- 博客(99)
- 收藏
- 关注
RSS订阅原创 网络安全渗透测试的八个步骤_网络安全渗透测试的流程和方法
4.其他端口号服务项目漏洞:各种各样21/8080(st2)/7001/22/33895.通信安全:明文传输,token在cookie中传输等。1.自动化技术验证:融合自动化技术漏洞扫描工具所提供的结论2.手工制作验证,依据公布数据进行验证3.实验验证:自己建模拟环境开展验证4.登陆猜解:有时候可以试着猜解一下登录口的账户密码等相关信息5,业务漏洞验证:若发现业务漏洞,需要进行验证1.精确化:备好上一步检测过的系统漏洞的exp,用于精确化;
2024-04-29 22:26:03
690
原创 网络安全涉及的21个热门赛道
API(应用程序编程接口)安全是保护API免受恶意攻击和滥用的安全措施。这包括身份验证和授权、加密、输入验证、防止注入攻击以及防止拒绝服务攻击。API安全对于应用程序之间的通信和数据共享至关重要。4.数据安全数据安全是一项关键任务,旨在保护数字信息资产免受未经授权的访问、披露、修改或盗窃。这包括数据加密、访问控制、数据备份和灾难恢复,以确保数据的完整性和保密性。5.云原生安全云原生安全强调将安全性嵌入到云计算平台和应用程序中。
2024-04-29 22:25:00
369
原创 网络安全涉及的21个热门赛道(2)
4.数据安全数据安全是一项关键任务,旨在保护数字信息资产免受未经授权的访问、披露、修改或盗窃。这包括数据加密、访问控制、数据备份和灾难恢复,以确保数据的完整性和保密性。5.云原生安全云原生安全强调将安全性嵌入到云计算平台和应用程序中。这包括在云环境中构建安全措施、部署和应用原生的思维,以降低云计算环境中的安全风险。6.软件供应链安全软件供应链安全涉及确保与软件开发和运维有关的供应链的可信性和安全性。这包括审查和验证软件供应链中的各个组件,以减少恶意代码或漏洞的风险。7.物联网安全。
2024-04-29 22:24:29
485
原创 网络安全流量平台_优缺点分析(1)
Zeek(原名Bro):Zeek是一个强大的网络分析框架,可以将实时网络流量转换为高度结构化的事件日志。Zeek可以识别和记录网络上的各种活动,如连接、文件传输、DNS请求等。Suricata:Suricata是一个高性能的开源入侵检测和防御系统(IDS/IPS)。它可以分析网络流量,并根据预定义的规则检测潜在的恶意行为。Arkime(原名Moloch):Arkime是一个大规模网络流量监控工具,可以捕获、索引和存储网络流量数据。它提供了一个功能强大的Web界面,用于搜索和查看网络流量数据。
2024-04-29 22:22:43
605
原创 总结一下Python的模块加载解析_python加载模块原理
把os.py的代码过一遍,我们可以发现,其实os用了abc/sys/stat这些内置模块,实现了os模块自己的函数比如makedirs(创建目录)或者拓展os.path。但是我们说一个库,通常就是上面提到的pypi_seed 或者requests这些目录组织的,通常包含多个python代码文件,也就是说复杂度更高,可以理解为‘可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。直白来说都是一种“封装”,包装,把零散的功能组合起来,就成做出一个个‘锤子’,解决各种开发遇到的问题。
2024-04-29 13:38:20
570
原创 总结一下Python兼职要点,搞副业不踩坑!
当我们熟悉原理和流程后,实现起爬虫来也就游刃有余了。当然,爬取数据的过程也不总是毫无阻碍,经常会有各种原因阻碍我们获取数据,有爬虫程序自身的问题,也有目标设置的反爬虫障碍,常见的有:机器性能受限导致效率低下APP、小程序中的数据难以获取目标网站数据由JavaScript渲染无法抓取目标返回了加密过的数据目标网站有验证码无法获取资源目标返回了脏数据,无法辨认目标检测出是爬虫封了IP目标网站必须登录才能显示。
2024-04-29 13:37:15
155
原创 总结90条写Python程序的建议!
建议22:习惯使用 with 自动关闭资源,特别是在文件读写中建议23:使用 else 子句简化循环(异常处理)建议24:遵循异常处理的几点基本原则(1)注意异常的粒度,try 块中尽量少写代码(2)谨慎使用单独的 except 语句,或 except Exception 语句,而是定位到具体异常(3)注意异常捕获的顺序,在合适的层次处理异常(4)使用更加友好的异常信息,遵守异常参数的规范建议25:避免 finally 中可能发生的陷阱建议26:深入理解 None,正确判断对象是否为空。
2024-04-29 13:36:45
652
原创 思维导图整理大厂面试高频数组25 有序数组的平方的两种双指针思想, 力扣977_有序数对思维导图
题目链接: https://leetcode-cn.com/problems/squares-of-a-sorted-array/solution/si-wei-dao-tu-zheng-li-liang-chong-shuan-e3iz/这是最直观的思路: 将数组 nums 中的数平方后直接排序, 同样因为使用了排序算法, 时间和空间复杂度都非常高.数组原本是有序的, 只是在平方之后就变得无序了, 根本原因就是负数平方之后可能成为最大数了, 那么数组平方的最大值就在数组的两端, 不是最左边就是最右边, 不
2024-04-29 13:36:14
447
原创 一文详解网络安全事件的防护与响应_移动介质管理安全事件(1)
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈。
2024-04-28 23:32:11
608
原创 一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des
进行des的加密操作 待加密对象是pt 传入所有子密钥 注意原始的key第一次是key本身 往后则需要与上一次的明文进行异或。#一轮一轮的子密钥进行解密 先用第16轮的最后第1轮的子密钥 所以这里的k是刚刚的倒序给到加密函数 因为对称密码就像当与解密。#这里之所以减1是因为在置换的时候我们是从第一位开始回推CD 但在列表中是从第0位开始的。#现在明白了 出题师傅构造的盒的位数采用的是列表中的思维 直接从0开始计数。#因为是列表的形式 所以r传入15 表示的仍为第16轮的子密钥。
2024-04-28 23:29:08
191
原创 一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des(2)
Ln=Rn-1Rn=Ln-1 ^ f(Rn-1,Kn)然后关于Kn 子密钥的加密流程:Kn = KS(n,KEY)其中KS表示一个函数 n表示轮次数 KEY表示密钥 通过KEY生成16个子密钥首先是对KEY进行排列 每8bit 删除最后一个(奇偶校验位)根据PC-1盒(8行7列)生成相应位置的数值举例一个密钥KEY: 根据PC-1盒的数值选择对应位置 比如第一个是57 则置换之后的结果的第一位就是KEY中的第57位result:前4行作为C 后四行作为D关于C和D的迭替 依靠固定的移位表此时C0 = 1
2024-04-28 23:28:37
869
原创 一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des(1)
那么如何知道我们爆破的结果是正确的呢?就需要根据CTF题目中的部分已知明文进行判断然后回到主体流程中利用密钥继续加密式子:B1B2…B8 = K + E®输出:P(S1(B1)S2(B2)…S8(B8)其中功能:32bits的输入转化为48bits输出。
2024-04-28 23:28:06
399
原创 pwn旅行之[WUSTCTF 2024]getshell2(一些小知识)_pwn ctf shell(2)
首先打开这个题目的链接的时候,看到了ret2syscall,以为是一个纯正的syscall的题,结果,做的时候发现这个题的危险函数限制的字符串个数不足以写入syscall需要的所有地址,所以,这里参考dalao们的方法,/做出了这道题,这里记录一下。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
2024-04-28 16:03:52
721
原创 PWARL CTF and others(1)
假设一个用户首次访问网站时,其UUID为"123456",当前IP为"192.168.1.100",并且数据库中没有任何与该UUID相关的记录。这里要输出flag,我们当然时不能改变flag的值,但我们没法直接读flag,我们要构建一个变量等于flag的字母,所以先输入c=flag,这样就有了。最后,将调试信息打印出来,由于这是首次记录,上一次IP为空,所以调试信息会显示当前IP为"192.168.1.100",没有上一次IP地址。这里要输出flag,我们当然时不能改变flag的值,但我们没法直接读。
2024-04-28 16:02:09
843
原创 Prompt、RAG、微调还是重新训练?选择正确的生成式 AI 的方法指南_机器学习 rag
这里不包括 “按原样使用模型” 选项,因为几乎没有任何业务用例可以有效地使用基础大模型。原封不动地使用基础大模型可以很好地用于一般搜索,但如果要做好特定的业务,则需要考虑上述选项之一。
2024-04-28 16:01:38
507
原创 Presto【基础 01】简介+架构+数据源+数据模型
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2024-04-28 16:01:06
620
原创 4 轮面试稳坐 “直通车” 顺利拿下腾讯 Offer!内附真题+简历包装,可上岸
要说前端老码农们挤破头也要进大厂,你可能见怪不怪。但看到未毕业的大学生都已经在“备考”大厂,老码农们,该醒醒了!竞争激烈,但动不动就 16薪,18薪的年终奖,更别说股票,期权和其他隐藏福利,哪个前端人能不动心?长远来看,平台大,机遇多,进大厂就是在镀金!大概率下前途皆是坦途,谁又舍得拒绝?但话说回来,狼多肉少,大厂不好进!瞧瞧大厂在职码农,哪个不是过五关,斩六将,全凭一身武功?总归实力最重要!有需要的朋友可以看文末获取。
2024-04-28 02:51:09
143
原创 4 轮面试稳坐 “直通车” 顺利拿下腾讯 Offer!内附真题+简历包装,可上岸(2)
竞争激烈,但动不动就 16薪,18薪的年终奖,更别说股票,期权和其他隐藏福利,哪个前端人能不动心?长远来看,平台大,机遇多,进大厂就是在镀金!大概率下前途皆是坦途,谁又舍得拒绝?但话说回来,狼多肉少,大厂不好进!瞧瞧大厂在职码农,哪个不是过五关,斩六将,全凭一身武功?总归实力最重要!有需要的朋友可以看文末获取。
2024-04-28 02:50:39
129
原创 4 轮面试稳坐 “直通车” 顺利拿下腾讯 Offer!内附真题+简历包装,可上岸(1)
竞争激烈,但动不动就 16薪,18薪的年终奖,更别说股票,期权和其他隐藏福利,哪个前端人能不动心?长远来看,平台大,机遇多,进大厂就是在镀金!大概率下前途皆是坦途,谁又舍得拒绝?但话说回来,狼多肉少,大厂不好进!瞧瞧大厂在职码农,哪个不是过五关,斩六将,全凭一身武功?总归实力最重要!有需要的朋友可以看文末获取。
2024-04-28 02:50:08
575
原创 黑客技术:针对linux系统进行渗透时,使用python生成反向tcp后门_目标靶机开启反向tcp处理程序
更多Python视频、源码、资料加群683380553免费获取之前已经叙述过,作为攻击者,我们不能直接连接受害服务器,这样可能会触发杀毒软件,或者我们会被禁止连接。但是受害机器连接到服务端,然后再发送指令,这样就可以很大几率绕过防火墙。我们第一步先初始化sockets模块,以及处理反向连接。导入相关数据包通过sys.argv模块接收套接字端口信息设置套接字,绑定套接字,侦听套接字端口,等待连接如果有人访问,脚本会输出一串消息。脚本一直处于无限循环当中,等待发送命令,以及接收命令回显。
2024-04-27 21:57:49
764
原创 黑客技术:针对linux系统进行渗透时,使用python生成反向tcp后门_目标靶机开启反向tcp处理程序(1)
今天的文章中,我们会通过python开发反向tcp后门。接下来几篇文章中我还会继续介绍如何使用python编写其他模块的后门。现在我们将要编写三个程序块:连接,发送指令,接收输出.让我们开始吧~更多Python视频、源码、资料加群683380553免费获取之前已经叙述过,作为攻击者,我们不能直接连接受害服务器,这样可能会触发杀毒软件,或者我们会被禁止连接。但是受害机器连接到服务端,然后再发送指令,这样就可以很大几率绕过防火墙。我们第一步先初始化sockets模块,以及处理反向连接。导入相关数据包。
2024-04-27 21:57:18
762
原创 黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)
最后的or '1闭合查询语句的最后的单引号,或者:id=1’ union select 1,2,'3使用like 、rlike 、regexp 或者 使用< 或者 >(1)使用注释符绕过常用注释符://,-- , /**/, #, --+, – -, ;,%00,–a用法:U// NION // SE// LECT //user,pwd from user(2)使用大小写绕过id=-1’UnIoN/**/SeLeCT(3)内联注释绕过id=-1’/!UnIoN/ SeLeCT 1,2,concat(/!ta
2024-04-27 21:56:16
980
原创 黑客学习——从0开始
言归正传,DOS命令,是黑客的基础,因为绝大多数情况,我们不能直接操作目标,拿到对方的shell,不会操作,那一点用处也没有。而且,如果熟悉了DOS命令后,操作的速度,会比图形界面更加快速。每一项的成因,原理,攻击方法,防御方法。有了一门语言的基础,作为一名黑客,还必须能读懂其他语言,比如:php、java等。攻和守,是互相进步的。了解计算机通信的协议,知道设备之间通信的原理,这是渗透的第一步。这个很好理解,大多数数据都存放在数据库,如果你找到了数据库的漏洞,获得了操作权限,但是不会操作,那也没有用。
2024-04-27 21:54:33
649
原创 常见web攻击方法及防御手段总结_通过以下哪种web攻击可以获得session id
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。原因: 由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户。用某种手段得到用户session ID,从而冒充用户进行请求。因篇幅有限,仅展示部分资料。
2024-04-27 14:07:45
838
原创 带你从零学大数据系列之Java篇---第十三章 字符串
任何的修改字符串的操作, 都不会对所修改的字符串造成任何的影响。所有的对字符串的修改操作, 其实都是实例化了新的字符串对象。在这个新的字符串中, 存储了修改之后的结果。并将这个新的字符串以返回值的形式返回。所以, 如果需要得到对一个字符串修改之后的结果, 需要接收方法的返回值。字符串中的内容, 用双引号括起来。在双引号中, 字符的数量不限制, 可以是0个, 可以是1个, 也可以是多个。但是字符串的引用, 和之前在面向对象部分的引用有一点差别。**差别:**类的对象, 是在堆上开辟的空间。
2024-04-27 14:05:27
751
原创 工控安全 西门子S7-300攻击分析_plc300漏洞
一、概述随着等保2.0的普及,工控安全大家也越来越重视,研究工控安全的小伙伴也越来越多。工控安全主要包括工控设备私有协议的安全分析,工控设备固件系统安全以及工控设备应用程序安全等。西门子PLC广泛应用于工业控制系统,本文主要描述西门子PLC系列S7-300的攻击过程与思路,并介绍演示一些适合小伙伴们学习的工控工具和框架。如有错误之处,欢迎指正,共同学习进步。
2024-04-27 14:04:26
976
原创 一文带你了解——安服岗和渗透岗的区别_安服转渗透容易吗
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈。
2024-04-27 02:29:08
796
原创 【DO-178B阅读笔记】第一章、简介_飞航安全软件文件do-178b(2)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!93道网络安全面试题内容实在太多,不一一截图了。
2024-04-27 00:18:25
740
原创 W12Scan:一款功能强大的网络安全资产扫描引擎(1)
cd w12scan环境搭建完成后,我们可以直接在浏览器中访问地址:http://127.0.0.1:8000。默认账号和密码均为:boyhack。
2024-04-26 22:41:05
811
原创 Python-字节总结(bytes、bytearray、方法、内置函数、模块
虽然 bytes 字面值和表示法是基于 ASCII 文本的,但 bytes 对象的行为实际上更像是不可变的整数序列,序列中的每个值的大小被限制为。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。此bytes类方法返回一个解码给定字符串的 bytes 对象。的二进制值必须使用相应的转义序列形式加入 bytes 字面值。将字节串解读为打包的二进制数据,读过一些协议相关的部分代码,里面就有这个。表示 bytes 字面值的语法与字符串字面值的大致相同,只是添加了一个。前缀来禁用转义序列处理。
2024-04-26 20:44:09
292
原创 Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证(1)
从 Kerberos 服务器上拷贝到目标机器 或 找运维人员要一份。
2024-04-26 19:29:16
98
原创 GVRP、VCMP、VTP、DTP——全网最完整的总结_gvrp实验结论
在配置过程中,一定要在全局开启GVRP,再在接口开启,否则学习不到。转载于:51CTO。
2024-04-26 17:21:16
869
原创 gophish搭建教程及演示
成功启动后,在命令行输出的初始账户密码可以用来登录控制台:4.然后,访问 https://your-ip:3333/ 即可登录管理后台(注意使用https协议):首次登录会强制你修改密码,要求八位以上字符,接下来就可以尽情操作了。
2024-04-26 17:20:12
610
原创 GoEXP WANTED 3_1angx"; 信息安全
秋风萧瑟天渐凉,草木摇落露为霜。寒意渐浓时,GoEXP 点燃岁末的“薪”火,开启虎年最后一期 EXP 收录计划,钱包鼓鼓的,心里才能暖暖的!
2024-04-26 17:19:41
673
原创 Goby 漏洞发布| 亿赛通电子文档安全管理系统 LinkFilterService 接口权限绕过漏洞_linkfilterservice绕过登陆
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全。
2024-04-26 17:19:10
399
原创 C++之string的底层简单实现!(七千字长文详解)_c,2024年最新Golang开发基础课程
x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)]2 . 第二种循环的问题就是和上面的一样一旦遇到pos = 0 的位置的时候就会进入死循环!解决的方法也是一样的!4 . 然后是strcpy,因为拷贝的过程中将\0也一起拷贝进去了,所以一旦打印出结果就只有插入的值,而插入后面的值都无法显示!
2024-04-21 21:34:44
540
2
原创 C++之string的底层简单实现!(七千字长文详解)_c(1),面试一路绿灯Offer拿到手软
if (i == 127)//留一个用来存放\0 如果i == 128的话!因为+=的底层是append,append是调用strcpy来实现的!//要加pos是因为从pos的位置开始找的!//如果不加上这个的话会把后面原本的值都拷进去!//但是不能二倍扩容!//插入单个的字符,逻辑是根Push_Back是一样的!}//当len不传值的时候,和len大于剩下空间的时候!//用来清空str保留的数据!//这是\0的位置!//strcpy已经吧\0都拷贝到_str里面了。//插入一个字符串,也要进行扩容!
2024-04-21 21:34:14
675
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人