1. 蚁剑流量特征1.1 蚁剑webshell静态特征蚁剑中php使用assert、eval执行;asp只有eval执行;在jsp使用的是Java类加载(ClassLoader),同时会带有base6...
安全防御之SSL VPN技术详解
网安教育培养网络安全人才技术交流、学习咨询一、SSL工作过程SSL(Secure Sockets Layer)是一种用于保护网络通信安全的协议。SSL的工作过程如下:客户端发起连接请求:客户端向服务器...
密码算法知识也很有意思——聊聊密钥交换
密码算法知识也很有意思——聊聊密钥交换场景假设 Alice 和 Bob 之间需要共享一个对称密钥,那么如何生成双方都知道的对称密码呢?一、Diffie-Hellman 算法(1)Alice、Bob 共...
G.O.S.S.I.P 阅读推荐 2024-01-08 某家厂商暗藏的弱RSA Key?
思科安全研究人员调查了某网络公司在12年时间内生产的2.26亿部设备,发现其中暗藏着不可告人的后门?!通常在安全学术会议并不常见到工业界的人,有时候见到了还挺尬尴(参见我们在《ACM CCS 2017...
看完本文你也会爬热评
点击上方“蓝字”,关注更多精彩 本文将从0开始教你怎么解决某音乐的签名问题,实现爬取热评的功能,我们的目标是搞明白params和encSecKey的生...
JumpServer 伪随机数密码重置漏洞 (CVE-2023-42820) 分析
JumpServer 伪随机数密码重置漏洞 (CVE-2023-42820) 分析以及自动化利用 JumpServer <= v3.6.4 首先根据找回密码的地址 /core/auth/pass...
ctfshow Web入门[爆破] Writeup
爆破类, 有个 PHP 伪随机数漏洞的知识点 涉及 burp Intruder 的使用 web21题目给了一份字典 401 授权 Authorization: Basic YWRtaW46YWRtaW...
ChaBug Web2 Writeup
题目主要为 PHP 伪随机数种子爆破. 详情请看 白帽子讲 Web 安全 伪随机数安全 index header 有 seed 范围, login csrf_token base64 decode 后...
老网安的面经-技术问答-软件安全设计篇
面试官:我看你简历上写着参与过很多业务系统的安全方案设计,那身份验证这款你能说说怎么设计的吗?我:身份验证不仅仅是登录,其实注册、找回密码都是身份验证的一部分,我从一个新用户使用的流程来讲吧。用户进来...
c语言随机数异或加密免杀
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:1661声明:仅供学习参考,请勿用作违法用途前记pyinstallerpyinstaller目...
随机数不随机-我可以预测未来
好久没有更新文章了,本次讲个代码安全的内容-伪随机数起因起先在公司年会上,小伙伴说,在固定的时间抽出的获奖号码是不是就是固定人的,要不每次抽大奖的时候,要准时准点的抽,并且抽出来的全是老板?可是看了抽...
Jumpserver漏洞分析/复现全记录 | 分析
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 0x01 前言 最近jumpserver国产开源堡垒机通报了多个漏洞,其中比较严重的就是验证码可预测漏洞了,主要是因为生成随机数的种子可获取...
7