网络安全
关注
分享
扫一扫
文章平均质量分 95
安全瞭望Sec
初次见面,我是安全瞭望Sec,一个对网络安全满怀热忱的探索者。日常沉醉于代码世界,钻研攻防技术。见证过网络风险带来的冲击,深感守护网络安全之重。在这博客开启分享之旅,盼与同好交流,一起筑牢网络安全防线 。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
红队实战:Prime1 破局指南 —— 模糊测试驱动内网提权终极玩法
本文介绍了对Vulnhub靶机Prime 1的渗透测试过程。原创 2025-07-28 16:34:59 · 806 阅读 · 0 评论 -
漏洞狩猎指南:AppScan全生命周期攻防演练手册
AppScan通过配置扫描策略(手动/外部扫描)、反向代理部署实现跨网络检测,结合SSL证书解析HTTPS流量,采用验证码多维度绕过技术(OCR/会话复用)及漏洞审计验证,构建完整应用安全检测闭环。原创 2025-05-01 00:02:30 · 1503 阅读 · 44 评论 -
「漏洞猎人」必修课:从AppScan安装到实战全攻略
AppScan 是一款自动化安全测试工具,用于检测Web、移动应用及API中的漏洞,提升安全性与合规性。原创 2025-04-27 17:43:42 · 1212 阅读 · 61 评论 -
漏洞收割者:当Goby资产测绘搭载AWVS深度扫描的降维打击
AWVS+GOby实现从资产探测到深度漏洞扫描的自动化流程原创 2025-04-25 17:51:05 · 1175 阅读 · 35 评论 -
漏洞猎人速成指南:用Acunetix斩获你的第一个CVE
Acunetix进行自动化Web漏洞扫描,包括安装配置、目标设置、扫描启动及结果分析,帮助用户高效识别和修复SQL注入、XSS等安全风险。原创 2025-04-23 17:49:33 · 1302 阅读 · 54 评论 -
ARL灯塔安装+钉钉机器人联动实战:打造全天候自动化监控体系
ARL灯塔系统是一款自动化互联网资产侦察工具,通过快速发现、整理目标关联的域名、IP、端口及服务,识别安全风险和薄弱点,助力安全团队高效管理资产并强化防御。原创 2025-04-22 21:45:40 · 1927 阅读 · 53 评论 -
渗透利器Acunetix双平台神装手册:Windows+Kali双修黑客必修课
Acunetix 是一款自动化、高精度的企业级Web漏洞扫描工具原创 2025-04-20 00:19:59 · 1562 阅读 · 41 评论 -
哈希算法霸权:从碰撞抗性到雪崩效应的算法统治
哈希算法通过不可逆计算将任意数据转换为固定长度的唯一摘要值,确保数据完整性、安全验证及身份认证,其安全性依赖抗碰撞能力原创 2025-04-17 21:15:48 · 2176 阅读 · 50 评论 -
比特空间的矛与盾:RSA三十载攻防启示录
RSA的核心价值在于其非对称性和数学安全性,尽管效率较低,但通过合理应用(如混合加密与填充方案)仍是网络安全基石之一原创 2025-04-14 01:07:44 · 1353 阅读 · 28 评论 -
比《三体》二向箔更可怕:Java内存马的降维寄生法则
内存马是一种无文件形态的恶意攻击手段,通过将恶意代码注入合法进程的内存中运行,以绕过传统检测并实现隐蔽的持久化控制或执行恶意操作。原创 2025-04-13 11:50:20 · 1367 阅读 · 30 评论 -
JavaWeb开发入门:手把手教你配置IDEA+Maven+Tomcat全环境
手把手教你配置IDEA+Maven+Tomcat安装,超详细。原创 2025-04-10 01:04:14 · 2312 阅读 · 22 评论 -
代码如诗,漏洞如刀:PHP审计中的致命反模式解密
PHP代码审计是挖掘Web应用安全隐患的核心攻防技术,聚焦于逐行审查代码逻辑,识别开发者无意引入的致命漏洞原创 2025-04-08 00:38:39 · 1968 阅读 · 17 评论 -
逆向绞杀crAPI:一场渗透测试者的颅内高潮实战
API安全的核心在于通过严格的身份认证、细粒度授权、数据加密、输入验证及持续监控,确保接口在提供高效服务的同时抵御恶意攻击,保障数据的机密性、完整性和可用性。原创 2025-04-05 22:06:59 · 2215 阅读 · 19 评论 -
API攻击面全解析:从漏洞猎杀到零信任架构实战
API 是一组预定义的规则和协议,允许不同软件系统之间进行交互和数据共享。原创 2025-04-04 23:23:29 · 1649 阅读 · 23 评论 -
后斯诺登时代的密码战:非对称算法能守护我们的数字边疆吗?
非对称密码通过公钥加密与私钥解密、私钥签名与公钥验证,实现安全通信和身份认证,是互联网安全(如HTTPS、区块链)的基石原创 2025-04-03 00:43:16 · 1517 阅读 · 14 评论 -
PHP代码审计红蓝对抗:从SQL注入到反序列化的死亡轮盘
PHP代码审计需要建立"攻击者思维",重点监控数据从输入到执行的完整链路。原创 2025-04-01 00:30:35 · 1012 阅读 · 15 评论 -
深入AES加密核心:对称密码的现代守护者
AES是一种对称加密算法,于2001年被美国国家标准与技术研究院(NIST)正式采用,取代了旧的DES原创 2025-03-30 00:10:30 · 1576 阅读 · 12 评论 -
比特流中的孪生幽灵:现代对称加密术
现代密码学是研究如何在信息传输和存储过程中保护数据安全的学科,主要目标是实现机密性、完整性、身份认证和不可否认性原创 2025-03-27 21:56:35 · 1406 阅读 · 20 评论 -
穿透式侦查:DNSLog在红队攻防中的降维打击
DNSLog 是一种基于 DNS 协议的隐蔽通信技术,主要用于网络安全领域的漏洞探测与攻击验证原创 2025-03-26 00:46:18 · 1459 阅读 · 17 评论 -
Weblogic漏洞:潘多拉魔盒中的秘密
WebLogic是由Oracle开发的企业级Java应用服务器(Java EE),用于构建、部署和管理分布式Web应用。其广泛应用于金融、电信、政府等领域,支持高并发和复杂业务逻辑。原创 2025-03-25 02:22:22 · 1093 阅读 · 8 评论 -
反序列化漏洞:程序员在代码里「养蛊」的灾难现场
若攻击者能控制反序列化的输入数据,并构造一个包含恶意代码的序列化字符串,当反序列化后触发上述函数方法中的敏感操作(如文件操作、命令执行),即可形成漏洞。原创 2025-03-23 00:39:07 · 1618 阅读 · 24 评论 -
从羊皮卷到数字时代:古典密码的永恒魅力
古典密码的发展历史悠久,其起源可追溯到古巴比伦时代,当时人们已开始使用简单方式保护信息原创 2025-03-18 02:32:23 · 1848 阅读 · 17 评论 -
CSRF漏洞攻防:两个案例探索“身份劫持”的黑客陷阱
CSRF(跨站请求伪造) 是一种利用浏览器对用户身份的自动验证机制发起攻击的Web安全漏洞。其核心原理是:攻击者诱导用户在已登录目标网站的情况下,向该网站发起一个伪造的请求,而服务器误认为这是用户的合法操作原创 2025-03-06 00:41:01 · 858 阅读 · 0 评论 -
你的数据正在“裸奔”,XXE漏洞知多少?
XML(可扩展标记语言)是一种用于存储和传输数据的标记语言原创 2025-03-14 01:44:53 · 999 阅读 · 4 评论 -
一文终结Redis漏洞危机,不服来战
Redis 作为一款广泛使用的开源内存数据结构存储系统,在不同版本和配置下可能存在多种安全漏洞,以下为你详细介绍常见的 Redis 漏洞及其影响、利用方式和防范措施。原创 2025-03-13 02:18:35 · 2161 阅读 · 24 评论 -
当SSRF爆发,网络世界还能“撑”多久?
SSRF(服务器端请求伪造)漏洞是一种常见的网络安全漏洞原创 2025-03-11 01:00:14 · 1365 阅读 · 3 评论 -
不懂JWT渗透防御,你敢说自己懂网络安全?
JWT(JSON Web Token)是一种用于在网络应用间安全传递信息的开放标准(RFC 7519)。它通常用于身份验证和信息交换,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)原创 2025-03-10 01:04:14 · 855 阅读 · 0 评论 -
别人玩基础,我用Burp Suite称霸网络安全圈
Burp Suite 是一款广泛用于 Web 应用程序安全测试的集成平台,由 PortSwigger 公司开发,它为渗透测试人员和安全专业人员提供了一系列强大的功能,可帮助他们发现、分析和利用 Web 应用程序中的安全漏洞原创 2025-03-09 01:51:16 · 1417 阅读 · 0 评论 -
文件上传漏洞之条件竞争
文件上传漏洞是指Web应用程序未对用户上传的文件进行充分的安全验证,导致攻击者可上传恶意文件(如WebShell、木马,图片,简历,附件等),进而控制服务器或实施其他攻击。以下是其核心原理及技术细节原创 2025-03-08 01:42:40 · 1087 阅读 · 0 评论 -
深入探索SQLMap:Web安全测试的得力助手
SQLmap是一款「自动化」SQL注入工具原创 2025-03-07 01:07:51 · 1666 阅读 · 1 评论 -
你以为安全的Cookie,正被XSS偷偷打包发邮件
xss漏洞是危害较大的web安全漏洞,通过注入脚本获取用户的会话Cookie,从而冒充用户身份获取信息。作为安全人员应注重输入输出安全,结合多种防御措施,如对用户的输入内容进行严格过滤,防止恶意脚本注入.设置HttpOnly标志,使用CSP等。原创 2025-03-05 01:04:17 · 1091 阅读 · 0 评论 -
基于掌控安全靶场之sql二次注入
基于掌控安全靶场之sql二次注入原创 2025-03-04 00:58:10 · 548 阅读 · 0 评论