- 博客(1595)
- 收藏
- 关注
RSS订阅原创 进攻即是最好的防御!19个练习黑客技术的在线网站
进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!若有其他的补充和推荐,欢迎给小编留言(排名不分先后)免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。
2025-11-10 10:53:13
171
原创 手把手带你了解SRC漏洞挖掘思路手法(非常详细)网络安全零基础入门到精通,收藏这一篇就够了!
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。
2025-11-08 11:01:46
574
原创 什么是护网行动?护网行动基本介绍
什么护网行动护网经验分享攻防入侵路径红队攻击方式蓝队防守极端防守策略积极防守策略防守工作内容资产梳理渗透概述中期防守趣事分享模拟黑客攻击手法,对重要业务系统进行非破坏性的漏洞检测和攻击测试,查找应用代码层面存在的漏洞。渗透测试的内容,包括配置管理、身份鉴别、认证授权、会话管理、 输入验证、错误处理、业务逻辑等方面的漏洞。忽视点:所有内部文档服务上敏感信息清理或限制访问权限(网络 拓扑、安全防护方案和部署位置、密码文件)。
2025-11-08 10:57:16
611
原创 干货!12 个覆盖网络安全的程序员高含金量证书:从零基础到精通,收藏这篇就够了!
近来IT行业成为了发展前景好高薪资的大热门,越来越多的人选择参加各种各样的计算机考试,就是为了拿含金量高的证书,提升自己的职场竞争力。那么程序员有哪些含金量高的证书可以考?下面小编将详细介绍一下含金量高的IT证书,避免大家在不需要的考试上浪费时间。01软考。
2025-11-08 10:23:09
674
原创 学会技术去哪练习?15大必备靶场推荐
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像放入即可使用,开箱即用,可用于漏洞复现POC 验证、EXP 验证等,它由白帽汇推出,本质上是一个漏洞靶场。玄机靶场是专业网络安全实战平台,具备多样化攻击场景与海量题库,覆盖渗透测试、应急响应、CTF竞赛等核心领域,适配不同基础学习者进行实战训练,推动网络安全技能提升。春秋云镜聚焦实战应用的网络安全攻防对抗训练平台,提供丰富多样的漏洞场景与实验环境,助力用户培养网络攻防技能及实战应对能力。是一个聚焦于网络安全领域的在线模拟攻防实训平台。
2025-11-07 09:45:32
936
原创 【2025最新】小白如何自学网络安全,零基础入门到精通,看这一篇就够了!
php 框架,需要掌握基本知识,包括:核心 php 语法、函数和类、oop概念、数据库交互、restful 架构、数据结构、算法和数据结构复杂度分析,以及软件开发工具(如 git、ide、cli)。在网络安全领域,了解HTML(超文本标记语言)的目的主要是因为HTML是构建网页内容的基础,而网页是网络活动的中心。安全测试:在进行网站渗透测试或者安全评估时,对HTML的了解是基础,可以帮助模拟攻击者可能采取的手段。创建修改Cookie(存储浏览器上的临时信息)比如我们访问过的网址,保存的用户名信息等。
2025-11-07 09:41:55
1118
原创 CTF逆向工程简单介绍以及解题通用思路入门
景区扮野人、零食试吃员、墓地保洁员…行行有机会,各业有变革。现在的高薪职业不再只是传统意义上的医生、律师和程序员…这些职业往往需要,工资因人才缺口巨大而水涨船高,正成为职场新蓝海。今天,就为大家盘点随着低空经济被列入国家战略,低空技术与工程专业成为2025年最受关注的新专业之一。:负责低空飞行器设计、低空导航与控制、低空空管与运维等关键技术研发。,无人机飞行技术工程师、低空飞行器设计师月网络安全领域正在经历前所未有的爆发期。:负责网络安全防护、渗透测试、云安全架构设计等工作。
2025-11-07 09:40:01
690
原创 2025 网络安全就业指南:从零基础到年薪 50W 的突围路径!
网络安全不是 “黑客传说”,而是一个充满机会的朝阳行业。它不需要你天生是 “技术天才”,但需要持续学习的耐心和解决问题的韧性。2025 年,当你还在纠结传统 IT 岗位的激烈竞争时,已有一批人通过网络安全实现了薪资翻倍。
2025-11-06 09:55:36
784
原创 安全副业指南:漏洞挖掘 / 技术博客 / 竞赛奖金实战
第 1-2 个月(起步期)平台:CSDN;内容:每周更新 2 篇 “DVWA 漏洞复现”(如《DVWA SQL 注入 Low 到 High 等级绕过》),标题含 “实战”“步骤” 关键词;数据:粉丝 1200,广告分成 380 元;关键:每篇文章附 “操作截图 + 命令行代码”,读者可直接复用。第 3-4 个月(增长期)平台:CSDN + 知乎;内容:推出付费专栏《CTF 入门实战:Web+Misc 篇》(定价 19.9 元),同步在知乎写《2025 CTF 比赛汇总(含报名方式)》;
2025-11-06 09:38:25
769
原创 神秘的HW到底是做什么的?一文带你了解攻防演练
国家级攻防演练从2016年开始,已经走过了6个年头,它是由公安部组织的,这个网络安全攻防演练集结了国家顶级的攻防力量,以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,可以全面评估目标所在网络的整体安全防护能力,检验防守方安全监测、防护和应急响应机制及措施的有效性,锻炼应急响应队伍提升安全事件处置的能力。攻防演练主要目标涵盖国家重要行业的关键信息基础设施、每年覆盖行业、单位、系统都在逐渐扩大。这个攻防演练时间一般持续2到3周。
2025-11-06 09:34:02
720
原创 2025 网安副业入门:5 个低门槛方向,零基础也能接的第一单
很多新手卡在 “等技术学好再接单”,但其实 “边接单边学” 进步更快 —— 比如接安全文档单时,会主动查等保法规;接体检单时,会熟练用 Nmap。我身边有个新手,从 “安全文档编写” 开始,3 个月后能接 “小企业安全体检” 单,现在每月副业收入稳定在 3000+。如果你是学生党,建议先从 “漏洞提交”“文档编写” 开始;如果你有基础编程能力,试试 “脚本开发”。遇到问题别慌,评论区留言,我会帮你解答!
2025-11-05 11:50:26
242
原创 2025年计算机专业就业现状,不想35岁被淘汰?网络安全或许是程序员的最佳转型方向!
计算机专业虽进入分化阶段,但网络安全人才缺口达300万,高端领域供不应求。高校扩招与市场需求脱节导致供需失衡,未来"计算机+行业"的复合型人才更具竞争力。建议早做规划,构建"T型能力体系",掌握前沿技能,选择适合的发展方向,避免中年危机。网络安全与AI成黄金赛道,具备高薪资和稳定性优势。
2025-11-05 11:24:36
302
原创 【网络安全】CTF逆向Reverse入门
ollydbg,简称OD已经蛮久没有更新了,而且OD主要支持32位的PE文件调试和分析;所以这里我比较推荐使用Xdbg,Xdbg经常更新,还有自动中文汉化。顺便讲下简单使用:随便拖入一个可执行文件,这可以看到四个窗口;左上角的反汇编窗口,这里显示是我们要分析的程序的反汇编代码:截取一行讲解00007FFA5A3C076A | 55 | push rbp | 看这里!!!
2025-11-05 11:22:49
1078
原创 2025年计算机专业就业现状,26届以后的考生还能学计算机吗?
2025年,某头部科技公司公布的招聘数据显示,AI算法工程师的起薪中位数达到40万元/年,部分核心岗位年薪甚至突破百万。张老师依据考生成长曲线,独家推出“3+4”(即三年高中四年大学)指导模式,统筹学业规划、职业规划、人生成长(心态、视野、三观)青春成长三大要素,一体化一站式跟踪指导,以高考为基点,以就业为导向,跟踪指导高三大学人生成长关键期全过程。大数据:就业集中在互联网(用户行为分析)、金融(风控)、零售(精准营销),岗位包括数据分析师(偏业务)、数据工程师(偏工程),薪资约10-20k/月(本科)。
2025-11-04 13:54:50
811
原创 初级黑客必看的技术—什么是中间人攻击,流量欺骗与流量劫持该怎么实现!
无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
2025-11-04 11:53:17
592
原创 Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂_网络安全逆向
那么说到这我们更通俗的来表达一下,正向就像工厂生产一个产品,而逆向了就像你小时候败家的样子,总喜欢把一些玩具或者电子电器拆开研究一下他里面有啥,他是怎么运行的,当然绝大多数情况下,你一定挨了不少骂,说不定还逃脱不了一顿打,但是用我常讲的话来说攻击即防御,先正向后逆向,你得明白正向的过程,你才可能站在逆向的脚度去考虑程序的设计结构,或者我们说得有逆向思维,又或者讲为反推。
2025-11-04 11:49:21
754
原创 【网络安全】关于简单程序的简单逆向分析,零基础入门到精通教程!
本博文以两道题目为例,初步体验通过对程序的逆向分析来增强自身对代码的理解和运用,提高编译和汇编能力。
2025-11-03 11:12:53
1001
原创 Win10/11系统关闭Windows安全中心(Microsoft Defender)实时防护的4种方法介绍
定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender,新建一个 DWORD 项,命名为 DisableAntiSpyware ,双击该项后值设 0 为开启,1 为关闭 Windows 安全中心。Windows 安全中心(Microsoft Defender)可能会误拦截这些软件的安装,特别是一些激活补丁,直接误删。的侵害,但在某些特定情况下,比如安装信任的软件时,这种行为可能显得不够人性化,经常出现误拦截。
2025-11-03 11:11:07
656
原创 黑客必备渗透神器BurpSuite基础教程,手把手教你如何渗透一个网站!
因为这个kali系统里面都是自带的,我这里就不讲安装方法了BurpSuite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。BurpSuite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。BurpSuite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。BurpSuite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。
2025-11-03 11:02:38
628
原创 log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式。如何排查是否受到了攻击?检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。如何对log4j2的攻击进行防御?1.设置log4j2.formatMsgNoLookups=True。
2025-10-31 11:37:06
1077
原创 公司为什么能监控你的HTTPS上网内容?白帽黑客带你拆解背后的技术逻辑
HTTPS 的加密体系并非 “绝对不可破”,企业能监控 HTTPS,本质是利用了 “设备信任” 的漏洞 —— 但这种漏洞的利用,在合法合规的前提下,是企业进行风险管控和合规审计的必要手段(如防止商业数据泄露、规避法律风险)。对于个人而言,无需过度恐慌 “HTTPS 被监控”,关键是分清 “工作场景” 和 “私人场景”:在企业设备和企业网络上,遵守公司的监控规则;在个人设备和私人网络上,通过拒绝陌生证书、检查信任列表等方式,保护自己的隐私安全。
2025-10-31 11:28:21
812
原创 NISP 国家信息安全水平考试:国家级认证全解析(含一 / 二 / 三级),就这一篇就够了!
全称国家信息安全水平考试(1.1)NISP1级——【信息安全】(1.2)NISP1级——【信息安全威胁】(1.3)NISP1级——【信息安全发展阶段与形势】(1.4)NISP1级——【信息安全保障】简介国家信息安全水平考试(NISP)是中国信息安全测评中心考试、发证,由国家网络空间安全人才培养基地运营管理,并授权网安世纪科技有限公司为NISP证书管理中心。NISP认证分为一级、二级、三级,证书由中国信息安全测评中心颁发,持NISP二级证书可与免考兑换CISP证书。
2025-10-31 11:21:34
372
原创 网络安全(黑客)学习指南(极其详细):从零基础入门到精通,一篇全搞定
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
2025-10-30 11:01:28
872
原创 5个自学网络安全的网站,全是技术干货!
自学肯定少不了去技术网站“偷师学艺”,今天也整理了一些我常看的技术网站,给想自学网络安全的朋友一点参考建议。话不多说,直接开整(全程无广,全是自己看过的真实感受,仅供参考,有不当之处欢迎指出改正)
2025-10-30 10:51:33
427
原创 你想学的黑客攻防技术都在这里了,一篇打包带走!
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2025-10-29 10:29:23
981
原创 网络安全攻防大揭秘:你知道哪些黑客技术?
网络安全攻防是当今网络安全领域的重要话题之一。黑客技术先进,攻击手段日益复杂,如何保护自己的网络安全,防止黑客攻击,是我们必须要了解的知识点。一、黑客技术大揭秘1. 钓鱼攻击钓鱼攻击是一种通过伪造电子邮件、网站或其他电子沟通渠道来获取个人敏感信息的攻击方式。黑客会伪造一个看起来像真的信息来源的电子邮件,让你点击其中的链接,然后输入你的用户名和密码、银行账户信息等。2. 中间人攻击。
2025-10-29 10:25:20
875
原创 40个漏洞挖掘实战清单,覆盖90%渗透场景!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。40个Web常见漏洞与挖掘技巧汇总,供参考。因篇幅有限,仅展示部分资料,朋友们如果有需要。,我也为大家准备了视频教程,其中一共有。要学习一门新的技术,作为新手一定要。的事情了,而工作绕不开的就是。大家最喜欢也是最关心的。
2025-10-29 10:09:07
636
原创 DNS劫持全解析:原理、危害与防御实战指南
前言DNS英文全称Domain Name System,中文意思是域名系统,因此DNS劫持又被称为域名劫持,属于网络攻击的一种,其危害性也是不容忽视的。那么什么是DNS劫持?怎么防止DNS劫持攻击?具体请看下文。什么是DNS劫持?DNS劫持又叫做域名劫持,指攻击者利用其他攻击手段,篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。
2025-10-28 11:36:05
876
原创 【网络攻防】常见的网络攻防技术——黑客攻防(通俗易懂版)
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2025-10-28 11:03:20
729
原创 一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞
文件上传漏洞指缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证。导致实际可上传恶意文件,如脚本或木马。造成远程命令执行、敏感信息泄露等危害。上传文件本身造成危害后续HTTP请求上传的文件,同时服务器端允许执行该类型脚本,从而造成危害。
2025-10-28 10:55:10
666
原创 HTTPS中间人攻击,HTTPS被抓包了怎么办?
首先,当个位读者在看到这篇文章时,我默认大家已经对HTTPS协议有一定的了解,包括但不仅限于了解HTTSP和HTTP的区别以及HTTPS建立连接的过程,如果你不懂这些,希望你能花一些时间先去了解我说的这些。中间人攻击是指**攻击者**与**通讯的两端**分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
2025-10-27 10:38:39
937
原创 网站安全服务应该如何安全储存用户数据
这几天AcFun数据库泄露的消息一大早就沸沸扬扬地传开了,所幸从AcFun的公告里可以看出泄露的用户密码均经过「加密」(实际上指哈希),所以我们仍然是安全的。网站安全代码从泄露出的部分信息可以看到,在存储密码这件事上,AcFun并没有犯什么低级错误,加之道歉诚恳,很多人表示「选择原谅」。合格的后端开发者和运维人员需要考虑每个接口的安全性、每个可被公网访问到的服务器的安全性,保证不要犯错。但是我们还需要考虑,如何在已经犯错的情况下把损失降低到最小。
2025-10-27 09:56:30
985
原创 【网络安全含金量最高的4本证书】:NISP、CISP、CISP-PTE、CISSP(必考证书)零基础入门到精通,看完这一篇就够了!
学习网络安全,有4个必考证书:NISP、CISP、CISP-PTE、CISSP。这4本证书分别代表了国内和国际上对信息安全专业人员不同程度的认证标准,对于想要提升技术和就业晋升转行人员来说非常重要!在安全行业内卷的背景下,拥有这些证书可以作为个人专业能力的证明,有助于在求职、晋升和职业发展中获得优势。之前一个学员说的话我印象深刻,学习不是为了工作,但考证确实是!如果你正好在备考,无论是想提前学学技术,还是想给简历上加一些闪光点,都可以在文末领取学习资料,系统地提升自己的信息安全知识和技能!
2025-10-25 11:18:31
676
原创 干货!内网渗透测试之域渗透详解!收藏!
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。图1那么域网络结构有什么优点呢?域的优点主要有以下几个方面:1、权限管理比较集中,管理成本降低域环境中,所有的网络资源,包括用户均是在域控制器上维护的,便于集中管理,所有用户只要登入到域,均能在域内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低;
2025-10-25 11:16:01
807
原创 CTF选手必藏的100个实战解题思路,(非常详细)从零基础到精通,收藏这篇就够了!
CTF比赛,那可是网络安全圈的华山论剑。想在里面混出名堂?光有理论知识可不行,得有实战经验,还得会各种骚操作。今天,我就把多年来在CTF赛场上摸爬滚打总结出的100个解题思路分享出来,别说我没提醒你,能看懂一半,绝对是高手中的高手!
2025-10-25 11:08:57
1178
原创 RCE远程命令执行漏洞挖掘思路
ognl(对象图导航语言),它是struts2框架里面的第三方语言(即可以再别的地方用,struts2只是拿过来了而已),它可以调用对象中的方法,参考https://www.cnblogs.com/ends-earth/p/10714068.html 不仅可以执行简单计算(首先生成一个ongl上下文,context),ongl还可以对类和对象进行操作。通过context来put的对象都会放入value属性中,穿进去的字符串就是该属性中的key,通过#key的形式来指定对象,也可以修改属性值和方法。
2025-10-24 10:24:57
1149
原创 网络安全攻防:Web安全之渗透测试(非常详细)零基础入门到精通,收藏这一篇就够了
本文基于某个开源的CMS搭建一个靶机,来演示Web渗透整个过程。在访问网站时收集资料,了解网站的各项接口、功能,手动测试其每一个参数是否存在注入。其中发现一个带参数ID的页面,如图1所示。图1 带参数ID的页面通过手动注入判断该参数是否为注入点,发现当输入id=10’and‘1’=’0时返回错误页面,如图2所示。图2 返回错误页面而当参数id=10’and‘1’=’1时仍然显示为正确页面,由此怀疑ID参数后面的and语句内容被当作SQL语句一部分带入执行,此处可能存在SQL注入。
2025-10-24 10:08:31
700
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人