分类：信安 - 时空的窝

自建 HFish 蜜罐服务

HFish HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish支持基本网络服务、OA系统、CRM系统、NAS存储系统、We

后端服务 docker 信安

简介 XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。每当应用程序的新网页中包含不受信任的

信安

SSRF 1. 简介服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 1.1. 漏洞危害 SSRF可以对

信安

OWASP TOP 10 1.SQL注入将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。危害注入可以导致数据丢失或被破坏，缺乏可审计性或拒绝服务。注入漏洞

信安

2.1. 网络基础 2.1.1. 计算机通信网的组成计算机网络由通信子网和资源子网组成。其中通信子网负责数据的无差错和有序传递，其处理功能包括差错控制、流量控制、路由选择、网络互连等。其中资源子网是计算机通信的本地系统环境，包括主机、终端和应用程序等，资源子网的主要功能是用户资源配置、数据的处

信安

CSRF 1. 简介跨站请求伪造 (Cross-Site Request Forgery, CSRF)，也被称为 One Click Attack 或者 Session Riding ，通常缩写为CSRF，是一种对网站的恶意利用。尽管听起来像XSS，但它与XSS非常不同，XSS利用站点内的信任用户

信安

1. 渗透测试渗透测试是通过模拟黑客的攻击方法来评估计算机网络系统的安全问题。渗透测试的类型：选择的渗透测试类型取决于公司和组织的用途和范围，他们是否想要模拟员工、网络管理员或外部来源的攻击。通常，有三种不同类型的渗透测试：黑盒渗透测试白盒渗透测试灰盒渗透测试在黑盒渗透测试中，测试人员

信安