猫宁!!! 参考链接:https://mp.weixin.qq.com/s/cl4TfOodBGSjUuEU8e0rGA 对方公众号:caoz的梦呓 前天在新加坡IC咖啡做了一场关于信息安全的常识普及分享,主要是一些基本概念的澄清,以及对信息安全入门级别的了解. 我不是信息安全技术高手,很多很实际的技术细节可能不够了解,所以如果有一些概念错误或其他误导,也请技术高手指正 先说一些错误的概念 1.对于企业而言,信息安全是技术人员的工作. 错误,普通员工如果不注重安全很容易被突破. 内网安全往往是由…

猫宁!!! 参考链接:https://mp.weixin.qq.com/s/gCWjzHBRfbPFhNeg2VtFhA https://mp.weixin.qq.com/s/bmifCmD2CHV177FSMFs0oQ 对方公众号:caoz的梦呓 在IC咖啡分享会的时候,有人问到了这个问题,关于创业公司,在资金和技术短缺的情况下,如何做好信息安全呢? 这真是个好问题,我觉得有必要单开一篇. 很抱歉的是,其实在这个领域我自己做的也不够好,甚至可以说劣迹斑斑,好多次都是靠朋友帮忙才躲过一劫.所以,…

猫宁!!! 参考链接:https://mp.weixin.qq.com/s/z6UI-tdhN1CGdqQQuglLVQ 对方公众号:caoz的梦呓 我之前写微博的时候,经常就有读者反馈说,你怎么用360浏览器啊,你不知道360流氓么. 当然,我并不是要给360做广告,但我应该用什么呢?360只是一种选择而已,未必是最好的,确是成本最低的.很多人说,甚至一些程序员说,高手都不用安全软件的,我不知道这是怎样的高手? 到今天,还有人坚持认为,只要不乱点链接,不打开奇怪的附件,不上奇怪的网站,电脑就不…

猫宁!!! 参考链接:https://mp.weixin.qq.com/s/O0zLvuWPRPIeqnRooNEFYA 旧文我提过一句话,信息安全防御这事,在业内,三分靠技术,七分靠人脉. 在知识星球提及的时候,就有人觉得,看来还是黑客牛逼,安全从业者只能靠人脉才能防御. 当然,还有一种观点也很常见,我公司请个厉害的黑客来做运维安全,就万无一失了. 这两个观点说的是一回事,然而很遗憾,这是错的. 1.攻击与防御是非对称的 攻击只需要一个点,而防御是全面性的. 攻击者只要一招鲜,就可以有辉煌的战…

猫宁!!! 参考链接:https://mp.weixin.qq.com/s/kj9crZIIrS_8IzuYzukydw 很多年轻人,初入职场,确实背景资历不够强,眼界阅历也不够,有时候稀里糊涂就误入歧途了. 这几年新经济全线溃败,幺蛾子的玩意出来不少,各种资金盘游戏,传销,涉赌棋牌,数据隐私贩卖,以及涉嫌欺诈等等,而我们知道,政府对各种灰黑产的打击力度也在加大,经常听到新闻,某某大厦某层楼的某个企业被警察连锅端,几十口人全都被带走调查. 很多人有种侥幸心态,我只是个打工的,我拿工资干活而已.那…

猫宁!!! 参考链接:https://mp.weixin.qq.com/s/UzSyrhe0Vck7ItN-XU6JEg 很多创业者说,要建立怎样一个平台,要打破信息不对称,大部分时候,我都会泼冷水,我以前说过,互联网有两大幻觉,其中一条就是可以打破信息不对称. 为什么信息不对称是抹不平的?因为认知不对称. 什么是认知,人们获取信息,以及对信息加工和吸纳的过程. 认知不对称,就会导致说,同样的信息,不同的人,所产生的感知,判断,截然不同. 我们简单说说,认知不对称,所导致的一些差异. 1.如何甄…

零.绪论:mimikatz简介 mimikatz是一款出色的内网渗透工具,可以抓取windows主机的明文密码.NTLMhash值或者kerberos对应的缓存凭据.mimikatz的使用在获取权限后可以上传到目标主机上,或者在msf上直接加载. Mimikatz Commands ================= Command Description ------- ----------- kerberos Attempt to retrieve kerberos creds livess…

第三题猜猜这是经过了多少次加密?分值: 200 加密后的字符串为:一大串 字符串最后面是= 所以是base64.b64decode编码究竟为啥有=就是base64咱也不知道 咱也不敢问咋解密也是从网上随便搜来的我也不会 代码如下 import base64 code = 'Vm0wd2QyUXlVWGxWV0d4V1YwZDRWMVl3WkRSV01WbDNXa1JTVjAxV2JETlhhMUpUVmpBeFYySkVUbGhoTVVwVVZtcEJlRll5U2tWVWJHaG9UVlZ3V…

上传关 [1]查看源代码,发现JS代码.提交时onclick进行过验证.ctrl+shift+i 打开开发者工具,将conclick修改为 return True,即可以上传上传php文件,拿到KEY key is IKHJL9786#$%^&[2]查看源代码,发现JS文件.发现是经过服务器端验证.伪造一张jpg图片进行上传,利用burp截断,将文件名改为PHP就拿到key key is 76tyuhjsdvytig#$%^&[3]查看源代码,发现JS代码. var filename=do…

题目见i春秋ctf训练营 看到fast,就想抓个包看看,以前有道题是打开链接直接来了个跳转,当然这题不是 查看返回包,发现一个好东西 拿去base64解码看看 感觉给出的字符串能继续解码,果然解码后得到一串数字 根据提示要把这串数字以post方式提交,变量名为ichunqiu 看到返回的是fast!!!,看来我的手速是满足不了ichunqiu了,那就上py跑 这里有个贼坑爹的事,一开始用py3写的代码死活跑不出来,看了wp,同样原理的py2.7的代码却运行自如 我先贴一下我的py3: impor…