置(为什么需要部署软件或者服务) Linux系统本身,学会了系统安装、学会了基础的命令行操作; 学会了网卡、IP的配置方法,远程工具远程服务器; 学习软件安装,软件为王,学习Linux系统中的软件或者服务; 软件可以实现各种功能,满足企业的各种需求; Linux系统软件的安装、卸载、配置、维护以及如何构建企业本地YUM光
SDLC开发过程:基于DevSecOps理念的解决方案
2019年年初,拼多多APP出现重大BUG,用户可以在没有任何限制的情况下无限领取100元无门槛优惠券。据不完全统计,一晚上的时间直接造成拼多多损失的优惠券面额达200多亿。根据拼多多官方报道,此次事件是黑灰产团伙通过一个过期优惠券的漏洞,盗取了平台优惠券数千万元。 2018年年底,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,该团伙成员发现并利用某银行APP软件中的质押贷款业务安全漏洞
flannel 的连通与隔离 – 每天5分钟玩转 Docker 容器技术(61)
上一节我们在 flannel 网络中部署了容器,本节讨论 flannel 的连通和隔离特性。 flannel 网络连通性 测试 bbox1 和 bbxo2 的连通性: bbox1 能够 ping 到位于不同 subnet 的 bbox2,通过 traceroute 分析一下 bbox1 到 bbox2 的路径。 bbox1 与 bbox2 不是一个 subnet,数据包发送给默认网关 10.2.4
在 Docker 中使用 flannel – 每天5分钟玩转 Docker 容器技术(60)
上一节我们安装和配置了 flannel,本节在 Docker 中使用 flannel。 配置 Docker 连接 flannel 编辑 host1 的 Docker 配置文件 /etc/systemd/system/docker.service,设置 --bip 和 --mtu。 这两个参数的值必须与 /run/flannel/subnet.env 中 FLANNEL_SUBNET 和FLANNE
安装配置 flannel每天5分钟玩转Docker容器技术(59)
上一节我们部署了 etcd,本节安装和配置 flannel。 build flannel flannel 没有现成的执行文件可用,必须自己 build,最可靠的方法是在 Docker 容器中 build。不过用于做 build 的 docker 镜像托管在 gcr.io,国内可能无法直接访问,为方便大家,我把它 mirror 到了 docker hub,构建步骤如下: 下载并重命名 image。
数据存储管理员 + 更多
**题目**:什么是MongoDB #### **参考答案**: MongoDB是一个文档数据库,提供好的性能,领先的非关系型数据库。采用BSON存储文档数据。2007年10月,MongoDB由10gen团队所发展。2009年2月首度推出。获得安装包和查看详细的API可以访问官网网址www.mongodb.com
终于明白为什么要“分库分表”了!
随着互联网产业的蓬勃发展,在互联网应用上产生的数据也是与日俱增。产生大量的交易记录和行为记录,它们的存放和分析是我们需要面对的问题。 图片来自 Pexels 例如:单表中出现了,动辄百万甚至千万级别的数据。“分表分库”就成为解决上述问题的有效工具。今天和大家一起看看,如何进行分表分库以及期间遇到的问题吧。 为什么会分表分库 数据库数据会随着业务的发展而不断增多,因此数据操作,如增删改查的开销也会越
Oracle安全配置
0x01 测试环境 操作系统:window server 2008 x64 oracle:oracle 11.2.0.1.0 0x02 oracle权限介绍 oracle一个实例就是一个数据库,创建一个新的数据库会产生一个新的实例,并且一个实例独立运行一个进程。 一个用户对应一个方案,当用户新建一个数据对象(比如表)之后会在此方案下面。自己访问可以直接访问,其他用户访问需通过“方案名.对象名”的方
MongoDB将弃用Perl驱动,Perl还能行吗?
由于使用者过少,MongoDB 宣布弃用 Perl 驱动。 MongoDB 高级产品经理 Scott L'Hommedieu 表示,在过去几年中,团队调查了用户群体,并与使用 Perl 驱动的公司进行交流,得到的反馈是,用户对于通过 Perl 驱动支持 MongoDB 新功能的要求极少。另一边,MongoDB 社区自 2018 年以来,没有用户询问过 Perl 驱动相关的问题。 这就意味着,现在只
dba安全测试必备:SQL SERVER数据库手工延时盲注语句
假设存在一个PHP+SQL SERVER的环境,存在POST注入,只能进行延时盲注,存在防火墙,Sqlmap能够绕过,但不能注入,手工注入语句如下: 0x1:判断是否存在注入: [sourcecode language="plain"] #inject为注入点,--OwlXXpFshm%0A绕过WAF,替换空格为注释+回车 #如果存在注入,返回的数据包将延时5秒以上 inject';WAITFOR
项目开发工程师 + 更多
一份不可多得的数据科学与机器学习Python库
图片来自 Pexels 根据当前技术界的广泛需求,本文将以如下顺序重点介绍,市场上适合于数据科学和机器学习实现的优秀 Python 软件: 数据科学与机器学习的介绍 为什么要使用 Python 进行数据科学和机器学习? 用于数据科学和机器学习的 Python 库 数据科学与机器学习的介绍 众所周知,我们正处在一个大数据的时代,数据是驱动机器模型发展的“燃料”。 实际上,数据科学和机器学习都属于技能
理解php对象注入
0x00 背景 原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识。 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看一眼这个列表,一些被审计狗挖到过该漏洞的系统,你可以发
微软工程师建议换掉 Chromium 代码库中的单词:黑名单和白名单
去年有两个知名开源项目 —— Redis 和 Python 均因为其代码库包含 master 和 slave 这些被认为具有冒犯性的单词而被要求修改名称。即便这种请求看起来是如此的无理取闹,但开发者最终还是向“政治正确”(局部)妥协了。 最近类似的案例又再次上演,双方主角还是科技巨头公司 —— 微软和 Google。我们都知道微软已经选择 Chromium 作为 Microsoft Edge 的内
技术下载公开区 + 更多
《RHEL5企业级Linux服务全攻略》
课程大纲: 第一章:常规网络管理、配置及系统服务全攻略 第二章:Samba服务全攻略 第三章:DHCP服务全攻略 第四章:DNS服务全攻略 第五章:FTP服务全攻略 第六章:NFS全攻略. 第七章:NIS服务全攻略 第八章:代理服务全攻略 第九章:Apache服务全攻略 第十章:电子邮件服务全攻略 第十一章:LDAP全攻略 第十二章:流媒体全攻略 第十三章:VPN全攻略 第十四章:NTP全攻略 第
《猎豹网校:快速掌握Python系统管理-53讲》
播放截图: 课程目录 01.第01章 Python简介.mp4 02.第02章 IPython基础.mp4 03.第02章 IPython_UnixShell.mp4 04.第02章 IPyton_信息搜索.mp4 05.第02章 IPython_自动和快捷方式.mp4 06.第03章 文本_Python字符串及内建功能函数.mp47 07.第03章 文本_Unicode字符串和re.mp4 08
《黑客动画吧web入侵》
学习内容: 各种实用扫描工具的应用、针对系统,数据库的攻击程序、SQL、溢出、后门、提权等破实例的学习和应用。windows系统远程入侵方法和应用、日志的伪造与清除、win系统远程溢出攻击、服务器以及各种应用服务软件漏洞溢出以及数据库等溢出和反攻击,通过实例详细讲解黑客是怎么样进行入侵的从而提高自身安全水平,本站不定时发一些辅助教程,加强会员的知识面,丰富的学习资源,快速提高您的技术水平。为每一位
《韩老师-计算机网络原理-156讲》
课程目标 掌握TCP/IP协议 重点讲解计算机通信的底层原理,从物理层、数据链路层、网络层、传输层到应用层,逐层讲解。本课程配套图书韩老师编写的《计算机网络原理创新教程》。 适用人群 可以学习本课程,作为IT从业者的选修课程。 课程简介 韩立刚老师门徒级课程套餐(Windows Server+网络安全+数据库)正式上线,与韩老师一起闯关IT世界吧 那些计算机专业的学生,在还没有弄明白网络是怎么回事
《老男孩Mysql DBA高级运维系列课程》
课程名称 老男孩Mysql DBA高级运维系列课程(15部)37.33GB 目录: 获取方法: 百度云盘下载 获取密码:关注下方公众号,发送“24939”
《Elastic Stack深入浅出视频》
日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的s
《Linux应用系统开发及系统调试》
教程名称: Linux应用系统开发及系统调试-麦可网张凌华 教程简介: Linux应用系统开发及系统调试视频教程共75讲,主要讲解了GNU开发环境基础、Linux高级程序、Linux进程管理、进程间通信、线程、网络编程、HTTP原理、Socket内核跟踪等内容。 目录如下: 001 - GNU开发环境基础1 002 - GNU开发环境基础2 003 - GNU开发环境基础3 004 - GNU开发
《尚观Shell视频教程》
互联网最新资讯 + 更多
对!嫁人就嫁程序员!
单身许多岁月,早已看破世事。是游戏不好玩,还是剧不好看,居然要嫁人,还要嫁个程序员? 因为程序员能满足女生对理想型的所有幻想! 首先,程序员是个老实人 他们的恋爱经历***! 他们的一段感情就是一生! 他们好的东西都想着你! 他们甚至把全部身家上交给你! 就连吵架他们绝对吵不过你! 他们专心于你绝不客气! 同时,程序员是个社会人 他们独有的浪漫绝不缺席! 他们坚守本心没歪脑筋! 虽然,他们有时大脑
ACSS2020:在新法规时代保护互联汽车
汽车行业的数字化转型面临着新的网络安全威胁。即将于2020年2月26日-27日上海召开的“第五届中国汽车网络信息安全峰会ACSS2020”旨在帮助OEM了解在新法规时代可以采取哪些措施来保护其汽车和客户免受黑客攻击。 从信息娱乐连接到空中(OTA)软件更新的数字创新的涌入正将汽车变成信息交换所。这些变化在为客户带来巨大价值的同时,也使汽车暴露于数字革命的另一面。黑客和其他黑帽入侵者正试图访问关键的
完美落幕,EISS 2019企业信息安全峰会之上海站 11月22日成功举办!
2019年11月22日,由安全+ 主办的“EISS-2019企业信息安全峰会之上海站”在上海银星皇冠假日酒店成功举办。此次大会是安全+ 在上海连续举办的第四次EISS峰会,也是EISS系列峰会的第七届,峰会以”直面信息安全挑战,创造最佳实践案例“为主题,吸引近400位来自于各行业的企业信息安全负责人、安全专家出席。大会通过对下一代云安全架构和技术的趋势、企业安全建设之路、应用安全在DevSecOp
阿里白帽大会预告&直通卡活动
2020年1月10日 杭州西溪宾馆 ASRC王牌A白帽 ASRC国际精英白帽 先知核心白帽 齐聚一堂 一场邀请制 独属于阿里巴巴国内外精英白帽的聚会 将会在这里盛大开启 部分干货议题 王昱(猪猪侠) 阿里云资深安全专家,乌云核心白帽子,长期从事自动化安全测试、攻防对抗工作,擅长渗透测试与数据挖掘。 猪猪侠将会通过解剖关键基础设施演习的攻与防,从实战角度介绍阿里云常态化“红蓝对抗”攻防体系的设计由来
牢记网络强国使命,磨砺网络安全实力
——2019大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛在东华大学成功举办 网络空间是国家主权的新疆域,为认真学习贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,发挥网络安全防护对信息化发展的保障作用,宣传普及网络安全知识,提高大学生网络安全防护意识和技能, 11月16日,由上海市教育委员会主办、东华大学承办的2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全
欧洲RIPE NCC宣布已散尽全球最后一批IPv4地址
经历了多年的宣传,全球 IPv4 地址耗尽的这一天,最终还是到来了。其实早在上世纪 80 年代,研究人员就已经预见到了这样的未来,且在 2012 年迎来了顶级 IPv4 地址的耗尽。那时候,所有 IPv4 地址已经分配给了五个区域的互联网注册机构。而今天,区域性的 IPv4 地址库存也已经耗尽了。 (题图 via MSPU) 今天,所有 43 亿个 IPv4 地址都已耗尽,意味着没有更多的 IPv
