- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows开发
提升编程能力的6条建议
每位程序员都希望自己的能力变得更强,那有什么方式,需要作出什么改变来实现呢?接下来,我将分享关于提升编程能力的6条建议。 同样地,学习优秀开源项目的设计、代码,也是提升编程能力非常有效的方法。优秀开源项目的编码人员,编码经验丰富,他们写的代码一定有许多值得学习的地方,比如:代码规范、逻辑清晰、巧用设计模式。 尝试给优秀开源项目贡献代码让你变得更优秀 给优秀开源项目贡献代码前,首先要学习代码贡献的要求(会涉及一些技术术语、开发规范),这也是一个优秀团队对一位开发人员的要求;然后提交代码,要注明清楚便于对方理解接受,这是对表达能力的要求 首先沉淀总结的过程,就是一个思考、更系统学习的过程;然后分享给别人,别人通过评论或其它形式给予反馈,可能是一些错误或补充,都对自己的能力提升很有帮助。
1.2K20发布于 2021-05-24 - 来自专栏红日安全
Web安全Day6 – 业务逻辑漏洞实战攻防
大家好,我们是红日安全-Web安全攻防小组。 业务逻辑实战攻防 1.1 逻辑漏洞概述 逻辑漏洞,之所以称为逻辑漏洞,是由于代码逻辑是通过人的逻辑去判断,每个人都有自己的思维,自己的思维容易产生不同想法,导致编写完程序后随着人的思维逻辑产生的不足,大多数逻辑漏洞无法通过防火墙
1.3K20发布于 2020-02-21 - 来自专栏FreeBuf
企业攻防能力仍显不足 | 《2022企业攻击面管理》报告解读
企业现有安全方案缺陷促成攻防差距 如今企业的全面数字化转型、云计算应用的增加、随时随地工作的常态化以及物联网(IoT)的出现导致,企业对于互联网以及云的依赖直线上升,有2/3的受访者表示60%以上的it 在这一背景下,企业对于互联网攻击的防护能力就变得尤为重要。 但是如今的局面却是企业面对互联网攻击的防护能力远低于实际的攻击力度,很多攻击面实际上并不能覆盖防护到,报告中的数据显示存在约有38%的攻防覆盖差距。那么是什么样的原因造就了如今的局面呢? 【图:攻防能力差异体现】 → 各个团队对攻击面管理准备不足 一个企业的攻击面管理会包括基础设施、软件、应用程序和设备,以及扩展的供应链。 【图:新兴安全技能知识掌握占比】 【图:企业对安全人员的需求】 如何缩小企业攻防差距 许多组织认为,拥有正确的工具来监测其网络安全攻击面就足以管理风险。
58840编辑于 2023-03-30 - 来自专栏OneMoreThink的专栏
攻防靶场(25):盘点Kali中好用的Web字典 DriftingBlues 6
的全都要登录,这不巧了 逐个尝试,3个py脚本全部报错,还是txt的好使 是个文件上传漏洞,先准备反弹shell 再上传反弹shell 然后监听并发反弹shell 最终获得www-data用户的权限 6.
83110编辑于 2024-10-31 - 来自专栏黑伞安全
6计连环——蜜罐如何在攻防演练中战术部防?
网络攻防演练活动以模拟真实攻击为重要标准,对参与演练单位的各类系统进行渗透,通过设定演练规则,根据统计攻击和防守方得失分情况,判定防守方防护能力水平。 蜜罐进程级的监控能力,能够监控和记录攻击者进入蜜罐后的所有动作进行。Web类的蜜罐还可识别和记录攻击者使用的攻击方法和攻击载荷,可作为判断攻击者意图的重要依据。 战术动作如下: WAF应具备自定义拦截页面和重定向能力。 WAF检测策略应进行优化,尽可能消除误报,避免将正常请求重定向至蜜罐。 攻击者触发WAF拦截策略后,将被重定向至拦截页面,拦截页面具备溯源能力,攻击者信息会传递至欺骗伪装平台后台。 WAF联动战术执行时应注意以下几点: WAF检测策略应能保证较低的误报率。 战术6——乘胜追击 通过对攻击者行为日志的纪录,定位敌人实现技术反制 此战术仅限在攻防演练活动中使用,不得违反相关法律规定对未授权目标进行探测和扫描。
99010发布于 2021-01-29 - 来自专栏腾讯安全
腾讯丁珂:从战略视角构筑云数据时代企业全方位攻防能力
据美国政府DNI(Director of National Intelligence)报告分析,具备发动信息战攻击能力的国家达到近40个。 与攻击主体拓展相对应的是攻击技术的扩张。 借助这一基础架构,腾讯安全能够帮助企业搭建一个从物理环境和基础设施、可信网络、可信硬件、可信操作系统直到租户安全,从合规治理、运维管理到供应链安全等的全方位可信安全底座,全方位提升企业硬件与供应链的安全能力 ,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,实现从数据获取、数据处理及检索、数据分析与服务,数据访问与消费过程中的安全防护,打通合规层、技术层、云产品层、安全服务层、解决方案层等的安全能力 针对这一问题,腾讯安全搭建出了以“三个基础、一个中心、两个门户”为核心能力的安全合规和运营体系。 而腾讯安全也将在沉淀实战经验的基础上,推出安全专家服务,为企业安全规划和管理开放量身定制的顶尖安全专家服务能力和服务,帮助企业建设动情报、攻防到管理、规划的I.D.E.A全方位安全能力。
81830发布于 2019-11-22 - 来自专栏RASP社区
攻防演练 | 攻防在即,RASP为上
信息安全的关键因素是人,有人的地方就有江湖,江湖中避免不了攻防博弈,而博弈是攻防双方采用越来越新的技术进行较量的过程。对于国家、企事业单位甚至个人而言,守护安全防线,确保数据不遗失是最终目的。 而且,攻防演练活动自兴起以来,越来越常态化。但是,每年的这个时刻,都是攻防双方激烈博弈、尤为紧张的时刻。 面对0day/Nday、邮件钓鱼、社工、Web攻击等诸多手段,纵然有蜜罐、WAF、IDS/IPS等诸多防护工具,仍然有安全防护能力的缺失,缺少运行时应用程序保护的RASP技术。 自适应威胁免疫平台作为悬镜第三代DevSecOps智适应威胁管理体系中运营环节的持续检测响应平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力 “注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
99830编辑于 2023-04-19 - 来自专栏全栈程序员必看
XXE攻防
参考 [红日安全]Web安全Day8 – XXE实战攻防 浅谈XXE攻击 XXE漏洞利用技巧:从XML到远程代码执行 未知攻焉知防——XXE漏洞攻防 XXE从入门到放弃 浅谈XXE漏洞攻击与防御
1.5K20编辑于 2022-08-31 - 来自专栏我的安全视界观
【应急能力提升6】应急响应专题总结会
01 — 总结会目的 除了最初的应急响应实战能力提升目的外,组织各组人员参加总结会进行汇报、讨论、听点评,还会带来一些额外的好处: 锻炼新人演讲能力:每个专题会上,要求每个小组进行讲解,机会优先给到新人 ,充分让其展现自己的思路与成果; 督促深化单兵能力:通过会议的方式,推动参与人员进行思考与总结;通过演讲的方式,将所做所思讲出来,进一步帮助其加深对知识的印象与理解; 攻防相长双向提升:红队分享攻击链路 03 — 总结会沉淀 经过两次总结会,总体应急响应能力有了明显的提升,基本达到预期的效果。 通过本次课题中的两次攻击模拟与应急响应,从参加的7个小组、15+人员,可以印证需要下面这些能力: 操作系统基础; 日志分析技能; 应急工具使用; 安全漏洞原理; 渗透测试(加分项):在反向从安全漏洞分析入口时 以上能力的积累,也是我们在后续新员工培养中的输入项,同时亦可以此为应急响应专业技能图谱的评判维度,对该序列同学进行技术职级评定。 ----
79420编辑于 2022-12-20 - 来自专栏机器之心
AI攻防算法能力几何?全新测试基准平台发布,一定要来PK下
机器之心报道 作者:杜伟 清华大学联合阿里安全、瑞莱智慧 RealAI 等顶尖团队发布首个公平、全面的 AI 对抗攻防基准平台。AI 模型究竟是否安全,攻击和防御能力几何? 在 AI 模型和算法面临种种挑战的情况下,如何准确地探知各个 AI 攻防模型的攻防能力变得愈加重要。 、全面地衡量不同 AI 攻防算法的效果,提供方便使用的鲁棒性测试工具,全面衡量 AI 攻防模型的攻防能力。 用户可以通过提交模型的方式获取攻防能力排名。 CVPR 2021 线下论文分享会 时间:6 月 12 日 9:00-18:00 地址:北京市望京凯悦酒店 本场论文分享会包含 4 个 Keynote、 12 篇论文分享与 40 个 Poster 展示
51320编辑于 2023-03-29 - 来自专栏Khan安全团队
Redis攻防
: http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%
1.3K20发布于 2021-01-11 - 来自专栏FreeBuf
攻防经验和能力如何沉淀到日常安全防护?| FreeBuf甲方社群直播回顾
主持人:我们如何能将攻防演练中的能力沉淀到平台,变成自动化能力,使其更加符合实际需求? 甲方安全人员要学会通过攻防演练借鉴安全专家们的攻防能力,然后完善自己的处置 SOP 以及补齐日志盲区,最终降低有效告警的解决时间。 主持人:攻防演练的能力如何沉淀到日常的安全防护中? 红方代表张贵卿:我们可以总结攻防期间0day爆发的趋势,结合企业自身架构以及采购设备,做好安全防护,避免历史漏洞再次被利用。 这是一个偏向蓝方的问题,企业可以评估自身攻防能力成熟度,根据短板或关键点进行投入决策。 蓝方代表剑思庭:攻防期间的能力经验还是很宝贵的,通过复盘我们可以清晰地了解到一些攻击面或攻击路线,这些经验可以积累到日常的安全运营中。
61930编辑于 2023-03-30 - 来自专栏FreeBuf
无线攻防:wifi攻防从破解到钓鱼
RTL-SDR、USRP、HackRF、及BladeRF等外设的价格下降,软件环境社区的完善,使现在对无线网络的研究已经不再像以前只能利用2.4GHz的无线网卡进行狭义的“无线”攻防。 可以看到它的mac地址是F4:6A:92:90:23:6D! 本来正常情况下这张表的下半部分会罗列出连接到这个wif内的设备的mac地址,但是会在后面显示给大家看!CH频率是6记住! 执行以下命令: airodump-ng --ivs --bssid F4:6A:92:90:23:6D -w test -c 6 wlan0mon 我们使用airodump-ng这个攻击进行抓包 -- 由于AP工作信道为6,所以这里需要设置无线网卡监听信道为6。 key 出现WPA handshake: F4:6A:92:90:23:6D 代表抓包完成!
9.6K42发布于 2021-08-24 - 来自专栏红蓝对抗
攻防|记一次攻防案例总结
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪, 且看如何不用0day如何连下数城前言几个月前打了一场某头部直辖市的攻防演练,演练当时通知的很急促,没做什么准备直接小米加步枪上阵了...在此过程中,很多个没用到0day的打点案例都很有意思,下面就简单分享一下案例一 RCE的话,历史上主要有“默认X-API-Key”和“Dashboard未授权访问”两个洞可以用过往挖某SRC的时候,就遇到过默认X-API-Key导致可直接创建执行lua代码的恶意路由的问题恰巧这次攻防演练中 系统中在某个查看学生个人信息的系统重,队友的Burp被动扫描到了一个二级目录的swagger文档而“添加学生信息查看角色”的接口,竟然是没有鉴权的随后利用接口,把当前用户添加查看学生信息的权限如图,拿下全校十万学生的详细信息~案例6、 ,拥有充足的经验,而又不陷入经验主义的迂腐,面对万难,而又不放弃思考,是出奇制胜的关键所在原文经过过文作者授权转载原文作者:奇安信攻防社区(J0o1ey)原文地址:https://forum.butian.net
1.2K20编辑于 2023-12-25 - 来自专栏红蓝对抗
攻防|记一次市级攻防演练
时间 时间在22年护网结束之后,8月中旬左右,当时公司接了一个市级的攻防演练,作为实习生的我,有幸和师傅一起参加,也是我第一次以红队身份参加,当然,更多的还是蹭师傅的光 拿了第一有个感谢信(O(∩_∩ 端口开放: 成果五:某公司MongoDB未授权漏洞(空口令) 这个比较容易,fofa搜了下发现27017端口,遂尝试 成果六:某公司OA注入+任意文件上传 首先是某OA的注入获取shell 攻防开始前已经被上传马了 结尾 我也是第一次参加,虽然每边分到90多个url,但是一半多都是门户网站,一开始说内网可以打,过了一天又不让打了,当时因为cs的版本上线还有点问题纠结好久,然后星期五开始写报告就结束了这次攻防演练
1K61编辑于 2023-02-28 - 来自专栏红蓝对抗
『攻防』记一次EDU攻防演练
文章首发于:奇安信攻防社区 https://forum.butian.net/share/1633 背景 记一次EDU攻防,来之前还是有点怂的,因为前段时间刚打了其它地方EDU感受了一波,小部分目标有重合好难打啊 第二天找c师傅看了一下也搞不上敲了这下咋办啊,设备有telnet、ping功能,看了下设备上路由表确定了有2、3、5、6网段,telnet测试了一波网段一头一尾的IP,根据端口开放情况确定了2网段都是些服务器 总结 这次攻防整体的反思,外网打点信息收集尽量宽泛仔细一些,在现场打压力还是大的打不出来东西就是在坐牢,和队伍里师傅第一次协作不是很好没有沟通好打哪个目标好点,师傅第一次打也很懵逼,我打的多之前都是旁边辅助混子哈哈哈
1.4K40编辑于 2022-08-05 - 来自专栏漫流砂
记一次攻防演练tips | 攻防tips
现在我依稀记得大家在9月25日晚集体过年的场景,没想到的是:那tm只是开始 这一段时间一直在打攻防,重复、单调、无长进,希望早日脱离苦海吧 下面以攻防过程中的一段经历来展现一些有意思的tips ---- 删除自解压程序 del /f /a /q %b% rem 删除马 del /f /a /q %0% rem 删除bat自身 0x05 内网渗透 我对于攻防比赛中的内网渗透是及其反感的
1.3K61发布于 2020-12-17 - 来自专栏红蓝对抗
攻防|记一次攻防演练实战总结
文章首发于:奇安信攻防社区 https://forum.butian.net/share/1780 对前阵子的攻防演练比赛进行总结,分享一些个人的思路和方法 0x01 外网打点 资产发现 多测绘平台搜索 #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github *.edu.cn password 在这次攻防演练里 123 test root 对于一些应用广泛的系统,可以通过google语法搜索其默认密码 这里通过sysadmin/1 成功登入泛微后台 nacos/nacos 常见漏洞利用 对于多目标的攻防演练 /iMwikwt7BCrfEDRnXCqxoju4t2fsRV3xNMg==\* zR20RvimwMPHz7U6LJW+GnmLod9pdHpdhIFO+Ooqk0/pn2NGDuKRae+ysy3rxBdwepRzNLdq6 +paOgi54Q==\* Q81OIBXziWr0orka0j++PKMSgw6f7kC0lCmITzSlbl/jCDTuRSs07oQnNFpSCC6IhZoPPto5ix0SccQPDw==\
2.1K30编辑于 2022-12-22 - 来自专栏Bypass
《云原生安全攻防》-- 云原生攻防矩阵
云原生攻防矩阵: 云原生环境攻击路径的全景视图,清晰每一步采取的攻击技术。 目前,多个云厂商和安全厂商都已经梳理了多个针对容器安全的威胁矩阵,我们可以参考这些成熟的模型,结合个人对云原生安全的理解,构建自己的攻防矩阵。 然后通过不断的学习和实践,我们可以持续优化和补充这个攻防矩阵,从而有效提升对云原生环境的保护能力。 针对云原生环境的攻击技术,与传统的基于Windows和Linux的通用攻击技术有很大的不同,在这里,我们梳理了一个针对容器和K8s常见攻击技术的云原生攻防矩阵。 视频版:《云原生安全攻防》--云原生攻防矩阵
69111编辑于 2024-04-16 - 来自专栏信安之路
Mimikatz 攻防杂谈
前几天看到了老外一篇讲 mimikatz 防御的文章,感觉行文思路还不错,但是内容稍有不足,国内也有一篇翻译,但是只是照着错误翻译的,所以就萌生了把那篇优秀文章,翻译复现,并加入其它一些内容,本文只是抛砖引玉,文中有错误的话,欢迎吐槽。
2.2K30发布于 2018-09-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号