上周五（6月23日），全球最大的两家航空公司美国航空(AmericanAirlines)和西南航空(SouthwestAirlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台PilotCredentials遭遇了黑客入侵。此次攻击事件仅影响到了PilotCredentials的系统，对航空公司的网络或系统并未造成损害或影响。4月30日，黑客入侵了PilotCredentials的系统，窃取了飞行员申请人及飞行员学员招聘过程中提供的个人信息文件。美国航空公司表示，此次事件导致至少5745名飞行员和申请人的数据被泄露，西南航空公司报告的数据泄露总数为3009人。根据美国航空公司的

一晃眼2020年已快过去，在这一年的时间里网络安全事件频繁发生，相比去年，攻击频率、攻击流量和攻击时长都出现了大幅度增加，攻击方式也越来越复杂，让很多企业遭到一定的经济损失，所以企业一定要重视网络安全的重要性。在即将到来的2021年，日渐繁杂的互联网又会有哪些需要注意的网络安全威胁呢？今天小蚁云安全就来为大家简单说一说。1.网络钓鱼攻击网络钓鱼（Phish或Phishing）是一种正在迅速发展的欺诈形式，它通过伪造合法的Web站点来试图欺骗Web用户以盗取私人信息。通常情况下，没有疑心的用户会收到一封听上去很紧急的（并且看起来真实的）电子邮件，告诉他们现在他们的帐户出现了问题，必须要立即解决以

跨域攻击的方法介绍目录跨域攻击的方法介绍一、内网中的域林二、跨域攻击方法三、获取域信息四、利用域信任密钥跨域五、利用krbtgt哈希值跨域一、内网中的域林很多大型企业都拥有自己的内网，一般通过域林进行共享资源。根据不同职能区分的部门，从逻辑上以主域和子域进行区分，以方便统一管理。在物理层，通常使用防火墙将各个子公司及各个部门划分为不同的区域。二、跨域攻击方法1、常规渗透方法（利用web漏洞）2、哈希传递票据攻击3、利用域信任关系三、获取域信息在域中，EnterpriseAdmins组（出现在林中的根域中）的成员具有对目录林中所有域的完全控制权限。在默认情况下，该组包含林中所有域控制器上具有Ad

概述：  重入攻击是由于智能合约调用了外部不安全合约，或者对外发送以太币，使得合约的外部调用能够被劫持，导致合约内的方法被外部合约递归调用形成重入攻击有如下条件：  1、调用了外部不安全合约  2、使用了不安全的转账方式，未进行gas限制。  3、状态变量修改在合约交互之后如下为漏洞合约+攻击合约：```//SPDX-License-Identifier:MITpragmasolidity^0.8.3;contractEtherStore{//漏洞合约  receive()externalpayable{}  constructor()payable{}  mapping(address=>u

“长短令牌三验证”的JWT令牌续签策略（兼顾安全、性能、及用户状态管理的综合性方案）前言：最近研究JWT的续签机制，发现虽然JWT已经在业界广泛应用，但续签机制的探讨还是处于一种百家争鸣的状态（有些策略甚至能看出连JWT的基本规范都没学扎实）。所以不才在吸收了一圈各路大神分享的续签策略后加上一些个人的思考，提出这套名叫“长短令牌三验证”的解决策略，希望能为互联网开发生态的完善做出一点自己微薄的贡献。令牌使用策略概述名词概念：顾名思义，本机制下所使用的令牌分为长短两种：长令牌即过期时间较长的refresh_token，专门用于token的续签，同时刷新两种token；短令牌即过期时间较短的acc

前期准备准备一台Ubuntu虚拟机ubuntu20.04ubuntu20.04解压即用已安装vm-tools用户名base密码baseapt已换源克隆出另一台Ubuntu如果无法从主机复制粘贴到Ubuntu，执行以下命令并重启sudoaptinstallopen-vm-tools-desktop准备一台kali由于Ubuntu无Wireshark，所以需要在软件商店里安装Wireshark，kali自带Wireshark。Ubuntu配置telnetkali安装netwoxsudoapt-getinstallnetwox如果报错，使用sudoapt-getupdate，若还不行，使用sudoa

进行系统安全安排的专业人员非常了解“僵尸网络”一词。通常用于被劫持的计算机/系统链，如果指示恢复性和健壮的系统，则应很好地理解“僵尸网络”一词，因为它们的错误使用会导致巨大的混乱。文章目录前言一、僵尸网络定义僵尸网络如何工作？僵尸网络构建阶段僵尸网络攻击的类型僵尸网络控制模型模型#1-集中式或客户端-服务器模型模型#2-分散式或点对点模型僵尸网络示例僵尸网络的用途是什么？如何跟踪僵尸网络？如何保护您的计算机免受僵尸网络的侵害？总结前言前言，前言~~~提示：以下是本篇文章正文内容，下面案例可供参考一、僵尸网络定义根据字面定义，僵尸网络是指用于发送垃圾邮件、分发恶意软件和构图DDoS攻击等过程的枯

前言：很多时候我们需要对数据进行加密解密，比如解析token等 这个时候我们就需要对其进行数据操作，而不同平台的加密解密方法也是不一样的，这里我做一下记录。我们先来了解一下 jwt全称是JSONWEBTOKEN JWT是用于用户与服务器之间身份认证的密码。这个“密码”的作用简单来说就是一个：就是告诉服务器当前用户是谁。用户登录后，服务端根据一定的规则，生成TOKEN。后续用户在每次请求时，将TOKEN携带上一起发送给服务器。JWT一般由三部分构成分别是header、payload以及signatureheader：一般是一些固定的信息{'typ':'JWT',//声明类型'alg':'HS25

网络本身存在的安全缺陷①开放性的网络环境：Internet 的开放性，使网络变成众矢之的，可能遭受各方面的攻击；Internet的国际性使网络可能遭受本地用户或远程用户，国外用户或国内用户等的攻击；Internet的自由性没有给网络的使用者规定任何的条款，导致用户“太自由了”，自由的下载，自由的访问，自由的发布；Internet使用的傻瓜性使任何人都可以方便地访问网络，基本不需要技术，只要会移动鼠标就可以上网冲浪，这就给我们带来很多的隐患。②协议本身的缺陷：网络应用层服务的隐患：IP层通信的易欺骗性；针对ARP的欺骗性。③操作系统的漏洞：系统模型本身的缺陷；操作系统存在BUG；操作系统程序配置

流程        点击登录按钮，后端验证账号密码是否通过，如果通过则生成token，把token发送给前端，前端保存到cookie（前后端分离是不能使用保存session，因为每次发送ajax请求响应后都会断开服务器，就会导致session生命周期就销毁掉，然后再发送请求时再重新连接服务器，session已经不存在了），之后访问受限资源就需要取cookie拿到token，然后作为参数（放在请求头更安全）发送给后端，后端验证token。Jwt介绍Jwt是由三部分组成的字符串（header头部，payload载荷，signature签名）头部：用于描述关于该JWT的最基本的信息，例如其类型以及签