- 博客(1086)
- 收藏
- 关注
RSS订阅
1原创 护网入门平民化挖掘技巧分享(思路+例子)
其中0day的难度最大,这种一般有两种情况,第一种,虽然称为0day,但实际接触护网中的一些攻击队的大部分0day都是市面上未公开的poc,然而在小范围内私有的,各大厂商和一些安全公司都会有自己私有的一些poc,这种只能看公司里的资源了。还有小部分的0day即为比赛间真实打点遇到后进行挖掘到的,一般分为白盒审计和黑盒探测两种,主要区别在于有无源码。
2025-12-09 11:46:59
1328
原创 一文详解 requests 库中 json 参数和 data 参数的用法
在requests库当中,requests请求方法,当发送post/put/delete等带有请求体的请求时,有json和data2个参数可选。众所周知,http请求的请求体格式主要有以下4种:那么针对以上的请求格式,都分别使用什么参数呢?接下来一一示例说明。
2025-12-09 11:44:58
700
原创 实战为王!2025精选十五个网络安全靶场(免费/开源+内网/Web/CTF全覆盖)
在网络安全学习的漫漫征途中,实战演练是提升技能的关键一环,而靶场则为我们提供了绝佳的实践舞台。但很多小伙伴们在学习的过程中,不知道如何开始,从哪开始。那么下面由我精心盘点网络安全学习过程中必刷的 15个靶场,将对你的学习将会有很大的帮助。
2025-12-09 11:43:36
1020
原创 搞网安还有出路吗?如果有,在哪里?
新人想入行,网安还算条好路——至少比送外卖体面。老油条要是觉得天天在SOC里点告警点出腱鞘炎,是时候找新坑了。这年景别老想着跳槽翻倍薪,安全总监被裁的比白菜还多。有份工能还房贷,值班时能偷偷打两把游戏,够本了。行业黄金期都没实现财富自由,现在想靠打工发财纯属做梦。少熬夜应急响应,体检报告少两个异常指标,比啥都强。
2025-12-09 11:42:20
946
原创 看看今年网络安全就业情况有多离谱!!!
人多不怕,怕的是你跟风瞎卷,最后成了“啥都会点,啥都不精”的背景板。咱搞安全的,哪怕是天天看告警的SOC兄弟,也能往深了走——精研威胁情报、玩转攻击欺骗(Deception)、打造自动化响应链,整出点让老板心甘情愿掏预算的“安全价值”。哥们,这局是地狱难度不假,但它也是技术跃迁的传送门。能站稳脚跟的,未来3年总包没个70W+,出门都不好意思说自己是干安全的。如果你能一字不落看到这,说明啥?你比那600份简历里99%的“混子”有潜力和决心得多。还焦虑啥?去卷那些只会背面试题的!
2025-12-09 11:41:15
798
原创 Kali Linux 入门:转行网络安全必学的渗透测试系统(常用命令详解)
优先掌握:Nmap(信息收集)、Sqlmap(SQL 注入)、Burp Suite(抓包)这 3 个工具,能应对 80% 的入门级渗透场景;避免误区:别盲目学 “所有工具”,先把 1 个工具用熟(如用 1 周时间练会 Sqlmap 的 5 个常用命令),比学 10 个工具却不会用更有用。Kali Linux 的核心是 “工具 + 实战”,零基础不用背所有命令,先练会 “信息收集→漏洞利用→密码破解” 的基础流程,再逐步学进阶工具。
2025-12-08 11:16:00
594
原创 0 基础转行网络安全:3 个月入门 + 接单变现,我从行政转成安全运维的真实经历
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。:面第 3 家公司时,面试官问 “怎么查弱口令”,我直接说 “用 Burp 的 Intruder 跑字典,我在漏洞盒子接单时常用这个方法”,面试官觉得我有实战,当场就给了 offer。:《Linux 鸟哥的私房菜》前 5 章(电子版免费,重点看 “文件权限” 和 “管道命令”)。
2025-12-08 11:14:48
915
原创 聊一聊国内顶尖的五大网络安全攻防实验室
五大网络安全实验室,是多少网安技术牛马的心之向往?今天我们来聊一聊国内顶尖的五大网络安全攻防实验室。网安技术牛马的最好归的宿真是个各网安企业的攻防研究机构,只有到这里,才会有网安技术牛马应有的网络安全尊重,是绝大部分网络安全技术顶尖牛马的终极向往。
2025-12-08 11:10:32
484
原创 CSRF漏洞概述和原理【黑客渗透测试零基础入门必知必会】零基础入门到精通,收藏这篇就够了
一、什么是CSRFCSRF:(Cross-site request forgery)跨站请求伪造,也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的请求来利用受信任的网站。CSRF 是借用用户的权限完成攻击,攻击者没有拿到受害者权限受害者必须在登录状态下,没有退出并且点击了连接。
2025-12-08 11:08:42
864
原创 最高年薪突破40万!从基础网管到安全工程师,Ta用行动证明:认知就是安全边界
数据的流动看似畅通无阻,仿佛任何连接都能轻松访问,可实际上,它被一道隐形的防火墙严密守护着。这道防火墙无关设备的品牌贵贱,也不取决于证书的数量多寡,真正起决定性作用的是一个人的。安全圈常言,防不住认知以外的攻击,这绝非危言耸听,而是无数企业在攻防实战中用代价验证的铁则。认知如同一张无形的,勾画了我们能识别和抵御的威胁范围,只有重构这张蓝图,提升认知维度,才能洞察并封堵那些曾经被忽视的安全漏洞。他学的是计算机网络技术,毕业后的几年却困在一家小公司做基础网管,日常就是处理断网、重装系统。
2025-12-08 11:07:41
411
原创 云计算运维VS网络安全:2025年最值得入行的IT赛道,3个真实转行故事it职业规划告诉你如何选择好就业前景好薪资高待遇好?
云计算运维与网络安全,就像IT行业的“左右手”,一个负责“建”,一个负责“守”,缺一不可。转行成功的关键,不是选“最热门”的赛道,而是选“最能发挥你优势”的方向。我更喜欢“搭建系统”还是“破解难题”?我能否接受“7×24小时应急响应”(安全岗)或“半夜处理故障”(运维岗)?我未来想成为“技术专家”还是“管理型人才”?数字化浪潮下,机会永远留给有准备的人。无论你选择云计算运维还是网络安全,只要沉下心学技术、攒经验,都能在这场变革中找到自己的位置。
2025-12-05 10:51:16
685
原创 记一次某大学逻辑漏洞挖掘
逻辑漏洞挖掘主打一个BP抓包,看请求包和请求返回包,分析包的代码,看有没有可以利用的参数,更改参数,不断尝试,去测试所有功能点,就会有意想不到的结果。今天的逻辑漏洞测试到此为止。
2025-12-05 10:48:12
711
原创 选专业/转行,为什么我首推网络安全?除了高薪,它更能给你带来难以替代的“安全感”与“价值感”
很多小白经常会问:网络安全技术是否就等同于”黑客”技术?错错错!!!所谓的「黑客」或「渗透」技术,仅仅是网络安全领域的分支,不能代表其全貌。随着人工智能、大数据、云计算、物联网等新一代信息技术的高速发展,以及网络安全法、等保2.0等政策法规落地,网络安全的定义和范畴越来越广,从传统的 Network Security 延伸为 Cyberspace Security,即「网络空间安全」。
2025-12-05 10:42:20
765
原创 全球网络安全人才缺口达480万!零基础如何快速上车?这份入行指南请收好
云网基础设施安全国家工程研究中心技术委员会副主任委员 张侃:*实际上这个人才的短缺,体现在两个层面上,一方面是高技术高技能人才依然短缺,第二个实际上在企业运营治理过程当中,网络监控,网络运营,网络的管理人才还是大量欠缺。报告显示,2025年全球网络安全人才缺口升至480万,同比增长19%。其中,政府、学校、企业和社会缺一不可,政府提供政策支持,学校打造高速、高质量的基础素质,企业提供实战力量的环境,社会提供人才辈出的沃土,四方面共同协作,才能打造出来这么一支真正为社会所需要的层次结构齐全的人才体系。
2025-12-05 10:40:49
576
原创 28岁+大专,成功转行网络安全:过来人总结的8条避坑心法与经验
网络安全行业 “人才缺口 300 万 +、平均年薪超 25 万” 的红利,让无数职场人动了转行心思。尤其是学历普通(如大专)的群体,既面临原有岗位的天花板,又渴望通过技术转型实现薪资跃迁。但网安行业看似门槛低,实则暗藏诸多 “隐形陷阱”—— 不少人跟风学习却半途而废,或投入大量时间却无法就业。本文结合资深网安人的实战经验,整理出 8 条核心干货,帮有想转行网安这行的人精准避坑、高效上岸。
2025-12-05 10:39:45
864
原创 应急响应实战:服务器被入侵后的处置步骤(转行安全运维必备)
升级系统补丁apt update && apt upgrade -y # Ubuntu系统升级# CentOS系统:yum update -y关闭不必要端口# 查看开放端口:ss -tuln# 关闭21(FTP)、3306(MySQL,若无需公网访问)端口:# 保存iptables规则(Ubuntu):iptables-save > /etc/iptables/rules.v4安装防火墙与入侵检测工具。
2025-12-04 11:50:21
752
原创 网络安全年薪 20 - 60W 还带 16 薪?这 “黄金赛道” 传言真的能信吗?
数字化浪潮奔涌,万物互联时代加速到来。网络空间已成为国家、企业乃至个人生存发展的新基石。随之而来的,是日益严峻的安全威胁。数据泄露、勒索攻击、系统瘫痪…安全事件频发,使得网络安全的重要性被提升到前所未有的战略高度。网络安全工程师,作为守护数字世界的“守门人”,正成为人才市场上炙手可热的焦点。然而,也有观点认为,网络安全门槛过高,或担心风口过后需求回落。那么,网络安全领域是否真的高不可攀?其职业前景究竟如何?
2025-12-04 11:48:37
926
原创 网络安全术语及Web渗透流程入门普及,零基础入门到精通,收藏这一篇就够了
一.常用术语常用术语包括:脚本(asp、php、jsp):编写网站的语言html(css、js、html):超文本标记语言,解释给浏览器的静态编程语言HTTP/HTTPS协议:通讯标准,明文或密文CMS(B/S):网站内容管理系统,常见的比如Discuz、DedeCMS、Wordpress等,针对CMS漏洞进行渗透测试MD5:加密算法,得到加密后的hash值肉鸡、抓鸡、跳板:被控制的电脑称为肉鸡,控制过程叫抓鸡;如果直接攻击会暴露IP,此时通过已经拿下的电脑进行攻击,则称为跳板。
2025-12-04 11:47:21
860
原创 2025想转行?渗透测试vs网安工程师vs安全运维,应该怎么选?
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。首先,最基本的要从战略层面,构建企业安全体系,制定访问控制,数据加密,应急响应等安全策略,设计云安全,零信任等安全架构,主导等保合规,风险评估,安全培训等项目。擅长安全事件分析,(包括流量日志溯源,以及恶意代码排查),能够制定应急预案,并且组织演练,具备跨部门的沟通能力。
2025-12-04 11:45:36
736
原创 瞄准网络安全人才缺口:大学生的机遇与成长路径
全球480万的网络安全人才缺口,对大学生而言是时代机遇,也是能力挑战。院校的专业布局为学生提供了入门基础,但企业需要的不是只会背书的毕业生,而是能快速上手、解决实际问题的“实战型人才”。只有做好大学规划并不断精进自己,才能在网络安全领域走出一条“高价值、高成长”的职业道路。
2025-12-04 11:44:09
890
原创 零门槛挖漏洞:小白从0到1赚高赏金,副业月入过万实战指南
小白入门网络安全挖漏洞,无需天赋异禀,**关键在于 “持续学习 + 合法实操”。****从靶场复现第一个漏洞,到拿到第一笔赏金,再到成为专业安全人才,**每一步都能收获技能与收入的双重提升。
2025-12-03 10:39:13
323
原创 DNS劫持全解析:原理、危害与防御实战指南
前言DNS英文全称Domain Name System,中文意思是域名系统,因此DNS劫持又被称为域名劫持,属于网络攻击的一种,其危害性也是不容忽视的。那么什么是DNS劫持?怎么防止DNS劫持攻击?具体请看下文。什么是DNS劫持?DNS劫持又叫做域名劫持,指攻击者利用其他攻击手段,篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。
2025-12-03 10:37:14
347
原创 你想学的黑客攻防技术都在这里了,一篇打包带走!
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2025-12-03 10:36:20
903
原创 别问信息安全学啥?攻防、加密、防泄露,一文懂!
以信息、信息过程和信息系统的基本理论为基础,着重学习通信、编码、信息网络与系统、信息与安全保密、信息对抗等基本理论、基本原理和技术,学习在信息、信息过程和信息系统等方面进行信息安全与保密的关键技术的研究方法,典型设备、部件的分析、设计、研究、开发的方法和能力。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
2025-12-03 10:34:42
373
原创 论玩弄人性还得是黑客:我用3次红队实战,看清社会工程学的 “恐怖” 价值
去年夏天,我参与某车企的红队评估项目 —— 客户的 IT 团队信心满满,说 “我们部署了顶级 WAF 和EDR,你们肯定拿不下核心系统”。前 3 天,我们用 Nmap 扫端口、用 Xray 扫漏洞、用 MSF 试 exp,结果只找到 2 个低危漏洞,连边界服务器的 shell 都没拿到。技术负责人调侃:“要不你们认输吧,我们的防御可不是摆设。直到第 4 天,我换了个思路 —— 不再死磕技术,转而 “攻人”。
2025-12-03 10:31:36
891
原创 网络安全与黑客技术的区别:转行前必须理清的认知误区
网络安全是 “守护安全的正规职业”,黑客技术(非法)是 “破坏安全的违法行径”,两者天差地别。转行只要记住 “合法、授权、防护” 三个关键词,就能走对路。评论区说说你之前对两者的误解,帮你进一步澄清!
2025-12-02 11:07:27
1298
原创 一款可以阻止网络钓鱼诈骗的解决方案?收藏这篇就够了
你继承了一笔财富。要转账,我需要你的银行账户凭证。” 你是否也遇见过此类的电话诈骗话术。根据2022年数据泄露调查报告,25%的数据泄露涉及网络钓鱼。这是怎么发生的?参与网络钓鱼的欺诈者一般都是心理方面的高手。他们知道如何营造紧迫感,让您点击并阅读消息。很多用户掉进了他们的陷阱;他们不知道自己被骗了。对于少数意识到这一点的人来说,他们往往没有能力应对这种情况。他们经常在财产方面遭受相当大的损害,影响其组织的运营和声誉。
2025-12-02 11:05:30
1047
原创 从 Web 安全到二进制:转行网络安全的进阶方向选择
方向选择不是 “二选一”:Web 安全和二进制安全不是对立的,很多企业需要 “懂 Web 又懂二进制” 的复合型人才,比如 “Web 漏洞挖掘工程师” 懂二进制,能更好地理解底层漏洞原理;根据自身情况灵活调整:若学二进制 3 个月后,发现完全没兴趣、学不懂,不要硬撑,可退回 Web 安全领域,深耕代码审计、APP 安全等方向,同样能有好发展;长期坚持最重要。
2025-12-02 11:03:59
675
原创 2025 年 CTF 资源大全:靶场、工具、社区一站式导航
场景真实化(容器化、实战环境)、能力复合化(跨赛道工具 / 靶场)、技术前沿化(AI、云原生专属资源)。本指南基于 100 + 顶赛实践与最新社区反馈,按 “靶场练手 - 工具攻坚 - 社区成长” 三维度梳理,标注资源难度与适用阶段,避免盲目试错。建议按 “阶段目标 - 赛道需求 - 资源匹配” 逻辑使用本指南,定期更新工具版本与靶场环境,让资源真正转化为解题能力与竞赛优势。
2025-12-02 10:47:03
1017
原创 【Web安全】kali渗透工具MSF以及msfconsole命令详解,看这一篇就够了!
msfconsole简称msf是一款常见的渗透测试工具,包含了常见的漏洞利用模块和生成各种木马,方便于安全人员的使用。
2025-12-01 15:39:01
706
原创 软件测试现在搞是坑吗?真的很担心找不到工作!
这是某乎用户在发帖感叹测试找工作难得真实案例!这两年,IT行业面临经济周期波动与AI产业结构调整的双重压力,确实有很多运维与网络工程师因企业缩编或技术迭代而暂时失业。很多人都在提运维网工失业后就只能去跑滴滴送外卖了,但我想分享的是,对于运维人员来说,即便失业以后仍然有很多副业可以尝试。
2025-12-01 15:37:25
633
原创 来分析一下,平均年薪40w、学历经验不限的网络安全,这个职业到底有多吃香?
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…报告显示,北京、深圳、上海聚集了一半以上的网络安全企业,其中,由于北京网络安全企业最多,人才需求也最多,占全国的26.13%。
2025-12-01 15:35:52
1360
原创 【2025护网】面试及经验分享(非常详细),零基础入门到精通,看这一篇就够了
关于“护网“面试及经验介绍,以下是一些关键点和建议,希望能帮助你更好地准备和理解护网面试的过程。
2025-12-01 15:34:40
936
原创 Python 在网络安全中的应用:转行必备的脚本编写技能(实战案例)
—— 初期可以,但想长期发展,Python 是绕不开的 “效率神器”。广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。:“用 Python 编写批量 SQL 注入扫描脚本,基于 requests 库发送测试请求,结合正则匹配注入特征,多线程扫描 50 个 URL,效率提升 80%,成功识别 3 个存在注入漏洞的目标”;
2025-12-01 13:50:34
640
原创 【arp攻击】什么是中间人攻击,流量欺骗与流量劫持该怎么实现!
无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
2025-11-29 10:53:52
708
原创 内网渗透骚操作:20招教你突破“与世隔绝”的目标主机
今儿个,咱就来聊聊,如何在目标主机不出网的情况下,还能把它“拿下”的20种骚操作,保证让您大开眼界!广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
2025-11-29 10:51:32
732
原创 论玩弄人性还得是黑客:我用3次红队实战,看清社会工程学的 “恐怖” 价值
去年夏天,我参与某车企的红队评估项目 —— 客户的 IT 团队信心满满,说 “我们部署了顶级 WAF 和EDR,你们肯定拿不下核心系统”。前 3 天,我们用 Nmap 扫端口、用 Xray 扫漏洞、用 MSF 试 exp,结果只找到 2 个低危漏洞,连边界服务器的 shell 都没拿到。技术负责人调侃:“要不你们认输吧,我们的防御可不是摆设。直到第 4 天,我换了个思路 —— 不再死磕技术,转而 “攻人”。
2025-11-29 10:48:23
681
原创 护网中的漏洞(附学习教程)
1、访问 http://10.20.10.11/listener/cluster_manage.php :返回 “OK”.(未授权无需登录)2、访问如下链接即可获得getshell,执行成功后,生成PHP一句话马https://10.20.10.10/shterm/resources/qrcode/lbj77.php(密码10086)据说还是另外一个版本是java的:a=[“t’;import os;1.利用POC:q=0.9。2.2个历史漏洞仍然可以复现。用户名随意 密码:;
2025-11-29 10:45:50
1092
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人