一、隐藏用户（影子用户）的创建与利用进行权限维持 利用条件：①获得管理员权限；②得到cmdshell等shell环境。 系统：Windows10 x64 专业版 操作步骤（以Windows10 为例）： 0×01、首先利...

网络模型    我们所说的OSI七层参考模型与实际应用的TCP/IP模型如下图所示：    制定模型的用意是标准化计算机之间的通信，下面主要说一下...

【正文】网址（URL）：https://college.360.cn/    在浏览器地址栏中输入以上网址（360网络安全学院官网），即向官网发起一个GET请求： 1 GET / HTTP/1.1 2 Host: col...

   缓冲区溢出（bufferoverflow），是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁著中断之际并获取程...

                                    DNS协议根据IP地址，我们可以找到各大厂商提供的网站来获取服务，比如360官网的IPV4地址就是111.206.61.131。网络设...

身份验证身份验证是访问控制的第二步，当客体提供了身份标识之后，访问控制系统要确定客体身份标识的准确性，因此形成了多种身份验证的方法。身份验证方法通常我们将身份验证方...

在之前的《小白学安全》文章中，我们吐槽了经常发生用户数据泄露事件的平台，但是安全还是要掌握在自己手里是吧？（怒打自己脸）所以本期我们来聊一...

哈喽！我们又见面了，大家在这期间有没有自己弄清楚CSRF的防御方法呢？想必聪明的你们已经通过暗中观察发现了其中玄机，那么我们就接着聊一聊CSRF的防御。网页源码中加入校验机制：（1）R...

CSRF？之前学习了SQL注入、XSS，现在又多了一个CSRF，好多名称缩写记不住怎么办？不要急，我们先理解CSRF是什么，有助于我们对名称的记忆。CSRF（Cross site request forgery）跨站请求...

网络安全（以下简称“网安”）事业的健康发展，离不开法律、法规的配套约束，回顾近4年的发展历程，网络安全法的出台，以高速、有效的方式助力网安事业的发展：2015年7月6日，《网络安全法...

自主访问控制顾名思义，自主访问控制（DiscretionaryAccess Control，DAC）是由客体的属主自主的对客体进行管理，自主的决定是否将访问权限授予其他主体。通俗来说就是：“这是我的东西...

【郑重提醒】根据我国《网络安全法》等相关法律、法规规定，未经授权的渗透测试均属于攻击行为，本文所使用的系统环境及操作，均在自行搭建的靶机中完成，相关技术仅供安全爱好者交...

入侵检测的原理 入侵检测(Intrusion Detection)，顾名思义，就是对入侵行为的发觉，通过从计算机网络或计算机系统中若干关键点收集信息，对访问行为、安全日志或审计数据或其它网络...

   小时候听小伙伴说，Windows操作系统没有linux操作系统安全，对吗？呵呵。   自Windows2k系统开始，Windows在安全设计和配置方面，提供了详多安全机制，以供使用者根据自身情况进...

  刚开始学习编程的同学可能经常会问：“我学了这个干什么用？买菜的时候掏出电脑来编个程序算算多少钱？”其实，这跟大家的知识面和入门选择的语言有很大关系，大部分同学会选择C语...

    【郑重提醒】根据我国《网络安全法》等相关法律、法规规定，未经授权的渗透测试均属于攻击行为，本文所使用到的系统环境，均在自行搭建的靶机中完成，相关技术仅用于安全爱...

                  概述：ARP协议是网络通信中经常使用的一种协议，它是数据链路层的一种协议，但是ARP在设计之初，却存在着许多缺陷，从而被网络攻击者用来进行ARP...

漏洞，估计很多人都听说过      著名的恶意代码震网、火焰和勒索病毒等，都利用了漏洞发动网络攻击，甚至造成了难以估量的损失。漏洞库，就是包含了很多漏洞信息的数据库。那...

个人信息案例 在处于信息大爆炸的时代，我们有必要来聊一聊个人的信息安全保护，这时你可能会说“在这个时代下，我享受到了极大的便利，也没有感受到哪里存在不安全的隐患啊。”先...

资产价值在《小白学安全之安全之心》一章中，我们提到了一个十分重要的概念：风险= 资产 * 威胁 * 脆弱性这里的资产指的是资产价值（Value），资产的实际价值是由它对整个组织的重要...

Wi-Fi作为生活中必不可少的元素，为我们带来了很大的便利，再享受便利的同时，我们有没有关注过Wi-Fi背后的安全问题呢，下面先来看几个事件：星巴克Wi-Fi被利用挖矿软件公司CEONoah D...

海洋之心写下标题之后，想到的却是“海洋之心”，电影《泰坦尼克号》以此钻石为线索，讲述了一段经典的爱情故事。同样，在信息安全中，也有着如此重要的线索。安全三要素“保护信息安...

               秘密--- 秘密之所以称作秘密，是因为只有自己知道。上一篇文章说到了HTTPS的安全性是基于非对称加密算法的，但非对称加密算法又为何是可靠的呢？什么是对...

为什么需要协议回想小学的时候你是否沉浸在各项规定中，比如：学生规定，早操规定，课堂规定等等，反正都是要求你必须这样做，回想当年小编也犯了很多错误…… 希望老师原谅我吧。但是...

有位哲人曾经说过：所有用户输入的内容都不可信存在可控输入的地方都可能发生跨站脚本攻击跨站脚本攻击,简称XSS，通常指攻击者通过HTML/JS注入篡改了页面，插入了代码，先看一些XSS...

SQL注入当同学看到这张图的时候是否非常激动，这就是大名鼎鼎的SQLMAP扫描出结果，已经爆出数据库。旁边工位安全表哥说看到这种图片就可以拖出网站数据啦，瞬间后背一凉，这个安全...

也许一个时代即将来临2018年7月，Google即将发布新版本Chrome68，在这个版本中，Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页（如12306）时，会收到浏...