代码编织梦想

基于业务驱动的企业安全架构(翻译,原作者john sherwood ;andrew clark; david lynas)— 第三章:安全架构模型 ---仅学习使用_lyh_helen的博客-爱代码爱编程

第 3 章:安全架构模型 本书提出的开发企业安全架构的方法基于六层模型。 该模型被用作架构开发过程的基础 — 一种方法论。 通过遵循与模型层一致的企业架构的开发,方法论变得不言自明。 后面的章节提供了有关这些不同方法中的步

【安全开发】python—基于正则表达式的爬虫_haoaaao的博客-爱代码爱编程

0x00 前置 1、搜索引擎 :百度、谷歌、企业内部知识库 2、互联网:公网(无需授权)、深网(需要授权)、暗网(非正式渠道,无法使用常规手段访问,友情提醒:没事别看) 3、规则:爬取互联网公开的信息,但正常情况也需要遵守robots协议(网络爬虫君子协议,网站通过robots协议告诉搜索引擎哪些页面可以抓,哪些不能抓,通常放在网站robots.tx

【安全开发】python—django框架快速搭建网站_haoaaao的博客-爱代码爱编程

🔥🔥django框架 0、前置 Django 简介 | 菜鸟教程Django 简介 基本介绍 Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。 使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务 Django 本身基于 MV

【安全脚本】模拟勒索病毒_haoaaao的博客-爱代码爱编程

0x00 前置 1、将电脑上的重要文件加密,将文件以二进制的方式进行加密处理,导致加密过后的文件,要打开必须要解密,要解密必须要解密程序。 2、传播:系统or程序漏洞、人为疏忽、后门或木马程序。 3、解决:交钱、破解、数据备份 0x01 python模拟原理 1、如何使用python对文件加密 所有文件都可以base64加密,base64是标准

一些知识汇总_haoaaao的博客-爱代码爱编程

0x00 应急响应 理论 1、概述 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。 2、阶段 a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复。 c.抑制阶段:

【代码审计】—java项目注入、上传、插件挖掘_haoaaao的博客-爱代码爱编程

【小迪安全】Day55代码审计-JAVA项目注入上传插件挖掘 - 哔哩哔哩点击进入查看全文https://www.bilibili.com/read/cv15363929?spm_id_from=333.999.0.0 0x00 前置知识 1、安装tomcat (1)什么是tomcat         Tomcat 服务器是一个免费的开放源

【代码审计】——php项目类rce及文件包含下载删除_haoaaao的博客-爱代码爱编程

【小迪安全】Day52代码审计-PHP项目类RCE及文件包含下载删除 - 哔哩哔哩点击进入查看全文>https://www.bilibili.com/read/cv15169189?spm_id_from=333.999.0.0 0x00 知识点 1、漏洞关键字 #SQL 注入: ---select insert update mysql_q

内网渗透——提权_haoaaao的博客-爱代码爱编程

0x00 本地提权 ❤️1、简介  ❤️2、不同系统默认账号 windows:user、Administrator、 System linux:User、Root ❤️3、windows提权 1)administrator提权为system (1)🌟命令行下查看信息: 修改密码命令 :net user 用户名 * 查看当前系统已经存在

信息收集常用工具及命令_haoaaao的博客-爱代码爱编程

0x00、子域名收集 一、oneforall 运行平台:kali 安装:OneForAll子域名工具尝鲜_努力的学渣'#的博客-CSDN博客_oneforall 查询命令: python3.9 oneforall.py --target 网站域名 run 二、fofa 运行:网页 网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全

burp suite下载与安装详解_什么鬼(・◇・)?的博客-爱代码爱编程

下载Burp Suite ● 官方文档地址:https://portswigger.net/burp/documentation/contents ● 官方下载地址:https://portswigger.net/burp/releases ● 选择要下载的版本及安装包,JAR包也要下载,以Windows为例。 ● 下载后直接对应用程序安装即可,无需任何

文件包含漏洞&PHP伪协议小结-爱代码爱编程

0x1文件包含漏洞 简介 在开发过程中,一些多个文件都会用到的代码通常会独立出来,用到时再包含进来,如C语言中的"#include <stdio.h>"。当把包含的文件写在程序中时该漏洞是不存在的,而如果是通过包含方式引入时则可能会产生文件包含漏洞。 文件包含漏洞产生于服务端脚本的函数在包含文件时对传入的文件名没有经过严格的检查,从而导致

Webpack前端源码泄露漏洞-爱代码爱编程

什么是Webpack? webpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。 Webpack使用不当能造成什么样的危害? 如果可以获得程序的js代码,那么就可以针对源代码对代码中各种信息如隐

网安学习——python开发-爱代码爱编程

一、前期信息收集 案例1:ip&whois&系统指纹获取代码段——外网 1、域名反查ip         不知道的函数上网搜一下就好 import socket #域名反查ip ip=socket.gethostbyname('域名') print(ip)          //查ip也可以用命令(win、linux通用):n

对Java反序列化数据绕WAF新姿势的补充-爱代码爱编程

文章目录 对Java反序列化脏数据绕WAF新姿势的补充写在前面引言为什么这里第一个属性反序列化失败,仍然触发了URLDNS的整个过程灵感大发 对Java反序列化脏数据绕WAF新姿势的补充 @Y4tacker 写在前面 这篇文章其实很久前也更新到我博客了还是懒,还是搬过来吧,这里再发一次:https://y4tacker.github

安全学习——数据包、搭建、web源码、系统及数据库-爱代码爱编程

2.基础入门——数据包拓展 · 语雀数据包拓展网站解析对应简要网站搭建过程:教学地址涉及到...https://www.yuque.com/samxara/swro13/tdz6d3 一、数据包拓展 1、 2、练习:         靶场:来源页伪造_网络安全_在线靶场_墨者学院_专注于网络安全人才培养           靶场显

文件上传漏洞小结-爱代码爱编程

提示:结合《upload-labs通关记录》阅读效果更佳! 简介 文件上传,就是客户端将文件上传到服务端,然后服务端将其保存,比如我们给账户上传个头像就属于文件上传,其标志就是有一个上传入口。 文件上传功能如果做得不完善的话是很危险的,攻击者可以利用其中的漏洞上传攻击文件对网站进行攻击。 常见漏洞 1、对上传的文件不做检查.。.....这种吧

kali——信息收集-爱代码爱编程

0x00 被动信息收集 1、关键:被动信息收集阶段注意不被目标系统发现                   2、nslookup                  server:当前使用的域名服务器地址         nslookup只查a记录 set type=a                  查mx(邮件交换记录)     

kali总结——基本工具-爱代码爱编程

一、netcat 1、 功能: 监听模式/传输模式、telnet/获取banner信息、传输文本信息、传输文件/目录、加密传输文件、传承控制/木马、加密所有流量、流媒体服务器、远程克隆硬盘 2、nc-telnet/banner 可作为客户端使用、也可作为服务器端使用          (1)nc -vn        v显示详细连接信息,n后面

PHP 登录&注册页面-爱代码爱编程

要求:完成以下页面的制作 1、login.php:登录页面,存在权限类别(user和admin),登录成功后重定向到admin.php/user.php。 2、admin.php:admin用户登录后访问的页面,只有admin用户登录后能够访问,若为非 admin权限用户需重定向到登录页面。 3、user.php:user用户登录后访问的页面

PHP 文件上传、下载、浏览-爱代码爱编程

0x1文件上传 <任务>实现将本地文件上传到服务器。 HTML部分:upload.html <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>