-
云原生在網(wǎng)絡安全領域的應用
一、概述 企鵝今天想分享云原生應用安全防護系列,本文筆者主要針對微服務架構(gòu)下的應用安全、Serverless安全提出一些防護見解及思考。文章篇幅較長,內(nèi)容上與之前筆者發(fā)表的若干文章有相互交叉對應的部分,希望能為各位讀者帶來幫助 二、微服務架構(gòu)模式 數(shù)字時代的微服務安全 微服務架構(gòu)已經(jīng)成為構(gòu)建現(xiàn)代應用程序的默認方式。要從微服務中獲得最大的收益,需要清楚地了解微服務安全及其架構(gòu)設計。微服務安全的設計應是預設安全,需要站在微服務架構(gòu)角度進行安全治理,結(jié)合數(shù)字化時代及業(yè)務特性,保證業(yè)務價值實現(xiàn)。 這里C…
-
一堆黑客工具集合分享!
文章來源:?重生信息安全,侵刪 Android安全測試更多地被安全行業(yè)用來測試Android應用程序中的漏洞。下面將列舉全面的Android滲透測試工具和資源列表,其涵蓋了在Android移動設備中執(zhí)行滲透測試各方面操作。 一、在線分析工具 1.AndroTotal 2.Tracedroid 3.Visual Threat 4.Mobile Malware Sandbox 5.Appknox?-?收費 6.IBM Security AppScan Mobile Analyzer?-?收費 7.N…
-
一文搞懂│XSS攻擊、SQL注入、CSRF攻擊、DDOS攻擊、DNS劫持
???XSS?攻擊 全稱跨站腳本攻擊?Cross Site Scripting 為了與重疊樣式表?CSS?進行區(qū)分,所以換了另一個縮寫名稱?XSS XSS攻擊者通過篡改網(wǎng)頁,注入惡意的?HTML?腳本,一般是?javascript,在用戶瀏覽網(wǎng)頁時,控制用戶瀏覽器進行惡意操作的一種攻擊方式 XSS?攻擊經(jīng)常使用在論壇,博客等應用中。攻擊者可以偷取用戶Cookie、密碼等重要數(shù)據(jù),進而偽造交易、盜取用戶財產(chǎn)、竊取情報等私密信息 就像上圖,如果用戶在評論框中輸入的并不是正常的文本,而是一段?javas…
-
文件包含漏洞解析
??一、理論 ??1.什么是文件包含漏洞? 通過PHP函數(shù)引入文件時,傳入的文件名沒有經(jīng)過合理的驗證,從而操作了預想之外的文件,就可能導致意外的文件泄漏甚至惡意代碼注入。 ??2.文件包含漏洞原因 為了代碼更靈活,通常會把被包含的文件設置為變量?,進行動態(tài)調(diào)用?,從而導致客戶端可以調(diào)用任意文件?,造成文件包含漏洞。動態(tài)包含的文件路徑參數(shù),客戶端可控?。web應用對用戶的輸入沒有進行過濾或者嚴格過濾就帶入文件包含函數(shù)中執(zhí)行 ??3.文件包含函數(shù) 其它用于包含的函數(shù):highlightfile()、 sho…
-
8 款流行無線黑客工具,非常實用 !
1、Aircrack Aircrack是最受歡迎的無線密碼破解工具之一,可用于802.11a / b / g WEP和WPA破解。Aircrack使用的算法是通過捕獲數(shù)據(jù)包來恢復無線密碼。收集到足夠的數(shù)據(jù)包后,它會嘗試恢復密碼。為了使攻擊更快,它通過一些優(yōu)化實現(xiàn)標準的FMS攻擊。 該工具背后的公司還提供一個在線教程,您可以在其中學習如何安裝和使用此工具來破解無線密碼。它來自Linux發(fā)行版,并提供Live CD和VMWare鏡像選項。您可以使用其中任何一種。它支持大多數(shù)無線適配器,基本都保證可以…
-
網(wǎng)絡安全人員需要考的幾本證書!
很多人對于網(wǎng)絡安全從業(yè)人員可以考哪些證書還是存在很多疑問,今天為大家整理了一下,目前關(guān)于網(wǎng)絡安全認證證書大致可以分為如下幾類: 1. CISP(國家注冊信息安全專業(yè)人員) 說到CISP,相信很多安全從業(yè)者都有聽說過,它也算是國內(nèi)權(quán)威認證,畢竟有政府背景給認證做背書,如果想在政府、國企和重點行業(yè)從業(yè),企業(yè)獲取信息安全服務資質(zhì),參與網(wǎng)絡安全項目,這個認證都是非常重要的。 CISP是中國信息安全測評中心依據(jù)中編辦批準開展“信息安全人員培訓認證”的職能開展的信息安全專業(yè)人員資質(zhì)認定。經(jīng)過十余年的培訓,我…
-
SSRF漏洞原理攻擊與防御(超詳細總結(jié))
提示:以下是本篇文章正文內(nèi)容,下面案例可供參考 一、SSRF是什么? SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務端發(fā)起請求的一個安全漏洞。 一般情況下,SSRF攻擊的目標是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。(正是因為它是由服務端發(fā)起的,所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng)) 二、SSRF漏洞原理 SSRF 形成的原因大都是由于服務端提供了從其他服務器應用獲取數(shù)據(jù)的功能且沒有對目標地址做過濾與限制。 比如,黑客操作服務端從指…
-
紅隊最常用的三大工具
有人說,歷史就像任人打扮的小姑娘,每次表演都唱同樣的歌。網(wǎng)絡安全也不能免俗,紅隊工具似乎總是能逃避檢測,給藍隊制造麻煩。造成這種局面原因有很多,但有一點是決定性的,那就是:紅隊只需要做對一次,而藍隊每次都需要做對。 藍隊通常很難檢測到紅隊的工具,這迫使藍隊需要與威脅狩獵團隊坐下來共同研究如何查找和檢測紅隊最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。 以下,我們逐一介紹紅隊最常用的三大工具: 紅隊工具一:Co…
-
網(wǎng)絡排查工具
常用的 ping,tracert,nslookup 一般用來判斷主機的網(wǎng)絡連通性,其實 Linux 下有一個更好用的網(wǎng)絡聯(lián)通性判斷工具,它可以結(jié)合ping nslookup tracert 來判斷網(wǎng)絡的相關(guān)特性,這個命令就是 mtr。mtr 全稱 my traceroute,是一個把 ping 和 traceroute 合并到一個程序的網(wǎng)絡診斷工具。 traceroute默認使用UDP數(shù)據(jù)包探測,而mtr默認使用ICMP報文探測,ICMP在某些路由節(jié)點的優(yōu)先級要比其他數(shù)據(jù)包低,所以測試得到的數(shù)據(jù)…
-
網(wǎng)絡安全專家最愛用的 9 大工具
網(wǎng)絡安全專家,不是你認為的那種搞破壞的“黑客”。網(wǎng)絡安全專家,即 “ethical hackers”,是一群專門模擬網(wǎng)絡安全專家攻擊,幫助客戶了解自己網(wǎng)絡的弱點,并為客戶提出改進建議的網(wǎng)絡安全專家。 網(wǎng)絡安全專家在工作中,通常會使用哪些工具和軟件?今天我們來看看 10 個網(wǎng)絡安全專家最常用的軟件工具分別是哪些。 1. Nmap (Network Mapper) 網(wǎng)絡映射器 Nmap 用于端口掃描,網(wǎng)絡安全專家攻擊的階段之一,是有史以來最好的網(wǎng)絡安全專家工具。它主要是一個命令行工具,后來被開發(fā)基于…
