Security
未读
信息安全等级保护测评(项目流程)
⭐等级保护建设五步法 定级:确定定级对象,以及相应安全防护等级,形成定级报告 备案:持定级报告和备案表,到当地公安机关网监部门进行备案 建设整改:参照信息系统当前等级要求和标准,对信息系统进行整改加固(自测评+加固) 等级测评:委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告 监
Security
未读
信息安全等级保护测评(行业引入)
等保,全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。开展等保测评最重要的原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。
Security
未读
Metasploit Framework
MSF (Metasploit Framework) Metasploit Framework(MSF)是一款开源安全漏洞检测工具。附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程,被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的M
Security
未读
渗透测试环境搭建(Windows)
🧱基础环境 Windwos 11:下载 Windows 11 WSL:适用于 Linux 的 Windows 子系统文档 | Microsoft Learn
Security
未读
逻辑漏洞 & 暴力破解
逻辑漏洞 逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。 精明的攻击者会特别注意目标应用程序采用的逻辑方式,并设法了解设计者与开发者可能做出的假设,然后考虑如何攻破这些假设,黑客在挖掘逻辑漏洞时有两个重点:业务流
Security
未读
CSRF & SSRF
🕵️CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding。 通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 区别:尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利