- 博客(153)
- 收藏
- 关注
原创 打造全自动漏洞赏金扫描工具_nuclei扫描器联动xray
建议在 Digital Ocean 或 vultr 等 VPS 系统上运行这些程序,启一个后台线程即可,建议使用tmux的后台功能这样扫描到重复漏洞会非常少的,也会更加容易获取赏金,将更多的关注新资产漏洞资产侦察 资产收集、端口扫描,去重检测,存活探测,漏洞扫描,全自动化,结果通知,全部自动化了,即使睡觉也在挖洞。
2024-08-26 15:14:29 788
原创 SQL注入漏洞利用
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。
2024-08-26 15:13:58 842
原创 Nacos漏洞总结复现
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2024-08-26 15:13:27 1236
原创 安利7个免费开源的网络监控工具(非常详细)收藏这一篇就够了
有朋友想要我安利几个免费开源的网络监控工具,今天给大家安排了7个比较常用的:Nagios Core、Zabbix、Icinga 2、OpenNMS、Prometheus、Graphite、Checkmk。在开始介绍之前,你知道为啥需要网络监控工具,或许这个问题太low了,肯定有朋友说,当然需要才用了!换句话说,网络监控工具能给我们带来啥?故障预警:网络监控工具可以实时监控网络设备的状态,一旦发现异常,就会立即发出警报,这样你就可以在问题变得严重之前及时进行处理。性能优化。
2024-08-23 10:41:03 409
原创 【网络安全入门】学习网络安全必须知道的100 个网络基础知识
链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。
2024-08-23 10:40:03 285
原创 2024年网络安全最新CTF_WP-攻防世界web题解
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
2024-08-23 10:39:03 842
原创 DDOS攻击为何永不过时?
DDOS比DOS更诡异的就是分布式,DDOS控制的僵尸电脑是全球的,有本地的,有国内的,还有国外的,很难分辨出谁真谁假,一般的中小企业的服务器根本扛不住大量的DDOS攻击,所以这也是DDOS攻击一直不过时的原因。好比如一家超市最多只能容许1万个人购物,但有一天娱乐群顶流明星坤哥来了超市,从外地带来了10万个粉丝购物,超市的工作人员肯定手忙脚乱的,丢东西算错账在所难免,超市的运营就会崩溃。启用端口过滤、IP地址过滤和应用程序缓存等功能,可以减少服务器的响应时间,降低攻击者发起的DDOS攻击的成功率。
2024-08-21 10:28:53 639
原创 程序员转行都去干嘛了?产品经理很正常,这位卖烧饼的也太强了_程序员都转行去做什么去了
程序员转行都去干嘛了?以下这些切实又不切实的选择仅供参考1.转往临近岗位,比如你讨厌的产品经理程序猿和产品经理可谓是最像夫妻的两个职位,相爱相杀,知根知底。程序员转产品经理有很大优势,因为了解产品的实现过程,所以对项目的时间把握有相当的话语权,能保证了项目的进度,对产品将来的扩展和升级都有帮助,所以程序员转过来的产品经理是很抢手的。只要多学习一些产品营销和运营方面的知识,多一点沟通能力,程序员出生的产品经理就自然而然在市场上占据很大优势。
2024-08-21 10:28:18 827
原创 2024版最新网络安全入门必备读书清单(非常详细)零基础入门到精通,收藏这一篇就够了
每年的护网行动都会招募大量网络安全技术人才,还是有偿的,待遇普遍在**1.5K/天-3K/天****,15天下来,收入也可达到2W至5W。**
2024-08-21 10:27:46 1331
原创 【Linux】解锁权限的神秘面纱,让你的系统更安全、更高效!
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…粘滞位 (t):给共享目录/tmp中的other设置了一个权限位,它既具有x权限的意义,又保证了只有文件的拥有者、root、进行sudo的用户才能删除该文件,其他人不能删除此文件。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-08-19 14:49:06 887
原创 【网络安全入门】学习网络安全必须知道的100 个网络基础知识
链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。
2024-08-19 14:48:16 730
原创 什么是CSRF?CSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
2024-08-19 14:47:25 838
原创 2024挖漏洞给报酬的网站汇总,兼职副业3天收益2k
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
2024-08-15 11:00:00 1147
原创 学计算机必参加的含金量赛事!但凡参加一个面试都要简单一倍
现在计算机相关的赛事数不胜数,但含金量较高的比赛却只有那么几项,做好了你现场就能找到工作,就算是考研也是益处很大,今天给大家总结出来。就别再折腾一些费时费力但又不讨好的比赛了。
2024-08-15 10:59:29 730
原创 【Linux】解锁权限的神秘面纱,让你的系统更安全、更高效!
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…粘滞位 (t):给共享目录/tmp中的other设置了一个权限位,它既具有x权限的意义,又保证了只有文件的拥有者、root、进行sudo的用户才能删除该文件,其他人不能删除此文件。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-08-15 10:58:58 806
原创 Web安全基础学习:任意文件下载漏洞
一些网站由于业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,攻击者就能够通过回溯符。
2024-08-13 11:21:30 915
原创 学计算机必参加的含金量赛事!但凡参加一个面试都要简单一倍
现在计算机相关的赛事数不胜数,但含金量较高的比赛却只有那么几项,做好了你现场就能找到工作,就算是考研也是益处很大,今天给大家总结出来。就别再折腾一些费时费力但又不讨好的比赛了。
2024-08-13 11:20:56 991
原创 揭秘最为知名的黑客工具之一:Nessus
Nessus 是一款广泛使用的网络漏洞扫描工具,由 Tenable Network Security 开发。它能够帮助网络管理员和安全专业人员识别网络中的安全漏洞、配置错误和潜在的安全威胁。Nessus 提供全面的漏洞检测功能,包括操作系统漏洞、应用程序漏洞、配置审计和合规性检查等。
2024-08-13 11:20:25 746
原创 大三,自学网络安全,如何找工作?
为什么今年应届毕业生找工作这么难?有时间去看看张雪峰今年为什么这么火就明白了。这么多年人才供给和需求错配的问题,在经济下行的今年,集中爆发。供给端,大学生越来越多。需求端,低端工作大家不愿去,高端岗位又太少。很多基础行业,比如机械、土木,所需要的是大量的操作工,即使 985 进厂、进工地,都得打螺丝、打灰,怎么可能没落差?全世界经济下行,各行各业的就业情况都一言难尽,就拿互联网行业来说,也是频频爆出裁员的消息。各大企业都在降本增效,用人需求急剧下滑。
2024-08-09 14:05:43 1013
原创 揭秘最为知名的黑客工具之一:Nessus
Nessus 是一款广泛使用的网络漏洞扫描工具,由 Tenable Network Security 开发。它能够帮助网络管理员和安全专业人员识别网络中的安全漏洞、配置错误和潜在的安全威胁。Nessus 提供全面的漏洞检测功能,包括操作系统漏洞、应用程序漏洞、配置审计和合规性检查等。
2024-08-09 14:05:13 1038
原创 【网络协议】精讲TCP通信原理!
前言**URG:**紧急指针标志,为1时表示紧急指针有效,为0则忽略紧急指针。**ACK:**确认序号标志,为1时表示确认号有效,为0表示报文中不含确认信息,忽略确认号字段。**PSH:**push标志,为1表示是带有push标志的数据,指示接收方在接收到该报文段以后,应尽快将这个报文段交给应用程序,而不是在缓冲区排队。**RST:**重置连接标志,用于重置由于主机崩溃或其他原因而出现错误的连接。或者用于拒绝非法的报文段和拒绝连接请求。
2024-08-09 14:04:35 1106
原创 网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。_网络安全教程
是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。与Scheme、Ruby、Perl、Tcl等动态语言一样,Python具备垃圾回收功能,能够自动管理内存使用。它经常被当作脚本语言用于处理系统管理任务和网络程序编写,然而它也非常适合完成各种高级任务。Python虚拟机本身几乎可以在所有的作业系统中运行。
2024-08-07 11:06:50 930
原创 CTF wed安全(攻防世界)练习题_ctfweb题目
phps 文件就是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,因为用 户无法直接通过 Web 浏览器看到 php 文件的来内容,所以需要用 phps 文件代替。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-08-07 11:04:54 988
原创 2024网络安全学习路线 非常详细 推荐学习_网络安全教程谁的好
关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊,学习网络安全方向通常会有哪些问题学基础花费很长时间,光语言都有几门,有些人会倒在学习 linux 系统及命令的路上,更多的人会倒在学习语言上;对于网络安全基础内容,很多人不清楚需要学到什么程度,囫囵吞枣,导致在基础上花费太多时间;
2024-08-07 11:04:23 305
原创 等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段
依据《信息系统安全等级保护基本要求》 “等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别。
2024-08-06 10:17:40 1052
原创 Window逆向基础之逆向工程介绍
以设计方法学为指导,以现代设计理论、方法、技术为基础,运用各种专业人员的工程设计经验、知识和创新思维,对已有产品进行解剖、深化和再创造。逆向工程不仅仅在计算机行业、各行各业都存在逆向工程。计算机行业逆向工程计算机行业中的逆向工程有两种分类:1、硬件逆向;2、软件逆向;软件逆向包括:系统级逆向和代码级逆向。
2024-08-06 10:17:06 1162
原创 NISP一级备考知识总结之信息安全概述、信息安全基础
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-08-06 10:16:42 533
原创 网络安全防渗透实战指南【策略、代码与最佳实践】
通过加强网络边界防护、漏洞管理、身份认证和访问控制、日志审计与监控、安全培训、入侵检测与防御、数据加密、安全开发生命周期、定期安全审计、零信任架构、威胁情报与协作以及安全事件响应和应急计划等措施,可以有效提高系统的安全性,降低渗透攻击的风险。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…利用威胁情报信息,可以提前预知潜在的攻击威胁,并采取相应的防护措施。
2024-08-02 11:14:53 992
原创 Web安全基础学习:任意文件下载漏洞
一些网站由于业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,攻击者就能够通过回溯符。
2024-08-02 11:14:14 829
原创 网络安全 HVV蓝队实战之溯源
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯源到公司,一个是溯源到个人。
2024-07-31 14:50:44 1372
原创 通俗易懂版经典的黑客入门教程
第一节、黑客的种类和行为以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》,所以他们真正的名字叫“骇客”(Cracker)而非“黑客”(Hacker),也就是我们平时经常听说的“黑客”(Cacker)和“红客”(Hacker)。无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一
2024-07-31 14:48:47 339
原创 cisp证书含金量如何网络安全渗透测试工程师主要工作是什么?前景如何?
sp,国家注册信息安全专业工作员,由中国信息安全测评中心认证,作为我国目前网络安全认证之一!cisp属于国家测评中心授予,目前遭到企业认可。CISP在大部分网络安全行业变成了应聘求职的必考的证书。在信息安全行业,有着CISP企业资质等级的比例是71.8%,是如今行业认同感最大企业资质等级。CISP执证上岗工作员过去一年薪酬上升幅度人群比例是70.8%,高于其他职业资格证执证上岗工作员6.2个百分点。CISP认同度会日益提高,一是国家对信息安全行业的高度关注与支持,二是国家信息安全行业发展的规定;
2024-07-31 14:47:55 386
原创 为什么很多人会选择学网络安全?前景如何?
网络安全”是当下十分热门的热词,受到了国家的高度重视与关注,并有关政策。在此背景之下,为了寻求新的职业发展机会,越来越多的朋友将目光聚焦于网络安全行业,那么为什么学习网络安全?网络安全课程前景如何?相信很多人都有所疑惑,接下来小编带你详细了解一下。为什么学习网络安全?NO.1:网络安全对年龄无限制,犹如老中医一样越老越吃香,在IT行业很多岗位年龄上了30岁是没有企业愿意接收的,一个是不好管理,一个是技能容易复制年龄大没有优势;唯有网络安全靠的是解决问题的能力。
2024-07-31 14:47:12 255
原创 如何提高自己的网络安全web渗透技术能力_如何提高系统安全或者网络安全
首先是Web 漏洞利用能力,这是基础。Web 漏洞利用能力即利用 Web 系统或程序的安全漏洞实施网络攻击的能力。由于 Web系统是绝大多数机构业务系统或对外服务系统的构建形式,所以 Web 漏洞利用也是最常见、最基础的网络攻击形式之一。在实战攻防演练中,蓝队常用的 Web 漏洞形式有命令执行、代码执行、解析漏洞、XSS、弱口令、文件上传、SQL 注人、逻辑漏洞、信息泄露、配置错误、反序列化、权限绕过等。基础安全工具利用能力。
2024-07-29 11:12:56 364
原创 35岁大叔零基础小白如何入门网络安全?_35学网络安全_35岁零基础适合学什么
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。薪资区间6k-15k。2.安全基础要懂,典型的密码学算法和应用,比如对称加密,非对称加密,哈希,数字签名/证书等;
2024-07-26 15:05:39 688
原创 如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-07-26 15:03:12 700
原创 Kali Linux爆破WiFi密码_kali破wifi密码百分百成功
安装。如对安装还有疑问请戳内含所有网络安全学习过程中所需要的工具及软件安装包及教程。将无线网卡连接到计算机,并将其设置为监听模式。在监听模式下,网卡可以接收和发送所有无线数据包,包括包含密码的握手包。此命令将将 wlan0 网卡置于监听模式,并将其重命名为 wlan0mon(避免与其他网络设备发生冲突).此命令将列出周围所有可用的 WiFi 网络,并显示它们的名称、信道、加密类型等信息。
2024-07-26 15:00:27 2082
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人