普通网友-CSDN博客

原创 Struts2反序列化漏洞复现_strust2反序列化修复(1)

环境: vulhub。

2024-05-17 09:08:03 357

原创 STM32类别概述、下载程序及启动过程分析

因此，内核离开复位状态后，读取内部FLASH的 0x08000000 地址空间存储的内容，赋值给栈指针 MSP，作为栈顶地址，再读取内部 FLASH的 0x08000004 地址空间存储的内容，赋值给程序指针 PC，作为将要执行的第一条指令所在的地址。注：启动引脚的电平：0：低电平；---------------------------------------------启动模式选择表----------------------------------------------------

2024-05-17 09:07:29 406

原创 Microsoft Remote Procedure Call Runtime 远程代码执行漏洞（CVE-2022-26809）

CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因，因为攻击不需要身份验证并且可以通过网络远程执行，并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限，这取决于托管 RPC 运行时的进程。深入研究 OSF_SCALL:GetCoalescedBuffer 中的易受攻击代码，我们注意到整数溢出错误可能导致堆缓冲区溢出，其中数据被复制到太小而无法填充的缓冲区。检查新函数并深入研究它的代码，我们发现它检查整数溢出。

2024-05-17 01:22:54 291

原创 Microsoft Remote Procedure Call Runtime 远程代码执行漏洞（CVE-2022-26809）(1)

CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因，因为攻击不需要身份验证并且可以通过网络远程执行，并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限，这取决于托管 RPC 运行时的进程。深入研究 OSF_SCALL:GetCoalescedBuffer 中的易受攻击代码，我们注意到整数溢出错误可能导致堆缓冲区溢出，其中数据被复制到太小而无法填充的缓冲区。检查新函数并深入研究它的代码，我们发现它检查整数溢出。

2024-05-17 01:22:20 273

原创 MHA报错：Checking if super_read_only is defined and turned

由于MariaDB没有全局的super_read_only变量，在使用masterha_check_repl做主从状态检查或其他命令做切换的时候会抛出异常，所以需要对源代码进行修改。修改vim /usr/share/perl5/vendor_perl/MHA/SlaveUtil.pm文件，所有安装MHA的节点都要改（我这里是一个master节点两个slave节点一个manager节点）改为这一行注释起来就行了。

2024-05-17 01:21:45 373

原创 MHA报错：Checking if super_read_only is defined and turned (1)

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

2024-05-17 01:21:10 382

原创 JavaScript中本地存储的方式有哪些？

语法: window.sessionStorage.removeItem(名字)语法: window.sessionStorage.setItem(名字,值)语法: window.localStorage.setItem(名字,值)如果 sessionStorage 中有该条数据获取到的就是该条数据的值。语法: window.localStorage.getItem(名字)如果localStorage 中有这条数据拿到的就是这个条数据的值。注意: 保存的是字符串类型,取出来的也是字符串类型。

2024-05-16 19:43:28 320

原创 JavaScript中本地存储的方式有哪些？(3)

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。如果localStorage 中有这条数据拿到的就是这个条数据的值。

2024-05-16 19:42:54 400

原创 JavaScript中本地存储的方式有哪些？(2)

语法: window.sessionStorage.setItem(名字,值)如果 sessionStorage 中有该条数据获取到的就是该条数据的值。如果localStorage 中有这条数据拿到的就是这个条数据的值。如果localStorage 中没有这条数据拿到的就是 null。作用: 就是删除 sessionStorage 中的这条数据。注意: 保存的是字符串类型,取出来的也是字符串类型。作用: 就是删除localStorage中该条数据。注意: 保存的是字符串类型,取出来的也是字符串类型。

2024-05-16 19:42:20 221

原创 JavaScript中本地存储的方式有哪些？(1)

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！

2024-05-16 19:41:44 310

原创 CTF工具音频隐写神器MP3stego安装和详细使用方法_mp3stego下载

MP3stego是一个在通用的MP3音频文件中隐写的软件，对MP3进行隐写。

2024-05-16 11:20:28 422

原创 CTF工具音频隐写神器MP3stego安装和详细使用方法_mp3stego下载(1)

MP3stego是一个在通用的MP3音频文件中隐写的软件，对MP3进行隐写。

2024-05-16 11:19:54 454

原创 CTF利用大佬们的webshell拿取flag_ctf留言板获取flag

首先打开是个登录。前期信息搜集发现了几个目录而upload最为显著了，发现存在目录遍历。这里盲猜题目要求可能是需要登录后台(注入或越权)之后进行文件上传。可以看见这场比赛师傅们上传了很多东西。但唯一发现了一个zb.php无疑是个webshell。本来想把图片下载下来，看看一些大佬上传的图片马密码。但是继续往下翻，发现了点东西。密码pass一个post包直接怼过去就行了需要的话可以点击****

2024-05-16 11:19:18 269

原创 CTF入门web篇18命令执行无回显的判断方法及dnslog相关例题_ctf web题传参数后没有回显

无延时无回显有延时无回显通过是否延时来判断该条命令是否有执行，有延时则代表命令有执行。（”sleep 3”表示延时3秒）2、 HTTP请求目标机通过向公网可通信的机子发起http请求，而这个公网可通信的机子是我们可控的，则当该公网机子收到http请求就代表命令有执行。例：我们在公网机上可以通过”nc -lv 端口号”来监听该端口，当目标机”curl 公网机ip:端口号”的时候，公网机的该端口可以发现有http请求过来。（注意：ping命令不产生http请求）公网机进行8000端口监听。

2024-05-16 11:18:43 321

原创 2023网络安全现状，一个（黑客）真实的收入_黑客的收入大概是多少钱

这可能是我遇到最多的问题了，很多人问我这个问题，其实是和个人的方向有关，看你想做什么，如果是要对网站进行安全漏洞检测，就应该学会html，php，数据库等语言，如果想搞开发，可以学java，c++，python，而每种语言又有他的优点和弱点，需要通过自己的筛选进行选择性学习。外界普遍认为黑客是高收入群体，那么你想过黑客是怎么赚钱的吗？现在的黑客都转型做网络安全，实际上早期黑客研究的都是攻，而网络安全研究的是攻防兼备，这是社会发展的必然趋势，如果你还想着搞破坏，那请不要浪费时间去学这些，因为对你只有害处。

2024-05-16 02:47:52 782

原创 2023网络安全现状，一个（黑客）真实的收入_黑客的收入大概是多少钱(1)

需要完整版PDF学习资源黑帽大多数做黑产，如ddos网站，拿数据等，但是大多数黑帽黑客水平不够，占比80%左右，这部分人没有稳定收入，远远低于一万，甚至大多数是0收入，他们大多是业余爱好者，没有研究透。仅有少部分顶级黑帽年收入在百万以上，注意是少部分。简单的说，黑帽可以有很高的收入，但是风险极高，在法律边缘游走，而低收入占多数，正态分布没有白帽那样集中。

2024-05-16 02:47:17 890

原创 2023网络安全就业前景怎么样？_信息安全平均薪资多少2023

关注千锋教育知乎账号即可领取千锋教育所有的视频学习教程，包括HTML5大前端、JavaEE+分布式开发、Python全栈+人工智能、全链路UI/UE设计、云计算、全栈软件测试、大数据+人工智能、智能物联网+嵌入式、Unity游戏开发、网络安全、互联网营销、Go语言开发等学科学习资料和免费试听网课选择。1、职业寿命长：网络工程师工作的重点在于对企业信息化建设和维护，其中包含技术及管理等方面的工作，工作相对稳定，随着项目经验的不断增长和对行业背景的深入了解，会越老越吃香。【保证100%免费】

2024-05-16 02:46:43 809

原创 2023网络安全入门面试必知必会_云安全面试

通过“回车”和“换行”字符注入HTTP流，实现网站篡改、跨站脚本、劫持等。这里只写常利用的漏洞IIS:IIS6.0 PUT漏洞IIS6.0 远程代码执行漏洞IIS6.0 解析漏洞 IIS启用.net 短文件名漏洞IIS7.0/7.5 解析漏洞Apache:未知扩展名解析漏洞配合错误导致的解析漏洞、目录遍历Nginx：配置错误导致的解析漏洞、目录遍历Tomcat:配置错误导致的任意代码执行、任意文件写入漏洞。

2024-05-16 02:46:07 542

原创黑客攻击和入侵的八大常用手段，你知道几个？_黑客使用芯片攻击还是用其他工具

黑客则利用反逆向工程的方法保护自己的恶意代码。“人”这个环节在整个信息安全体系中是非常重要的，这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络或者是设备的新旧等因素不相同而有所差异。当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

2024-05-15 14:24:57 386

原创黑客技术：针对linux系统进行渗透时，使用python生成反向tcp后门_目标靶机开启反向tcp处理程序

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；这并不难吧，所以我不会一行一行的解释我写的代码，只需要了解下重要的模块就好了，现在我们编写客户端的代码吧～，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

2024-05-15 14:23:12 228

原创网络安全最新前端内容安全策略（csp），2024年最新网络安全原生开发如何深入进阶

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。

2024-05-15 05:47:08 642

原创网络安全最新到底如何保证线程安全，你真的清楚吗？（干货推荐），2024年最新2024网络安全大厂面试真题

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

2024-05-15 05:46:00 640

原创网络安全最新分享几个python接私活的好地方，阿里后台开发

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

2024-05-15 05:45:23 747

原创网络安全最全对数据安全建设的思路ing，从外包公司到今日头条offer

如今，全球都存在层出不穷得数据安全事件，而数据安全事件将会对个人、企业、行业、乃至国家造成非常严重得影响，甚至危及其安全。近几年，我国更是陆续颁布了《网络安全法》（2017年6月1日）、《数据安全法》（2021年9月1日）、《个人信息保护法》（2021年11月1日），从法律法规得层面来保障个人信息得安全，来保障及约束行业数据操作的安全和规范。更是因为近几年频繁发生的数据泄露、个人信息过度收集、个人数据保护意识和意愿的不断增强，各个行业开始不断的重视【数据安全体系】的建设。

2024-05-14 23:04:47 631

原创网络安全最全对CTF很感兴趣，应该如何入手？(1)，2024年最新从入门到深入

加入一个氛围较好的社群，有讨论才有进步跟老司机一起打比赛，增进感（ji）情（qing）也增加技术找到一个好的系统的学习资料正好，今天，由国内老牌CTF战队FlappyPig撰写的新书《CTF特训营:技术详解、解题方法与竞赛技巧》上线京东预售了，据我所知这应该是国内第一本以CTF知识为主的图书。

2024-05-14 23:04:12 1051 1

原创网络安全最全寒假学习第二天----批量刷Swagger未授权访问漏洞_swagger1，我的阿里手淘面试经历分享

【代码】网络安全最全寒假学习第二天----批量刷Swagger未授权访问漏洞_swagger1，我的阿里手淘面试经历分享。

2024-05-14 23:03:38 874

原创网络安全最全寒假学习第17天---爆刷未授权漏洞及学习网站推荐，【面试总结

我们可以用fofaviewer来导出我们需要的数据，然后导入这个工具，在点击我们需要扫描的功能，这个扫描结束会出现out.xlsx的文件，我们把存在漏洞的url，复制在下面的插件，一键打开，快速高效。这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~这里用一个工具和一个插件即可完成。

2024-05-14 23:03:02 385

原创程序员为什么要挤破头进大厂？说说那些你不知道的潜在原因_程序员头部大厂

前几年阿里在校招的时候，一直打的旗号就是阿里大学。把阿里这家公司比作了学校，我们进去不是为了赚钱，也不是为了打工，而是另外一个层面上的学习和深造。所以内网当中很多离职的小伙伴发帖都不说自己是离职，而称自己是毕业。但你仔细想一下就会发现，除去企业宣传的目的和手段之外，还真的有那么几分道理。每年都有大量的工程师从BAT离职，进入各行各业大小公司当中继续发光发热，某种程度上来说互联网产业的发展所需要的大量人才正是这些大企业提供的。

2024-05-14 14:49:33 625

原创程序员为什么要挤破头进大厂？说说那些你不知道的潜在原因_程序员头部大厂(1)

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！

2024-05-14 14:48:57 727

原创程序员一般喜欢浏览的40个网站，屯了这么多年，我就不藏私了，个人强烈推荐_国外b站浏览器(2)

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。CSDN不用多说，老牌专业 IT 技术社区，有很多厉害的开发者，当然也有很多小白，各种研究方向的都有，里面还包括着论坛，可以学习代不错的东西。在上面可以写文章，分享看法，也可以阅读学习别人分享的内容。

2024-05-14 14:48:22 459

原创程序员一般喜欢浏览的40个网站，屯了这么多年，我就不藏私了，个人强烈推荐_国外b站浏览器(1)

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！

2024-05-14 14:47:46 879

原创最新万字长文十大基本排序，一次搞定！_十大基础排序，2024年互联网大厂网络安全笔经

这篇文章，我们学习了十大基本排序，来简单总结一下。首先最简单的冒泡排序：两层循环，相邻交换；选择排序：未排序和排序两分，从未排序序列中寻找最小的元素，放在排序序列末尾；插入排序：斗地主摸牌思维，把一个元素插入到有序序列合适位置；希尔排序：插入排序plus，先把序列分割，再分别插入排序；归并排序：分治思想第一弹，先将序列切分，再在合并过程排序；快速排序：分治思想第二弹，基准数分区原序列，小的放左边，大的放右边；堆排序：选择排序plus，建立大顶堆，堆顶元素（最大值）插入序列末尾，再让新的元素上浮。计数排序。

2024-05-14 02:24:12 623

原创最新万字总结，建议收藏慢慢看！数据库安全之MongoDB渗透!，网易云的朋友给我这份339页的网络安全面经

参考下文第四点： Windows下图文详解Mongodb安装及配置3、Kali 下MongoDB安装1）导入MongoDB密钥2）创建文件======3）更新软件包数据库==========4）安装MongoDB软件包4、Kali MongoDB服务配置1）启动MongoDB服务#查看端口信息2）检查服务状态========3）停止MongoDB服务4）重启MongoDB服务5）设置允许远程连接可在远程访问该库信息。

2024-05-14 02:23:35 688

原创最新万字总结画解八大排序算法_画解算法，2024年最新这些知识点你会吗

/右找小,left < right防止升序的情况下出现越界。//当左右区间拆分到只有一个值的时候，就可以归并。//单趟排序，返回key。

2024-05-14 02:22:57 566

原创最新一文带你掌握网络安全入门的所有知识点_网络攻防入门，你所不知道的网络安全原生开发的现状

CTF简介密码学基础CTF竞赛题型。

2024-05-14 02:22:19 893

原创如果想从事网络安全方向，这条路该怎么走？_学计算机想走网络安全(1)

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。既然如此，那其他行业通用的岗位在安全行业也是存在的，前端、后端、大数据分析等等，也就是属于上面的第一个分类，与安全业务关系不大的类型。网络协议攻击、Web服务攻击、浏览器安全、漏洞攻击、逆向破解、工具开发都去接触一下，知道这是做什么的，在这个过程中去发现自己的兴趣，让自己对网络安全各种领域的技术都有一个初步的认识。

2024-05-13 18:41:24 830

原创如果保证线程安全？synchronized,ReentrantLock,Atomic使用场景_synchronized renntrantlock 应用场景举例

ReentrantLock提供了多样化的同步，比如有时间限制的同步，可以被Interrupt的同步（synchronized的同步是不能Interrupt的）等。但是还有一个问题，当前资源竞争激烈时，对于部分线程迟迟获取不到锁，这时候会出现一个锁升级的过程，且锁升级的过程是不可逆的。和上面的类似，不激烈情况下，性能比synchronized略逊，而激烈的时候，也能维持常态。在资源竞争不是很激烈的情况下，偶尔出现并发，需要同步的情形下，synchronized是很合适的。可以查看当前有多少线程再等待锁。

2024-05-13 18:40:46 723

空空如也

空空如也