等保2.0
等保2.0,全称是《网络安全等级保护制度2.0》,是中国针对网络安全实施的等级保护制度的升级版。它于2019年由国家标准化管理委员会发布,主要目的是保护信息系统和网络安全。
等保2.0的核心概念:
信息系统分级保护:等保制度把信息系统按照重要性和受到威胁的可能性分为五个等级。等级越高,要求的安全保护措施就越严格。具体等级划分如下:
第一级:一般的内部系统,不涉及国家机密和社会秩序的系统。
第二级:涉及社会秩序、公共利益的系统,但不涉及国家秘密。
第三级:对国家安全、经济命脉、社会秩序有重大影响的系统。
第四级:对国家安全有非常重要的影响,一旦被破坏会对国家安全和社会产生严重后果。
第五级:最高等级,直接影响国家安全,系统一旦出问题会对国家产生灾难性后果。
全面升级网络安全管理:相比1.0版,等保2.0更注重云计算、物联网、大数据等新技术应用场景的安全要求,增加了对移动互联、工控系统、互联网应用等领域的规定。
安全防护要求:等保2.0要求信息系统在物理安全、网络安全、主机安全、应用安全、数据安全等多个维度实施多层次的防护机制,并在不同等级上有不同的技术和管理要求。
...
内网渗透 guetsec招新靶场
贴个linux信息收集的常用命令
1、内核,操作系统和设备信息
12345678910uname -a 打印所有可用的系统信息uname -r 内核版本uname -n 系统主机名。uname -m 查看系统内核架构(64位/32位)hostname 系统主机名lsb_release -a 发行版信息cat /proc/version 内核信息cat /etc/*-release 发行版信息cat /etc/issue 发行版信息cat /proc/cpuinfo CPU信息
2、用户和群组
1234567891011cat /etc/passwd 列出系统上的所有用户cat /etc/group 列出系统上的所有组groups 当前用户所在的组groups test test用户所在的组getent group xxx xxx组里的用户grep -v -E "^#" /etc/passwd | awk -F: '$3 ...
数据要素隐私与安全问题报告一、引言随着数字化时代的到来,数据成为了社会经济发展的核心要素。无论是个人数据、企业数据,还是政府数据,数据的隐私与安全问题都备受关注。数据泄露、滥用以及非法收集可能导致严重的经济和社会后果。因此,确保数据要素的隐私与安全变得尤为重要。本文将探讨数据隐私与安全的技术措施,并对现有的法律框架进行分析。
二、数据保护的技术框架1. 数据加密数据加密是保护数据隐私和安全的主要技术之一。它通过将明文数据转换为不可读的密文,从而防止未授权方访问信息。加密技术包括两大类:
对称加密:如AES(高级加密标准),加密和解密使用相同的密钥。此技术效率较高,适合大量数据加密。
非对称加密:如RSA算法,使用一对密钥(公钥和私钥)。公钥用于加密,私钥用于解密,适合用于敏感数据的传输。
加密技术不仅能保护数据的机密性,还能确保数据在传输或存储过程中不被篡改。
2. 访问控制访问控制是确保只有经过授权的用户可以访问特定数据的技术。主要的访问控制机制包括:
基于角色的访问控制(RBAC):根据用户的角色分配权限。用户只能访问与其角色相关的数据,减少不必要的权限滥用。
基于属性的访问 ...
ctfshow内网渗透复现
复现过程
先放一下ssh命令:
12ssh ctfshow@pwn.challenge.ctf.show -p 28169 #用于ssh连接题目shellscp -P 28169 local_file ctfshow@pwn.challenge.ctf.show:/tmp #用于上传东西
1.根据提示寻找有用的工具
题目提示我们攻击机有工具,利用find命令可以找到。或者直接乱翻文件,msf就在/opt目录下.
1find / -name metasploit-framework
直接使用msfconsole报错,使用chmod 777 metasploit-framework 给权限后可以直接使用了
2.扫描
因为是内网渗透,所以还是要做一些扫描。
上传fscan并扫描内网
1234scp -P 28169 local_file ctfshow@pwn.challenge.ctf.show:/remote/directory/ifconfig #查看ip./fscan -h 172.2.1 ...
关于xss在src的补充
写在前面
好久没有再接触过xss,最近系统性地重新学了一遍,现在再做一些补充
分类和识别
能直接出回显的是反射型xss
能直接写入,刷新还在的是存储型xss :常见于评论
XSS常用payload
123456xss:<script>alert(123);</script><a href="">xxx</ a>dom xss:视情况而定
遇到一道原型链污染的题目学习一下
原题(basectf2024)
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758请解释J1ngHong说:你想read flag吗?那么圣钥之光必将阻止你!但是小小的源码没事,因为你也读不到flag(乐)from flask import Flask,requestimport jsonapp = Flask(__name__)def merge(src, dst): for k, v in src.items(): if hasattr(dst, '__getitem__'): if dst.get(k) and type(v) == dict: merge(v, dst.get(k)) else: dst[k] = v eli ...
笔记
杂笔记
在逆向(星号)((BYTE*)的时候用宏定义#define BYTE unsigned char即可正常使用
system(“tac flag.php”)用来读取文件内容;
?c=system(“tac%20fla(星号)”)意思是c=system(“tac flag”);
在linux的shell里:
ls /(查看所有目录)
ls /home(进入home文件夹)
cat /home/flag.txt(打开flag.txt)
tac用法同上
ls ../输出上一级目录的内容
命令绕过
黑洞绕过:system($c.” >/dev/null 2>&1”);
它只会让分号后面的指令进入黑洞,所以这里直接绕过
双写分号绕过?c=tac f*;ls
双写&&绕过?c=tac f*%26%26ls(注:星号被绕过可以用问号)([0-9]和%的过滤是不会过滤%26之类的)()
带行号绕过?c= ...
一些php特性
关于”.”1当 php 版本⼩于 8 时,GET 请求的参数名含有 . ,会被转为 _ ,但是如果参数名中有 [ ,这 个 [ 会被直接转为 _ ,但是后⾯如果有 . ,这个 . 就不会被转为 _ 。
有如
123Jail_by.Happy等同于?Jail[by.Happy=xxxxxx
并有: highlight_file(glob(“/f*”)[0]);
1234567这段代码的作用是用 PHP 读取并高亮显示一个文件的内容。下面是对各部分的详细解释:glob("/f*"):glob 函数用于根据模式匹配文件路径。模式 /f* 表示匹配所有以 f 开头的文件或目录。在这个上下文中,它会列出路径为 / 目录下所有以 f 开头的文件或目录。glob("/f*")[0]:glob 函数返回一个文件路径数组。[0] 是用来访问第一个匹配的文件路径。如果存在多个匹配项,这里只取第一个。highlight_file():highlight_file 函数用于显示一个文件的内容,并对其进行语法高亮。默认情况下,highl ...
basectf数学大师脚本
脚本:123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import requestsfrom bs4 import BeautifulSoupimport refrom requests.cookies import RequestsCookieJarresult = 1session_cookie = 1for i in range(50): url = "http://challenge.basectf.fun:35901/" headers = { "Cache-Control": "max-age=0", "sec-ch-ua": '" Not A;Brand";v="99", "Chrom ...
