body{font-size:15px;color:rgba(51,51,51,1);background:rgba(255,255,255,1);font-family:Helvetica,Arial,"PingFangSC","MicrosoftYaHei","WenQuanYiMicroHei","tohoma,sans-serif";margin:0;padding:10%} h1{font-size:2.2em;font-weight:700;line-height:1.1;padding-top:16px;margin-bottom:4px} h2,h3,h4,h5,h6{line...

随着数字化支付的普及和发展，用户资金和个人隐私的安全性成为了一个重要的关注点。在这篇文章中，我们将探讨数字化支付所面临的挑战，并提供一些技术解决方案来保护用户资金和个人隐私。 1.引言 随着移动支付、电子钱包和虚拟货币等数字化支付方式的兴起，用户越来越多地将资金存放在数字化平台上。然而，与传统的现金支付相比，数字化支付面临着一些独特的安全挑战。本文将讨论这些挑战，并提供相应的解决方案。 2.数字化支付的安全挑战 2.1用户资金保护 用户资金保护是数字化支付安全的核心问题之一。黑客攻击、欺诈行为和技术故障可能导致用户资金受到损失。以下是一些常见的用户资金保护挑战： 网络攻击：黑客可能通过网络...

1.页面编码 在网页设置网页编码在<head></head>中加入设置特定html标签 <metacharset="utf-8"/>这样页面的编码就会变成utf-8 如果没有设置编码就会使用默认的编码，而浏览器默认编码与之不同就会出现乱码 常用的有三种格式分别是utf-8、gbk、gbk2312 2.ASCII编码 ASCII(AmericanStandardCodeforInformationInterchange)：美国信息交换标准代码是基于拉丁字母的一套电脑编码系统，主要用于显示现代英语和其他西欧语言。它是最通用的信息交换标准，并等同于国际标准ISO/...

    云祺容灾备份系统支持 主流虚拟化环境下的虚拟机备份 提供对云基础设施 云架构平台以及 应用系统的全方位数据保护     云祺容灾备份系统规范功能 增强决策能力 高效恢复数据至可用状态 有效降低恢复成本 更大限度减少业务中断时间 保障业务可访问性       开发商介绍 成都云祺科技有限公司是国内专业的云数据中心容灾备份解决方案提供商，致力于为企业用户提供高效的数据备份、恢复、迁移、容灾等整体解决方案。   ...

如何爆破js加密后的密码？ 1、首先burp中安装插件： https://github.com/whwlsfb/BurpCrypto  安装插件完毕后，分析进行js加密的算法。 2、分析加密过程： 找到相关的加密算法的代码，分析代码逻辑。可以从登录界面的网站源代码里搜encrypt或者crypt字段。 根据这段代码，最终passWord字段的值是经由encryptAES函数进行加密的，且secretKey的值=empCode，而empCode的值最初被赋值给userId，也就是用户名，那么假如userId的值为admin，那么empCode就为admin，secretKey的值也...

00、声明： 本文仅仅作为学习漏洞原理，为了更好的防范利用漏洞进行的攻击行为，请勿将文章内的相关技术用于非法目的，如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》 01、漏洞环境 攻击方和受害方双方均为windowsQQ9.7.13版本及以下 复现时间：2023.8.2114:30 02、复现过程 攻击方先建立个bat文件或者exe文件，我们这里实现弹出计算机的功能进行测试即可 然后进攻方将这个1.bat发送给自己或者小号群，然后回复 然后将这个回复的记录进行转发，当受害方点击这个回复记录的文件名称时，会自动下载并运行程序 然后被360拦了... 虽然是这个bat内容...

风控策略是由规则和模型组成的、用以实现风险控制目标的集合。模型与规则相辅相成，相互补充，在不同的业务阶段彼此的侧重点不同。新业务上线期，数据量不足，策略以规则为主；当业务运行一段时候后，数据有了一定积累，就可以构建专属模型，实现模型与规则的并驾齐驱。 风控策略包含的规则包含设备维度规则、行为数据规则、评分卡规则、黑白名单规则、社交通讯规则等，局部的、单一维度的规律；模型是流程的、整体的规律。 简单的风控策略需要自主开发编写，需要投入较多人力，随着不法攻击愈加频繁复杂，风控策略也需要快速迭代更新。 顶象Dinsight实时风控引擎提供了可视化界面，能够让业务人员快速上手，配置新的风控策略。输入用...

🔥系列专栏：Vulnhub靶机渗透系列🔥欢迎大佬：👍点赞⭐️收藏➕关注🔥首发时间：2023年8月22日🌴如有错误还望告知万分感谢 🌴基本信息： KIOPTRIX:LEVEL1.2(3)，vulnhub平台下简单难度靶机。本文并非复现writeup关键在于打靶思路，主要是从web层面入手。本文采用了比较常规的一种方法：通过SQL注入获取用户凭据，ssh登陆靶机进行sudo提权，文中手动注入和SQLmap自动化均有呈现，后续也尝试了框架漏洞的利用的尝试。这台靶机存在漏洞较多，需要根据自身经验做出筛选、权衡与比对，是对综合知识和技能的考察，攻击链很标准，获取shell的方法可以逐一尝...

解题过程 打开软件是加壳的，使用010打开，可以看到是魔改的upx,将关键词改成UPX，然后脱壳成功，使用IDA打开，可以看到是没有符号的，分析起来比较难顶，使用go_parser还原符号后打开main_main, 先运行一下查看有没有什么提示 有个wrong,字符串搜索定位过去，然后查看交叉引用， 可以看到在main里面对应这两个地方，应该是要走到下面的success才是正确的flag，然后从上面进行分析，有两个main_sub的函数，第一个 有个aes,直接猜是AES加密，第二个函数 这里很多3字节编码的操作，看起来像base64,后面引用了一个外部的字符串off_53D370，应...

一、背景 数据安全法实施后，国家监管部门加强了对企业数据安全的监管力度。在这个大的背景下，为保障物流体系系统安全，提前规避安全风险，由测试组牵头制定安全测试流程规范并持续推进安全测试常态化。 二、安全漏洞的类型及危害 1、常见安全漏洞类型 越权类漏洞、上传漏洞、XSS漏洞、CSRF漏洞、SQL注入漏洞、任意文件读取漏洞、反序列化漏洞、CORS漏洞、SSRF漏洞、URL调整漏洞等 2、安全漏洞危害 1.信息泄露 攻击者可以通过漏洞入侵企业的系统，窃取企业敏感信息，如客户信息、财务数据等。这些信息一旦泄露，将会对企业带来巨大的损失，同时也会损害客户的信任和企业品牌形象 2.系统瘫痪 攻击者通过漏洞...

“2022年，网络高危漏洞数量同比增长了13%；Q2遭受攻击的API数量月均超过了25万；物联网的普及大大降低了DDoS的攻击成本，大流量攻击指数显著提升；恶意Bot流量仍在持续增长，2022年上半年Bot流量约占整体互联网流量的60%，平均每月达到110亿+，而其中具备恶意攻击性的Bot流量占比则高达46%......” 据CNVD2022年的统计数据显示，近年来，Web安全威胁态势愈发严峻。除上述几项突出网络威胁，在线业务欺诈风险提高、多样化威胁层出不穷，也进一步加剧了网络安全风险。   事实上，随着数字化转型浪潮不断深入，越来越多企事业单位构建了云上业务系统，如电子政务、网络...

网上已经有成熟的工具了，所以就简单记录一下工具怎么用吧 https://github.com/TaQini/alpha3 https://github.com/veritas501/ae64.git https://github.com/rcx/shellcode_encoder 结合题目来看吧，没有开启NX保护，基本这类型题目九成九都是shellcode题 程序一开始会让我们在bss段上输入数据，并且判断输入的字符大小是否小于0x1F，再结合NX保护没开启的操作，很容易可以想到此时输入的就是shellcode，而每个字节的不能小于0x1F，那么使用ASCII码shellcode就可以完全绕...

unserialize3writeup php序列化 序列化是程序类型转化为字符串的过程 字符串的序列化 <?php $name="faraday"; $name_ser=serialize($name); print_r($name_ser); ?> 得到的输出是 s:7:"faraday"; 可以统一表达为正则的形式 '/s:[0-9]+:"[^"]+";/;' 整型的序列化 <?php $name=1; $name_ser=serialize($name); print_r($name_ser); ?> 得到的输出是 i:1; 用正则表达则是 '/i:[...

ssh端口转发 在一开始学习ssh端口转发的时候，总是被本地端口转发和远程端口转发的区别搞得头大，缠斗数日无果，沉思一番之后，决定逐个攻破，先揪住一个掰开揉碎，另一个再如法炮制，如此一来，迷惑可解矣。ssh一般会涉及到3个角色：两个端之间建立ssh连接，还有一个角色则是转发的目的地，为避免A、B、C这样一看便觉枯燥的指代名词，我们请出在东方大陆妇孺皆知的取经队伍 本地端口转发 某一日悟空又和三藏闹矛盾了，三藏赌气不理悟空了，这时悟空想要和三藏建立联系就需要八戒来当传声筒。现在利用三台虚拟机来具象化这个例子悟空：192.168.1.1（CentOS7.8）八戒：192.168.1.2（CentO...

目录 环境搭建 信息收集 PhpMyAdmin后台Getshell intooutfile Mysql日志文件写入shell CS后渗透 MSF后渗透 知识补充 nmap 参数分类 参数速查表 dirsearch 环境搭建 ip段设置 kali(coleak)：192.168.145.139 Windows7(stu1)：192.168.10.181、192.168.145.140 Winserver2008(owa)：192.168.10.180 Win2k3(root-tvi862ubeh)：192.168.10.182 kali可以访问win7，但不能直接...

本文分享自天翼云开发者社区《内容分发网络CDN概述》,作者:Jerry CDN（ContentDeliveryNetwork）是一种分布式网络架构，旨在提供高效、可靠地将内容传送给全球用户的服务。CDN的主要目标是通过将数据缓存到位于不同地理位置的多个服务器上，使用户能够从离他们更近的服务器获取内容，从而减少访问延迟、提高加载速度和改善网站的性能。在这篇文章中，我将详细介绍CDN的工作原理、使用CDN的好处，并举例说明它如何优化内容传递的过程。 一、CDN的工作原理 CDN的工作原理基于两个主要的技术：缓存和就近访问。 缓存：CDN将网站的静态内容（例如图片、CSS、JavaScript文件等...

🔥系列专栏：Vulnhub靶机渗透系列🔥欢迎大佬：👍点赞⭐️收藏➕关注🔥首发时间：2023年8月20日🌴如有错误还望告知万分感谢 目录 🌴基本信息： 🌴信息收集 主机发现、端口扫描、服务枚举、脚本漏扫（nmap） PORT111rpcbind PORT631ipp 目录扫描（dirsearch、gobuster） PORT80HTTPsqli（sqlmap）🔑 PORT80HTTPrce（commix）🔑 PORT22ssh登录 🌴shellasuser（msfvonom、msf）🔑 🌴二次收集 提权信息收集（LinEnum） 漏洞探针（linux-...

反调试技术 一.使用WindowsAPI函数 1.IsDebuggerPresent函数 2.CheckRemoteDebuggerPresent函数 3.OutputDebuggerPresent函数 二.手动检测数据结构 1.检测BeingDebugged属性 BeingDebugged属性位于PEB结构的第二个字节位置处 moveax,dwordptrfs:[30h];//fs:[30h]指向的是PEB的基地址 movebx,byteptr[eax+2];//指向对应的BeingDebugged属性 testebx,ebx; jz...; 2.检测系统痕迹 遍历当前运行进程，查看是否存...

🔥系列专栏：Vulnhub靶机渗透系列🔥欢迎大佬：👍点赞⭐️收藏➕关注🔥首发时间：2023年8月20日🌴如有错误还望告知万分感谢 目录 基本信息 信息收集 主机发现、端口扫描、服务枚举、脚本漏扫（nmap） PORT111rpcbind PORT139SMB（enum4linux、smbclient） PORT22SSH 目录扫描（dirsearch、gobuster） PORT80/443http/https 二次收集 SMB版本探测 shellasroot 1、（CVE-2003-0201）SambaRCE 2、（CVE-2003-0201）Sambatr...

情况概述 偶然获得了一台云服务器,并在上面使用Docker搭建了MySQL数据库,想着将平时做Demo用到的数据转过去,结果一直犯懒没弄.今天在登陆时发现数据库被黑了. 使用showdatabases命令后看到一个名为README_TO_RECOVER_A的库,库中有张表,表的内容为: Allyourdataisbackedup.Youmustpay0.01BTCtoxxxIn48hours,yourdatawillbepubliclydisclosedanddeleted.(moreinformation:gotoxxx) Afterpayingsendmailtous:xxx@xxxand...