- 博客(54)
- 收藏
- 关注
RSS订阅原创 逻辑漏洞小结之SRC篇(值得收藏,反复看!)
最近在挖各大src,主要以逻辑漏洞为主,想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下,方便大家理解。主要从两个方面看,业务方面与漏洞方面。(接下来就从拿到网站的挖掘步骤进行逐一介绍各个逻辑漏洞)
2023-06-28 17:55:04
381
原创 护网是什么?为什么【网安人】都想参加!
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。在红队交战期间,训练有素的安全顾问会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络,或者损坏其数据。6.1、红队测试的意义评估客户对威胁行为的反应能力。通过实现预演(访问CEO电子邮件、访问客户数据等)来评估客户网络的安全态势。演示攻击者访问客户端资产的潜在路径。
2023-06-28 17:35:53
663
原创 CSDN上最最全的黑客工具软件大全(共100个)
Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance–终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。Wireshark (
2023-06-28 17:17:55
1262
原创 2023年网络安全趋势【网安人必看】
我国《数据安全法》提出“建立健全数据安全治理体系”,各地区部门均在探索和简历数据分类分级、重要数据识别与重点保护制度。数据安全治理不仅是一系列技术应用或产品,更是包括组织构建、规范制定、技术支撑等要素共同完成数据安全建设的方法论。我们要发展数字经济、就必须要把保障数据安全放在重要位置,着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
2023-06-27 14:56:46
181
原创 一个专科生的 Python 转行之路,虽然很难,但如今月薪1w,一切值得
一个专科生的 Python 转行之路,虽然很难,但如今月薪1w,一切值得相信每个转 IT 的人, 大部分是兴趣驱动。然而我并不是, 只能说是不反感。一开始接触编程, 是一位同事,他会 java ,也会一点前端。印象最深刻的一次,有一次,他自己搭建了一个网站,然后把公司的一些报表数据放到这个界面上展示出来。当时就感觉,学习编程真酷。而后不知道是在哪看到的一篇文章, 大意就是如果随便换一个人, 接手你的工作, 你觉得需要多久?这篇文章,启发了我,让我不禁思考,以后的路该何去何从?
2023-06-14 18:28:14
213
原创 和想要通过学习 Python 转行的同学聊一聊
在开始之前我想说,关于这类话题,永远会存在分歧和争论。比如有人看好互联网发展,有人说泡沫太大;有人说要做项目,有人说得多刷题;有人说要去培训班,有人说不如自学;有人说你学 Python,有人说 PHP 才是王道……纠结于选择往往会让人迷失。你所要关注的,不应是非黑即白的结论,而是这些结论背后的逻辑。结论是会随条件和环境变化,只有逻辑才是你能把握的。不论是你现在读我这篇,还是在网上去看别人的文章和观点,不要因为讲的话合你胃口就信,不喜欢听就反对。找到背后的逻辑,结合你的自身情况,去做出你自主思考后的结论。
2023-06-14 18:23:28
209
原创 和想要通过学习 Python 转行的同学聊一聊
在开始之前我想说,关于这类话题,永远会存在分歧和争论。比如有人看好互联网发展,有人说泡沫太大;有人说要做项目,有人说得多刷题;有人说要去培训班,有人说不如自学;有人说你学 Python,有人说 PHP 才是王道……纠结于选择往往会让人迷失。你所要关注的,不应是非黑即白的结论,而是这些结论背后的逻辑。结论是会随条件和环境变化,只有逻辑才是你能把握的。不论是你现在读我这篇,还是在网上去看别人的文章和观点,不要因为讲的话合你胃口就信,不喜欢听就反对。找到背后的逻辑,结合你的自身情况,去做出你自主思考后的结论。
2023-06-14 18:19:41
17
原创 Python转行的一点心得
网上有一个段子,说老板可以拼命骂80后的员工,但是不敢骂90后和00后的员工,原因是因为80后很多都是35岁以上了,有家有口,都是上有老下有小,负担很重,而且还有房贷,不敢轻易换工作,所以骂两句没有关系!年轻就是资本这句话是对的,尤其是在互联网这个行业,年轻的时候你没有家庭,时间比较多,而且体力和精力都非常充沛,学习的能力比较强,加班熬夜都是没有问题的!数据挖掘和机器学习非常类似,可以合算在一起,大概有17%的份额,但是也仅仅是数据分析岗位的一半,看来AI岗位远没有饱和!3).年轻真好,但是要有方向。
2023-06-13 22:45:04
1113
原创 一个专科生的 Python 转行之路
面试官问我带电脑了没, 掏出电脑, 也演示了这两个项目给他看, 一个是 flask 的, 也就是狗书作者 17 年写的一个博客的教程, 自己在这基础上加了点东西。如果你还是在校大学生, 我还是建议自学, 找份实习, 从基础做起, 有人带会好很多, 没事多加加班, 多向同事请教, 脸皮也厚一点, 毕竟学到了就是自己的了。七月初的时候, 我开始写简历, 看面试题。第一家面试, 清晰的记得第一家面试是在 7.11, 周三, 那天北京下着大雨, 坐了两个小时的公交, 在车上也一直在看面试题, 回顾自己写的小项目。
2023-06-13 22:41:08
105
原创 自学Python技术的方法
Python是一种高级编程语言,被广泛用于软件开发、数据分析、人工智能和科学计算等领域。它于1991年由Guido van Rossum创建,并且其简洁、易读的语法以及丰富的标准库使得它成为了初学者和专业开发人员的首选语言之一。学习Python技术可以通过以下步骤进行:学习语法和语言特性:Python有自己独特的语法和语言特性,比如缩进和代码块的使用。通过阅读官方文档、教程或参考书籍,你可以学习Python的语法规则,并掌握如何使用Python提供的各种功能和特性。你可以通过编写小型程序、解决问题或者完成练
2023-06-13 22:38:38
358
原创 越来越多企业出现网络安全问题,是什么原因导致的?
尽管有证据表明在一些全球知名的企业组织中存在价值数十亿美元的网络安全漏洞,但企业仍然没有认真对待网络安全。大公司在寻找各种理由来减少其网络安全预算,从而削减成本,而不是对其基础设施进行投资。而许多小企业更是直接忽略了网络安全所带来的威胁。
2023-06-12 09:43:35
473
原创 网络安全的学习路线是怎么样的?不同人路不同,快来对号入座吧!
最近看到网上有很多人在问诸如:“怎样成为网络安全工程师”等相关问题这可能与近几年网络安全事件频发,国家对于互联网信息安全和互联网舆情的重视程度不断提升有关,网络信息安全工程师随之成为炙手可热的职业。关于职业前景的详细分析,我们在《国内信息安全行业真的很有前途,职位空缺很大吗?》一文中已经探讨过,欢迎阅览。首先,我们来看看网络安全工程师的定义:指遵照信息安全管理体系和标准工作,防范黑客入侵并进行分析和防范,通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等。
2023-06-12 09:40:18
313
原创 如何能够系统的自学网络安全(黑客)?
1.不要试图以编程为基础的学习开始学习我在之前的回答中,我都一再强调不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,而且实际向安全过渡后可用到的关键知识并不多一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。而且学习编程只是工具不是目的,我们的目标不是成为程序员。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少2.不要把深度学习作为入门第一课。
2023-06-12 09:37:38
332
原创 大学生网络工程想走网络安全方向该怎么规划?
网络安全 是一个很广的概念,涉及的岗位也是非常多的,有安全服务、安全运维、渗透测试、web安全、安全开发、安全售前等等。可以看看下面每个岗位的要求与自身兴趣能力匹配度再决定最适合自己的方向。
2023-06-09 09:32:04
535
原创 那些漏洞挖掘高手都是怎么挖漏洞的?
说到安全就不能不说漏洞,而说到漏洞就不可避免地会说到三座大山:漏洞分析 漏洞利用 漏洞挖掘从个人的感觉上来看,这三者尽管通常水乳交融、相互依赖,但难度是不尽相同的。本文就这三者分别谈谈自己的经验和想法。
2023-06-09 09:31:18
959
原创 【自学网安必看】自学网络安全遇到的问题及解决方法!
自学网络安全很容易学着学着就迷茫了,找到源头问题,解决它就可以了,所以首先咱们聊聊,学习网络安全方向通常会有哪些问题,看到后面有惊喜哦。
2023-06-09 09:29:25
438
原创 【自学网安必看】自学网络安全遇到的问题及解决方法!
自学网络安全很容易学着学着就迷茫了,找到源头问题,解决它就可以了,所以首先咱们聊聊,学习网络安全方向通常会有哪些问题,看到后面有惊喜哦。
2023-06-07 14:05:33
104
原创 自学网络安全遇到问题怎么解决?路线是什么
自学网络安全很容易学着学着就迷茫了,找到源头问题,解决它就可以了,所以首先咱们聊聊,学习网络安全方向通常会有哪些问题,看到后面有惊喜哦。
2023-05-26 10:15:22
286
原创 网络安全的学习路线是怎么样的?
常见的linux命令也就50-60个,很多小白囫囵吞枣什么命令都学,发现记不住啊!这个学习方法也是不对的。熟悉web框架的内容,前端HTML,JS等脚本语言了解即可,后端PHP语言重点学习,切记不要按照开发的思路去学习语言,php最低要求会读懂代码即可,当然会写最好,但不是开发,但不是开发,但不是开发,重要的事情说三遍。练习差不多了,可以去SRC平台渗透真实的站点,看看是否有突破,如果涉及到需要绕过WAF的,需要针对绕WAF专门去学习,姿势也不是特别多,系统性学习学习,然后多总结经验,更上一层楼。
2023-05-26 10:07:30
349
原创 网络安全是一个好专业吗?
网络安全作为一个专业领域,在当今数字时代正变得越发重要和关键。无论是企业还是个人,面对着越来越频繁的网络威胁和攻击,网络安全领域的专业人员扮演着至关重要的角色。那么,从一个资深网安工程师的角度来看,网络安全专业的好与不好从哪些方面来衡量呢?接下来我将从就业前景、发展趋势和学习路径等方面,详细地介绍这一专业。当然,网络安全领域也存在一些挑战。例如,工作可能需要长时间的工作日和快速反应,因为安全漏洞或攻击可能随时发生。网络安全工程师还必须保持其技能和知识的最新性以保持其竞争力。
2023-05-26 10:03:57
703
1
原创 网络安全需要怎么学,看什么书?(网安工程师)?
看来是跨专业的同学,和我的经历很类似,网络安全基本上是靠自学。本科时候学的电子,研究生又学的通信,偏硬件,基本上和网络安全八竿子打不着。而我的自学经历要从高中时候,当时开始简单入门,写写辅助,搞搞注入,到现在在鹅厂当安全工程师,差不多在安全行业浸润了9年了,希望我的思考能帮助你。看什么书并不是最重要的,而是想清楚怎么才能成为你想成为的网络安全工程师。
2023-04-24 18:46:24
149
原创 该如何开始挖掘web漏洞?
渗透是一个庞大知识体系,难就难在没有方向,不知如何学习,到了某个地步停滞不前了,这边写下我个人看法web安全知识学习(理论期)web基础/渗透环境搭建/常用工具。
2023-04-21 20:14:25
426
原创 大学里的网络安全专业为什么没多少人就读?(个人经历告诉你要不要读)
选专业读大学毕业找工作,在我这毕业正式工作近一年之后,我觉得其实都没那么重要了。我本科信息安全,读书的时候就知道很多同学必然不会走网络安全这条道路,尽管国家已经把网络安全上升到国家安全层面在大力推了,但是技术储备、师资力量还是很落后的,也变相的说很有前景,确实值得考虑尝试学习这个专业。另外我们学校大一结束还有一次转专业的机会,不知道别的学校有没有,所以说如果觉得实在学不下去看不到希望可以换一个的嘛。这个专业需要很多基础知识储备,编程、网络、密码学、操作系统等我就不再继续详细列举了。
2023-04-19 16:22:21
613
原创 安全冲浪技术:从黑客保持匿名的行为中学到的经验
我们大多数人并不需要像黑客那样追求极致地匿名,但从黑客经常使用的隐私技术中学到一些东西仍然是一个好主意。虚拟专用网络和代理的使用对于保护一定程度的隐私而言很有意义。此外,设置一个更长的、更复杂的密码,也可以进一步提高用户的安全性。但是,奢求操作系统一关机就会自动删除数据,这是不现实的。经常连接到Tor网络也并非日常使用的必要条件。此外,Tor网络上的绝大多数网站都是不安全的,如果可以,建议永远不要去访问它们。
2023-04-18 15:00:37
142
原创 信息安全专业就业前景怎么样?
可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
2023-04-17 16:18:27
272
原创 入门网络安全必看
安全研发岗位,相对其他两个方向,对网络安全技术的要求要低一些(只是相对,部分产品的研发对安全技能要求并不低),甚至我见过不少公司的研发对安全一无所知。既然如此,那其他行业通用的岗位在安全行业也是存在的,前端、后端、大数据分析等等,也就是属于上面的第一个分类,与安全业务关系不大的类型。你可以把网络安全理解成电商行业、教育行业等其他行业一样,每个行业都有自己的软件研发,网络安全作为一个行业也不例外,不同的是这个行业的研发就是开发与网络安全业务相关的软件。二进制安全方向,这是安全领域两大技术方向之一。
2023-04-14 17:30:22
46
原创 黑客技术/信息安全/网络安全从零学起
从2003年开始接触黑客技术以来,看见有很多人热爱黑客技术却不知道如何下手。也曾经多次被一些初学者的誓言所打动,义务当了十余次老师,一直教到曾经海誓山盟的初学者不好意思联系我(有的甚至直接将我拉黑-_-!)为止。说实话,一直到现在,我都认为放弃可以理解,因为自学终究是一种适合于极少数人的学习方法,而且非常非常慢,在这个过程中的变数过大,稍有不慎,就会与当初的理想失之交臂。
2023-04-13 21:12:48
207
原创 网络安全需要学什么软件?网络安全软件有哪些?
在我们学习网络安全的过程中,前期的学习对于工具软件的掌握显得尤为重要。网络安全绝大多数均需要结合电脑完成,今天来跟大家分享一下网络安全需要学什么软件?网络安全软件有哪些。在学习网络安全的时候必须要学会使用相关的软件,要了解每个软件的优点和缺点,并能熟练的运用该软件。
2023-04-12 16:46:57
1705
1
原创 【网络安全】Linux基础知识全面总结
想入门Llinux,新手不知道Linux怎么入门?有这一篇就够了提示:以下是本篇文章正文内容,下面案例可供参考。
2023-04-11 15:07:30
828
原创 网络安全学习秘籍:网络基础+操作系统+中间件+数据库
工作一直忙碌,偶然翻了一下知乎,都2020年了,相关网课这么多了,还有人不知道怎么学习网络安全,不了解也就算了,竟然还有一批神仙也真敢回答,对这个行业了解各一知半解就当做这些萌新的启蒙老师了,也不怕把人家带沟里。本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
2023-04-10 17:55:03
183
原创 网络安全小白学习路线,别拜师了,求人不如求己
一味跟着视频学,在b站找了好多学习视频,但每学完一类都需要花费不少的时间,且内容很多有重复性,学完SQL注入后,后面又看到另一家讲这个SQL注入,还不错,又会去学习一遍,发现学完所有web漏洞原理后,自己还是不太确定自己是否把Web漏洞这块的知识点学全了没有,导致自己到底学没学完都不知道。我本科专业是Java,这个专业不是我喜欢的,我的高中非常叛逆,不爱读书,抱着能上就上的原则参加的高考,高考志愿也不没费心填写,都是我妈妈和姐姐商量报考的大学。分轻学习阶段的主次性,让自己的学习每一步都是在进步。
2023-04-08 12:56:25
184
原创 学习网安的四阶段?快来看看你在哪了。(看到就是赚到!)
毕业季马上又要来临了,正值金三银四的关键时期,肯定又很多同学还没有合适的offer。害怕毕业即失业。感到焦虑和弥漫,不知道该如何选择,不知道自己学习的水平到底到什么样的一个阶段了,还需要查漏补缺一些什么知识才能更好的获得一份工资高,发展空间大的工作。不要害怕,不要迷茫,你看见这篇文章就是赚到了,看了就是赚了,行动起来了就是赚大发了,别害怕,撸起袖子能力干就完事了,一定一定要向前(钱)看,前路风光无限,你也是!种一棵树最好的时间是十年前,其次是现在。大家对号入座,一起努力,需要资料的滴滴我就好。
2023-04-05 21:20:11
44
原创 网络安全行业都有哪些岗位,有你的梦中情岗位吗?
正所谓:心向往之,行必能至。很多人学习网络安全最初连网络安全是什么都没弄懂便开始了,懵懵懂懂的选择的这个专业,跟着老师或者网上教程自学,选择网络安全只是因为很多的。听身边的家人说,听亲戚朋友说,听老师学长学姐的推荐等等…听别人说,不如自己主动去了解,去辩证的看!
2023-04-03 20:46:06
161
原创 网络安全学习应从这5个方面提升。
1、学基础花费了很长的时间,光学语言都有好几门,有的人会止步于学习linux系统及命令的路上,更多的人会停在学习语言上面2、对于网络安全基础内容,很多人不清楚到底需要学到什么程度,导致在基础上花费了太多的时间;很多同学,买了HTML,PHP,数据库,计算机网络等书籍,每本还很厚,很多写得也很深,却发现越学越没自信,别人学个PHP或者数据库就可以找到工作,而网络安全要学这么多,越来越怀疑自己到底是不是选错了方向3、
2023-03-31 17:49:09
133
原创 域渗透神器Empire安装和简单使用
关于内网渗透,我们平时基本第一时间想到Metasploit,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,但是Empire就是针对内网的渗透,针对powershell,在内网渗透能用到的powershell脚本,全部集成在Empire框架中,其更是域渗透神器。网上关于其介绍的文章寥寥无几,尤其2.0版本,操作和之前的1.6版本等不管是命令啥的都有很大的区别,在网上查了很多外文文献,摸索了半天,在这里做一个笔记,和大家共同进步。然后生成一个dll载荷,生成一个powershell命令。
2023-03-30 11:27:19
285
原创 如何看待现在的网络安全行业?
1.1 薪酬最高互联网是计算机行业中薪酬最高的,而技术工程师是互联网中薪酬最高的,而安全工程师又是技术工程师中最高的。安全行业井喷式的爆发,使得每家互联网企业的安全部门成为标配并逐渐蔓延开来,而由于高校的安全专业才开始普及,安全从业人员紧缺且入门门槛较高从而导致了薪酬水涨船高。
2023-03-30 10:55:19
274
原创 web 安全之XSS漏洞
当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。当用户点击一个恶意链接,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。web服务器将注入脚本,比如一个错误信息,搜索结果等,返回到用户的浏览器上。通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行,即页面本身没有变化,但由于DOM被环境恶意修改,有客户端代码被包含进了页面,并且意外执行。第二种方法适用场景:已经挑战到一个页面了,那个页面的地址中存在一些参数,用户修改地址栏的参数。
2023-03-29 17:08:16
176
原创 Metasploit(MSF)渗透测试入门
MSF所用功能主要可分为这几个模块,每个模块都有各自的功能领域,形成了渗透测试的流程1、Auxiliary(辅助模块)为渗透测试信息搜集提供了大量的辅助模块支持2、Exploits(攻击模块)利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击,从而获得对远程目标系统访问权的代码组件。3、Payload(攻击载荷模块)攻击成功后促使靶机运行的一段植入代码4、Post (后渗透攻击模块)收集更多信息或进一步访问被利用的目标系统5、Encoders(编码模块)
2023-03-29 16:41:53
907
原创 使用MSF批量探测内网MS17-010漏洞
探测MS17-010可以先通过smb模块扫描出开放了445端口的主机,然后再使用MS17-010模块进行漏洞探测。这种方法适不仅适用于MS17-010漏洞的探测。如果默认没有链接的话可以先自己装一个postgresql数据库,然后新建一个名为msf的库,在msf中执行命令连接:db_connect postgres:[email protected]:5433/msf。首先启动数据库:service postgresql start。扫描完成后,扫描的信息会自动存入数据库,可通过hosts命令查看。
2023-03-29 15:08:11
825
原创 干货 | 6款漏扫工具来了(附工具下载链接)
北极熊是一款综合性的扫描工具,前期的信息收集我们也提到过,那里我们说它是一款爬虫工具有些片面了,也许是我经常用它来爬虫,其实它也集成了网站检测和漏洞扫描功能,只不过它得一步一步的使用,首先对目标站点进行爬虫,再将爬虫过的结果导入网站检测当中扫描,也可以根据前期信息收集情况,选择对应的选项,提高扫描效率,北极熊扫描器也可以通过网上搜索下载。,它有免费试用版和付费版,当然也可以到网上搜索下载,有经济实力的朋友可以考虑购买正版软件,下图就是Nessus的主界面,同样保存着我之前扫描过的两个站点。
2023-03-28 16:37:24
3479
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人