权限提升 权限提升实验 从内存中提取明文凭据 从 Windows 凭据管理器和浏览器获取密码 从 OSX 获取本地凭证和信息 权限提升 从普通用户到高权限帐户有很多不同的方式。 未被引用服务路径: 这是一个相当简单和常见的漏洞，其中服务可执行路径没有被引号括起来。这是很容易被利用的，因为如果路径周围没有引号，我们就会利用当前服务。假设我...

14.6. 其他安全相关事项 14.6.1. 网页应用程序的内在风险 14.6.2. 知道预期什么 14.6.3. 明智地选择软件 14.6.4. 将机器作为整体管理 14.6.5. 用户是参与者 14.6.6. 物理安全 14.6.7. 法律责任 14.6. 其他安全相关事项 Security is not just a techni...

7.3. 威胁情报 7.3.1. 简介 7.3.2. 相关概念 7.3.2.1. 资产(Asset) 7.3.2.2. 威胁(Threat) 7.3.2.3. 脆弱性 / 漏洞(Vulnerability) 7.3.2.4. 风险(Risk) 7.3.2.5. 安全事件(Event) 7.3.3. 情报来源 7.3. 威胁情报 7...

csrf csrf 框架默认开启对非本站域名post数据的检查，只要是非本站域post名过来的数据都返回403，可在配置中修改过滤选项 'CHECK_CSRF' => 1 , //检查csrf跨站攻击 0、不检查，1、只检查post数据提交方式，2、get/post都检查 默认只检查post 当然这只是最基本过滤，最好是使用表...

powershell(10)-混淆 实例 工具 Invoke-Obfuscation Empire powershell(10)-混淆 Powershell的混淆目前已经使用的越来越多，国内外也有了较多的研究，在今年的BH大会上也有对应的议题，关注点是反混淆，那么里面的一些姿势很值得我们学习，我们提供一些混淆实例，来让大家对于PS的混淆做到...

Django 1.4.21 版本发行说明 通过填充会话存储可能导致拒绝服务攻击。 由于验证器接受换行符输入，可能导致头部注入。 Django 1.4.21 版本发行说明 2015 年 7 月 8 日 Django 1.4.21 修复了 1.4.20 中的若干安全问题。 通过填充会话存储可能导致拒绝服务攻击。 在以前版本的 Django 中，会...

实施防篡改技术 详细描述 建议 参考 CWE/OWASP 实施防篡改技术 详细描述 攻击者可以在应用上篡改或安装后门，重新签名并将恶意版本发布到第三方应用市场。 这种攻击通常针对流行的应用程序和金融应用程序。 建议 采用防篡改和篡改检测技术来防止非法应用程序执行。 使用校验和，数字签名和其他验证机制来帮助检测文件篡改。 当攻击者试...

85. 优先选择 Java 序列化的替代方案 85. 优先选择 Java 序列化的替代方案 　　当序列化在 1997 年添加到 Java 中时，它被认为有一定的风险。这种方法曾在研究语言（Modula-3）中尝试过，但从未在生产语言中使用过。虽然程序员不费什么力气就能实现分布式对象，这一点很吸引人，但代价也不小，如：不可见的构造函数、API 与实现之...

飞桨框架ROCm版支持模型 图像分类 目标检测 更多分类 模型套件 飞桨框架ROCm版支持模型 目前Paddle ROCm版基于海光CPU(X86)和DCU支持以下模型的单机单卡/单机多卡的训练与推理。 图像分类 模型 领域 模型readme 编程范式 训练单机多卡支持 训练多机多卡支持 推理支持 ResNet50 图像分类 模型链接 ...

Spring框架的新功能 Spring FrameWork 5.0新的功能 JDK 8+和Java EE7+以上版本 整个框架的代码基于java8 核心特性 核心容器 SpringWebFlux 测试方面的改进 Spring框架的新功能 这一章主要提供Spring框架新的功能和变更。 升级到新版本的框架可以参考。Spr...