不少小伙伴在学习DDoS攻击的攻防原理的时候会觉得略显吃力。这主要是因为理解原理是需要先了解其概念的。 本篇文章是一篇关于DDoS的技术普及帖，关于DDoS基本概念，看这一篇就够了~ 什么是DDoS攻击 DDoS是Distributed Denial of Service的简称，中文是分布式拒绝服务。 这有点拗口吧？ 这样，我们先理解下DDoS的前身DoS（Denial of Service），即拒绝服务。 最基本的DoS攻击就是攻击者利用大量合理的服务请求来占用攻击目标过多的服务资源，从而使合…

如果你刚好是某个网络应用程序的所有者，怎样才能保证你的网站是安全的、不会泄露敏感信息？ 如果是基于云的安全解决方案，那么可能只需要进行常规漏扫。但如果不是，我们就必须执行例行扫描，采取必要的行动降低安全风险。 当然很多付费扫描器功能会更加全面、严谨，包含报表输出、警报、详细的应急指南等等附加功能。 开源工具最大的缺点是漏洞库可能没有付费软件那么全面。 1. Arachni Arachni是一款基于Ruby框架搭建的高性能安全扫描程序，适用于现代Web应用程序。可用于Mac、Windows及Lin…

前言 本文以渗透的视角，总结几种个人常用的内网穿透，内网代理工具，介绍其简单原理和使用方法。 1 nps-npc 1.1 简介 nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。 一台有公网IP的服务器（VPS）运行服务端（NPS） 一个或多个运行在内网的…

作为网络管理员或网络工程师，时刻关注网络的交付速度至关重要。不仅需要确保自己有良好的响应时间，还需要确保网络的速度足以满足用户通信所需的每一条路径。而手动测试每个路径将占用你所有的时间。所以需要获得一个测试工具，以确保延迟不会影响网络的性能。 01 什么是延迟 延迟是网络流量的速度指标。可接受的传输时间根据使用的应用而变化。视频播放和交互式VoIP呼叫需要比电子邮件传送更快的速度。因此，需要根据你为用户提供的服务计算出网络流量所需的速度。 02 测量延迟 延迟以毫秒(ms)为单位。但是，有两个指…

IP 地址的格式：IP 地址 = 网络地址 + 主机地址 如果 IP 进行了子网划分： 则IP地址=网络地址+子网地址+主机地址 网络地址是互联网上的节点在网络中具有的逻辑地址。MAC 地址，处于数据链路层，IP 地址处于网络层，端口号处于传输层。 例如 IP 地址，192.168.54.4. 显然属于一个 C 类地址，网络地址为：192.168.54.0； 主机地址为：0.0.0.4。 在设计互联网络时，为了便于寻址以及层次化构造网络，每个 IP 地址包括两个标示码（ID），即网络 ID 和主…

一、动态对抗，线上+社工持续信息追踪 发起攻击前，尽可能多的搜集攻击目标信息，做到知己知彼，直击目标最脆弱的地方。攻击者搜集关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息，为攻击决策提供支撑。 搜集信息的种类包括但不限于分支机构、关联公司、外包公司、投资公司、人员、网络、主机、域名、帐户、邮箱等信息。攻击者选择目标也会观察资产是否与主体公司发生关联。 可进行信息收集的公开渠道有： 天眼查 企查查 搜索引擎 社交网络 ICP备案库 社工库 Fofa Shodan 官方网站 主域…

一、概述 企鹅今天想分享云原生应用安全防护系列，本文笔者主要针对微服务架构下的应用安全、Serverless安全提出一些防护见解及思考。文章篇幅较长，内容上与之前笔者发表的若干文章有相互交叉对应的部分，希望能为各位读者带来帮助 二、微服务架构模式 数字时代的微服务安全 微服务架构已经成为构建现代应用程序的默认方式。要从微服务中获得最大的收益，需要清楚地了解微服务安全及其架构设计。微服务安全的设计应是预设安全，需要站在微服务架构角度进行安全治理，结合数字化时代及业务特性，保证业务价值实现。 这里C…

文章来源： 重生信息安全，侵删 Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表，其涵盖了在Android移动设备中执行渗透测试各方面操作。 一、在线分析工具 1.AndroTotal 2.Tracedroid 3.Visual Threat 4.Mobile Malware Sandbox 5.Appknox - 收费 6.IBM Security AppScan Mobile Analyzer - 收费 7.N…

🎈 XSS 攻击 全称跨站脚本攻击 Cross Site Scripting 为了与重叠样式表 CSS 进行区分，所以换了另一个缩写名称 XSS XSS攻击者通过篡改网页，注入恶意的 HTML 脚本，一般是 javascript，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式 XSS 攻击经常使用在论坛，博客等应用中。攻击者可以偷取用户Cookie、密码等重要数据，进而伪造交易、盗取用户财产、窃取情报等私密信息 就像上图，如果用户在评论框中输入的并不是正常的文本，而是一段 javas…

🌻一、理论 🍎1.什么是文件包含漏洞？ 通过PHP函数引入文件时，传入的文件名没有经过合理的验证，从而操作了预想之外的文件，就可能导致意外的文件泄漏甚至恶意代码注入。 🍎2.文件包含漏洞原因 为了代码更灵活，通常会把被包含的文件设置为变量 ，进行动态调用 ，从而导致客户端可以调用任意文件 ，造成文件包含漏洞。动态包含的文件路径参数，客户端可控 。web应用对用户的输入没有进行过滤或者严格过滤就带入文件包含函数中执行 🍎3.文件包含函数 其它用于包含的函数：highlightfile()、 sho…