- 博客(21)
- 收藏
- 关注
RSS订阅原创 SSO(单点登录)
苹果用户通过 Apple ID 同步访问 iCloud、App Store、Mac 登录。用户访问其他应用时,应用会向认证服务器验证令牌的有效性,而非直接要求输入密码。(如 Keycloak、Okta、Microsoft Entra ID)。员工用 AD 账号登录后,自动访问 CRM、邮箱、内部 Wiki。时,应用B 通过令牌自动获取用户身份(无需再次登录)。应对:使用 HTTPS、短期令牌、多因素认证(MFA)。风险:SSO 服务器宕机导致所有系统不可用。(如 SAML、OAuth2、JWT)。
2025-08-19 14:25:01
61
原创 规避(EDR)安全检测--避免二进制文件落地
在 Windows 系统中,执行 VBScript(.vbs)和将C# 代码加载到内存中执行的技术,常被用于减少磁盘操作(避免二进制文件落地),从而降低被 EDR(端点检测与响应)工具检测的概率。
2025-08-18 15:33:57
501
原创 WPAD机制
是一种,用于让客户端(如浏览器、操作系统)自动发现并配置网络代理设置。WPAD 通过设备(如 Windows PC)在加入网络时,会尝试通过或获取wpad.dat文件的地址。查询顺序通常为:客户端从获取的地址(如)下载wpad.dat(PAC 文件,Proxy Auto-Config)。浏览器或系统根据wpad.dat中的 JavaScript 规则决定哪些流量走代理,哪些直连。
2025-08-05 14:38:38
710
原创 溯源思路1
CGI-bin漏洞及其利用CGI-bin漏洞是一种常见的网络安全漏洞,它存在于Web服务器的CGI(Common Gateway Interface)目录中。这种漏洞允许攻击者通过精心构造的HTTP请求来执行服务器上的命令,从而可能获取敏感信息或者控制服务器。漏洞原理CGI-bin漏洞通常是由于Web服务器配置不当或者CGI脚本编写不安全导致的。例如,老版本的Bash存在一个解析错误,当定义函数变量并导出时,可以通过特定的HTTP请求头部来触发执行任意命令。
2025-08-05 14:04:41
941
原创 从安全角度分析NetBIOS/LLMNR协议
DNS 本身不广播,但需确保其解析成功,否则系统可能回退到不安全的 LLMNR/NBNS。完全防御广播攻击部署可靠的本地 DNS(覆盖所有内部域名)。彻底禁用 LLMNR/NBNS。加固认证协议(如强制 Kerberos/SMB 签名)。Kerberos 是现代 AD 域环境的默认协议,比 NTLM 更安全高效。NTLM 仍可能被使用(因兼容性、旧设备或配置问题),需主动禁用。完全禁用 NTLM 的步骤通过组策略或注册表限制 NTLM。
2025-08-04 15:34:28
777
原创 网络和进程监控的工具
支持高级过滤(如用户、进程名、文件描述符)。支持 TCP/UDP/UNIX 域套接字。支持 IPv4 和 IPv6(但不如。更快速、更高效(直接从内核获取数据)。(包括网络套接字、普通文件、管道等)。(较老,部分新系统默认不安装)。显示网络连接(TCP/UDP)。(现代 Linux 默认安装)。查看某个进程打开的文件(如。排查 "文件被占用" 问题。查看路由表、接口统计信息。显示更详细的连接状态(如。,在大规模连接时速度慢。,适合高负载服务器。
2025-07-30 16:10:56
309
原创 SSL 和 TLS
SSL(Secure Sockets Layer,安全套接层)和 TLS(Transport Layer Security,传输层安全)是用于。:由 Netscape 开发,经历了 SSL 1.0(未发布)、SSL 2.0(有严重漏洞)、SSL 3.0(2015 年被弃用)。,但实际使用的是 TLS(如 OpenSSL 默认支持 TLS 1.2/1.3)。:防止数据在传输过程中被窃听(如密码、信用卡号等敏感信息)。:防止数据在传输过程中被篡改(如插入恶意代码)。TLS 1.2(2008,目前仍广泛使用)
2025-07-29 15:23:34
135
原创 探测内网协议
TCP/UPD、HTTP/HTTPS、ICMP、DNS协议探测目标主机允许哪些出网。根据探测到的协议进行隧道穿透。NC和telnet 命令探测TCP。nc支持TCP、UDP在网络连接中读取数据,支持其它驱动和脚本程序,同时也是一个强大网络调试和探测工具。建立使用过程中几乎所有类型的网络连接。UDP 探测无连接传输协议,发送和接收端之间没有握手,每个UDP报文都会单独处理。
2025-07-28 16:32:30
474
原创 在Linux中Python各个版本的下载
要想让 Python 3.12 成为默认版本,需要调整PATH中路径的顺序。Linux 终端中,可以使用wget或curl命令直接下载源码包。:通过指定--prefix可安装多个 Python 版本,避免覆盖系统默认版本。echo $PATH | tr ':' '\n' # 按行显示PATH中的路径。.tgz:等同于.tar.gz,是 gzip 压缩的 tar 包。.tar.xz:XZ 压缩的 tar 包(推荐,体积更小)。# 输出示例(Python 3.12应在最前面)一、临时改变当前会话的优先级。
2025-07-24 16:24:34
368
原创 IPV4与IPV6通信
IPv6 主机(2001:db8::1) → 封装在 IPv4 → IPv4 网络 → 解封装 → IPv6 主机(2001:db8::2)IPv4 主机(192.168.1.1) ↔ IPv6 主机(2001:db8::1):让 IPv6 设备访问 IPv4 资源,通过 NAT 转换 IPv6 到 IPv4。:网络设备(如路由器、主机)同时运行 IPv4 和 IPv6 协议栈。:将 IPv6 数据包封装在 IPv4 数据包中传输(或反之)。有状态转换,类似 NAT,但支持 IPv6 ↔ IPv4。
2025-07-24 15:30:09
402
原创 Linux中的网络管理
networking 服务(命令行配置)和 NetworkManager(图形界面配置)方案一:停用 networking 服务,仅用 NetworkManager适用场景:如果你主要使用图形界面或动态网络连接(如 WiFi)。方案二:停用 NetworkManager,仅用 networking 服务编辑制定的连接编辑的文件内容:id=有线连接 1[ethernet][ipv4]59.255.209.4 # 用分号分隔DNS[ipv6]
2025-07-24 15:21:58
605
原创 Linux上机安全排查与应急响应指南
系统基本信息常见漏洞关联:推荐工具: 2. CPU/内存异常排查(挖矿木马最常见表现) 实战案例参考(来自知识库): 如何提取样本分析?推荐在线检测工具(上传样本哈希):可疑行为示例(来自知识库):加固建议:如何启用bash审计日志?(防止下次被清空)在 末尾添加以下内容(来自知识库):常见攻击命令特征(可用于grep过滤):比如: 5. 网络连接排查(是否有异常外联或监听)重点排查项:关闭可疑连接示例:推荐工具:
2025-07-22 17:08:14
862
原创 家庭宽带详解
写这篇文章的目的,显示出口IP为家庭宽带,但是这个ip上开启某些端口服务(显示开放9876/login、5357/ ),当时测绘显示为联通住宅用户,但是出口IP怎么能随便操作家庭用户的出口IP端口,暂且判定测绘结果显示错误。1、家庭宽带中的网络出口IP,如何把自己家庭内网的一个端口映射到,公网(网络出口IP),家庭用户怎么可以随意操作出口IP地址端口的开放情况?将代理池的IP设置为住宅用户的网络出口IP(即家庭宽带IP)在技术上是可行的,但实际应用中存在显著限制和风险。
2025-07-22 16:18:51
883
原创 从安全角度分析-应用层协议-DNS详解(二)
前言搭建自己的DNS服务器可以让你完全控制域名解析,提高隐私性或为内部网络提供服务。(Berkeley Internet Name Domain) - 最广泛使用的开源DNS软件- 功能丰富的替代方案- 更轻量级的递归解析器- 适合小型网络和本地缓存。
2025-07-21 19:47:44
328
原创 从安全角度分析-应用层协议-DNS详解(三)
域名系统劫持,也称为 DNS 重定向攻击,是指从受害者浏览器发送的 DNS 查询被拦截和错误解析,将用户重定向到恶意网站。DNS 可以在本地被恶意软件劫持,或通过路由器、拦截或名称服务器被劫持。
2025-07-21 19:29:54
962
原创 从安全角度分析-应用层协议-DNS详解(一)
指客户端向DNS服务器发出请求,目的是将域名(如 www.baidu.com) 解析为192.168.2.1。:网络中所有DNS查询和响应产生的数据包集合,包括请求、响应、重定向等通信内容。- 查询数据包- 响应数据包- 错误报文- 小包高频率(通常小于512字节)- 突发性(用户访问网站时集中)- 请求频率- 异常域名(恶意软件C2服务器)- 响应时间异常- 检测DDoS攻击(DNS放大攻击)- 识别数据外泄漏(DNS隧道流量):对于涉及提到内容进行补充说明。
2025-07-20 09:12:39
533
原创 网络出口IP
CDN的基本原理是通过将内容(如图片、视频、音频、网页等)缓存到靠近用户的边缘节点上,使得用户可以从距离更近、链路更快的边缘节点获取内容,从而提高访问速度、降低网络拥塞和提升用户体验。网关:一种网络设备,用于在不同网络之间传递数据,作为两个网络之间的中介,它可以是硬件设备、软件应用程序或操作系统的一部分,通常用于在本地网络和Internet之间进行通信,将本地网络中的数据发送到Internet上的其他网络或服务,这里的网关是指相关设备所绑定的IP。流量通过云服务商的网关出口,IP属于云厂商(如AWS的。
2025-07-19 13:18:34
1296
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人