电子邮件 SimplyEmail 过去的违规行为（email 信息泄露） 电子邮件 所有的社会工程学攻击的一个重要部分都是查找 email 地址和员工姓名。我们在前几节中使用了 Discover Script 工具，它非常适合用来收集这些数据。我个人通常从 Discover Script 开始，并用其他工具进行深入挖掘。每种工具的功能略有不同，尽...

开始社会工程学攻击行动 近似域名（Doppelganger Domain） 如何克隆验证页面 使用双因素验证的身份凭证 开始社会工程学攻击行动 作为红队队员，我们钟爱社会工程学攻击。不仅因为它通常包含低技能攻击，而且因为它也很容易以非常低的成本来策划一场值得我们高度信赖的战役。只需设置几个假域名、服务器、策划一些电子邮件、假装丢掉一些 bad ...

Egress TLS Origination 案例 开始之前 配置对外部服务的访问 用于 egress 流量的 TLS 发起 其它安全注意事项 清除 相关内容 Egress TLS Origination 控制 Egress 流量 的任务向我们展示了位于服务网格内部的应用应如何访问外部（即服务网格之外）的 HTTP 和 HTTPS 服务...

Egress TLS Origination 案例 开始之前 配置对外部服务的访问 用于 egress 流量的 TLS 发起 其它安全注意事项 清除 相关内容 Egress TLS Origination 控制 Egress 流量 的任务向我们展示了位于服务网格内部的应用应如何访问外部（即服务网格之外）的 HTTP 和 HTTPS 服务...

常见的安全漏洞 跨站脚本（XSS） 防范 XSS 跨站请求伪造（CSRF） 防范 CSRF SQL 注入漏洞 常见的安全漏洞 在构建 PWA 站点的过程中，我们会面临很多的安全风险和漏洞，如 XSS ，CSRF ，SQL 注入漏洞 ，ClickJacking ，文件上传漏洞 等等。在本小节中，我们列举几种客户端常见的安全漏洞，了解一下其原...

iptables 补充说明 语法 选项 基本参数 命令选项输入顺序 工作机制 防火墙的策略 防火墙的策略 实例 空当前的所有规则和计数 配置允许ssh端口连接 允许本地回环地址可以正常使用 设置默认的规则 配置白名单 开启相应的服务端口 保存规则到配置文件中 列出已设置的规则 清除已有规则 删除已添加的规则 开放指定的端口...

推荐书单 Shell编程 系统编程 内核 其他 下一步 推荐书单 Shell编程 Linux Shell脚本攻略👉 豆瓣 / 系统编程 Understanding Unix/Linux Programming👉 豆瓣 / UNIX环境高级编程👉 豆瓣 / Linux/Unix系统编程手册👉 豆瓣 / 内核...

平凡之路 参考资料 平凡之路 名字起得文艺了一点，主要是想表达程序员的职业提升之路。 参考资料 学编程为什么这么难？每个新手绝对要知道的那些事 程序员技术练级攻略 非编程天才参与开源项目的14种方式 【搬运】谷歌公司推荐的程序员必修课 网易云课堂:最全面、权威的计算机专业体系 专访Livid：不仅仅是V站站长 程序员高手和菜鸟的...

1.8 加解密 1.8.1【建议】对称加密 1.8.2【建议】非对称加密 1.8.3【建议】哈希算法 1.8.4【建议】密码存储策略 1.8 加解密 1.8.1【建议】对称加密 建议使用AES，秘钥长度128位以上。禁止使用DES算法，由于秘钥太短，其为目前已知不安全加密算法。使用AES加密算法请参考以下注意事项： AES算法如果采用...

7.1 使用假冒令牌 7.1.1 工作机制 7.1.2 使用假冒令牌 7.1 使用假冒令牌 使用假冒令牌可以假冒一个网络中的另一个用户进行各种操作，如提升用户权限、创建用户和组等。令牌包括登录会话的安全信息，如用户身份识别、用户组和用户权限。当一个用户登录Windows系统时，它被给定一个访问令牌作为它认证会话的一部分。例如，一个入侵用户可能需要...