2019年08月_牛油果2023

12月 10月 09月 08月 07月 06月 05月 04月 03月 02月 01月

原创 CTF从入门到提升（七）insert 等数据表相关操作注入及例题分享

本次分享内容：insert update delete对数据表操作的一些基本问题及例题分享。insert语法介绍insert插入到某张表中，后面跟上设置的参数以及值。在insert的时候可以使用哪些注入方法呢？比如这个报错的方法，如果报错可以使用，那么同理其他函数也是可以使用的。首先看下语句使用，如下图：update 语法介绍update 即对整张表做数据更新我们在set 这个...

2019-08-29 14:34:16 351

原创 CTF从入门到提升（六）order_by注入及例题分享

位运算符我们都知道常规的注入，比如id=100这种类型可以查询出一篇文章，如果把100换成99+1它一样可以查出，因为它会做计算。order_by 去判断列数的时候，如果把id=4换成3+1去执行，出来的结果并没有做计算，所以这个运算效果没有意义。运算符如何运算呢？位运算是将每一个值转化成一个二进制字符串。按位的“and”或“or”，假设2 | 3，转成字符串就是3。ORDER ...

2019-08-28 11:26:48 1160

原创 CTF从入门到提升（五）部分截取函数及bool型盲注相关例题分析

bool型盲注有区别与之前的基于时间的盲注，bool型盲注的页面输入会影响输出。我们来看操作理解一下：语句结构id=1 ，我们去做判断的时候是id=1 and 1=1，and 1=1的本质是返回一个true，true可以用1来代替，正常回显。我们很多时候就会去接and=0，0类似于1=2返回是false， false类似于0的作用。最后会影响到查询结果的是后面的0和1。比如说触发查询...

2019-08-27 11:21:14 557

原创机器学习与网络安全（二）开发环境创建

本次分享内容：开发环境的搭建、谷歌Tensorflow的部署、IDE的使用方法。由于我们的课程是使用了深度学习技术，主要的开发过程会集中在数据处理这个环节上。这种开发任务需要我们多次频繁地执行某些小的语句块，例如训练过程需要不断地调参，对数据初始化并且进行重复地训练。Tensorflow的安装为了避免安装部署过程中可能产生的问题，我们选择安装anaconda作为我们的开发库，使用an...

2019-08-23 11:58:57 282

原创机器学习与网络安全（一）

深度学习技术目前是人工智能这个领域里面最核心的一门技术。首先就是说要从人工智能来谈起，人工智能它是研究开发用于模拟延伸和扩展人类智能的理论方法技术以及应用系统的一门新的技术科学。人工智能好早以前就有的，局限于当时的技术，还有一些理论方法都不够成熟，所不能达到人们想要的一些要求。目前来说，人工智能的突破仅仅体现在应用于某些个别的领域，包括以下几种类型：人工智能要分为“人工”跟“智能”这两个...

2019-08-21 18:36:44 3571 1

原创 CTF从入门到提升（四）基于时间盲注例题及解法

基于时间的盲注，本次内容会涉及到写一些脚本。这里我先简单的示范，有两个网址推荐给大家，看一下到底能不能影响到这个数据，这里用一个插件。这个插件更新之前还挺好用的，更新之后就不太好用了。这里添加三个参数。第一个，添加字段头用哪一个网址，这里添加了Headername，添加字段的名称X-Forwarded-For，然后到页面开启。我们会发现它可以成功去修改它回写的内容，这个数据段...

2019-08-21 10:26:51 1011

原创 CTF从入门到提升（三）基于时间的盲注及部分函数

本次内容会先介绍一些函数，然后结合一些题目进行讲解。这里的基于时间是指延时。我们对于盲注最早接触的应该就是SLEEP函数，很多编程语言中都有它。函数的特点就是添加延时功能，我们可以看一下它的一个效果是什么样子的。（在这里我做一个演示，如果大家想看可以到安全牛课堂的视频里看动手操作 CTF从入门到提升课时3：1分10秒）举栗子：在添加了SLEEP函数之后，它的运行结果要是...

2019-08-20 11:26:05 1798

密码安全，顾名思义，它指的是对于我们密码的安全。密码是我们生活中最常见的进行身份验证的一个因素，一般我们在登录系统或者是其他应用程序的时候，最先需要利用用户名和密码来验证我们的身份，这称为单因素身份验证。除了密码之外，我们还可以再进一步利用数字令牌、利用生物特征，比如虹膜扫描，视网膜扫描等来对你进行身份验证，但密码永远是最常见的身份验证的第一个因素。密码作为最基本的一个身份验证的因素，如果没有被...

2019-08-16 15:47:58 3128

原创 CTF从入门到提升（二）约束条件的安全测试报错注入

关于基于约束的SQL攻击在创建数据库的时候，一般会先定义整个表的结构，假设我要做的是登录入口，先简单地创建一个用户表。（用户表中，我这里是定义了三个字段，第一个是ID，然后第二个是用户名）表已经建完之后，看起来也没什么问题，那么如果说我开发完了之后，应该有个登录入口。对没有账号的人来说，需要有一个注册入口。注册的本质是一个insert的过程，就是往里插入一条数据。假如里面数据库没有数据，我...

2019-08-16 14:29:06 692

原创 CTF从入门到提升之宽字节注入

CTF入门到放弃为什么说是从入门到放弃呢？（开个玩笑）如果说大家对CTF有了解的话，其实应该知道CTF是一个什么类型的比赛，这个比赛涉及的范围和影响有多大。如果说你真的想打好比赛，那也是真的非常不容易的，所以说这是非常困难的一件事情，初期可能学着学着就想放弃了，所以我就以这个来作为一个标题，当然本意不是让大家去放弃，就是为了让大家入个门然后再提升！我会和我朋友一起来完成这门课程的讲解。课程主...

2019-08-15 11:28:54 1458

原创企业安全管理的内外合规之ISO27001标准详解

俗话说"三分技术七分管理"目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体...

2019-08-14 14:07:00 2345

原创一篇文章带你入门应用容器引擎Docker

什么是 DockerDocker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目，它是基于 dotCloud 公司多年云服务技术的一次革新，并于 2013 年 3 月以 Apache 2.0 授权协议开源，主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会，并成立推动开放容器联盟（OCI）。Dock...

2019-08-13 11:50:36 261

原创我的Security+备考分享 7月考试812分

学习过程2019年1月报名；2019年4月看完第一遍student guide501；2019年7月在线听课，看完第二遍student guide501，刷题，考试。考试心得2018年，笔者在谷安的帮助下，通过了CISP认证。笔者计划2019年参加CISSP考试，但是因为申请CISSP资格需要至少4年工作经历，然后偶然了解到security+和CISSP一起报名有折扣，就准备...

2019-08-12 14:22:48 447

翻译机器学习之卷积神经网络（三）

假设，有一张大小为32×32×3的输入图片，这是一张RGB模式的图片，你想做手写体数字识别。32×32×3的RGB图片中含有某个数字，比如7，你想识别它是从0-9这10个数字中的哪一个，我们构建一个神经网络来实现这个功能。我用的这个网络模型和经典网络LeNet-5非常相似，灵感也来源于此。LeNet-5是多年前Yann LeCun创建的，我所采用的模型并不是LeNet-5，但是受它启发，许多参...

2019-08-09 18:05:29 660

翻译机器学习之卷积神经网络（二）

今天继续分享卷积神经网络，常常用深度学习这个术语来指训练神经网络的过程，有时它指的是特别大规模的神经网络训练。那么神经网络究竟是什么呢？我们先来看一些直观的基础知识。让我们从一个房价预测的例子开始讲起。假设你有一个数据集，它包含了六栋房子的信息。所以，你知道房屋的面积是多少平方英尺或者平方米，并且知道房屋价格。这时，你想要拟合一个根据房屋面积预测房价的函数。如果你对线性回归很熟悉，你可能会说...

2019-08-09 11:46:03 291

原创机器学习之卷积神经网络（一）

计算机视觉（Computer vision）深度学习与计算机视觉可以帮助汽车，查明周围的行人和汽车，并帮助汽车避开它们。还使得人脸识别技术变得更加效率和精准，我们可以体验到通过刷脸就能解锁手机或者门锁的便捷。当你解锁了手机，手机上一定有很多分享图片的应用。在上面，可以看到美食，酒店或美丽风景的图片。有些公司在这些应用上使用了深度学习技术来向大家展示最为生动美丽以及与我们最为相关的图片。机器学习甚...

2019-08-08 11:13:46 1066

原创运维人员须熟悉的38个运维工具汇总

运维人员必须熟悉的运维工具汇总：操作系统：Centos,※,Ubuntu,Redhat※,suse,Freebsd网站服务：nginx※,apache※,lighttpd,php※,tomcat※,resin※,数据库：MySQL※,MariaDB,PostgreSQL,Mysql-proxyDB中间件：maxscale,MyCat,atlas,cobar,amo...

2019-08-06 18:27:59 2026

原创 CTF入门第一课(附一道小题)

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球大会，以代替之前们通过互相发起真实***进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式。竞赛模式：1、解题模式给你一道题目你要做出解答，通过线下或者线上解题，你会拿到flag的一个东西，提交flag，...

2019-08-05 18:36:40 1549

原创 AI时代你需要知道的：知识图谱技术原理（必读）

知识图谱是什么？知识图谱最早由谷歌发布，为了提升搜索引擎返回答案的质量以及用户查询的效率，在知识图谱辅助下，搜索引擎可以洞察到用户查询背后的一个语义信息，然后返回更为精准结构化的信息，从而更大可能的去满足用户的一个查询需求。当我们进行搜索时，搜索结果右侧的联想，来自于知识图谱技术的应用。我们几乎每天都会接收到各种各样的推荐信息，从新闻、购物到吃饭、娱乐。个性化推荐作为一种信息过滤的重要手段，可...

2019-08-01 19:12:41 30427

Security+ 认证学习资料.zip

自己手里的资料视频文档整理的，在刷题的过程中我也准备了一本笔记本，就是专门记录那些错题的知识点和那些自己不熟练的知识点，在这个过程中一定要多翻翻教材，多翻翻教材，多翻翻教材（重要的事情说三遍）！多百度谷歌找下相关知识点并记录到本子上，我觉得这个过程才是最重要的，只有你掌握了那些知识点你才能真的做到临危不惧就算遇到没见过的题目都能自己分析出来，到后面的话就经常性的看看这个笔记本就行。

2020-08-17

转行做安全，我的Security+认证备考分享.pdf

近年来随着信息化发展的日益迅猛，加上自身对未来职业规划以及兴趣导向的综合思考后，决定以后从事信息安全方面的工作。在信安行业朋友的推荐下选择了Security+作为我入门的一个认证。

2020-07-15

内网安全分析.jpg

涵盖了内网安全方面几乎所有的研究成果，内网基础知识开始到域环境的搭建，攻击环境的搭建及常用工具；内网扫描探测；隐藏通信隧道技术；PowerShell的利用和脚本技术；本地权限提升技术；域内横向渗透的主要方法手段；持续获取网络权限的隐蔽后门技术等

2020-05-20

加密威胁脑图.jpg

目前各种协议的加密已经成为保障网络流量安全性的基础选项，与之相对，对加密流量的安全检测也是未来安全检测能力重要的趋势。无论是监管单位，企业客户还是厂商对现有产品能力的补充，这项技术都极具诱惑。

2020-05-14

WireShark网络安全分析脑图

Wireshark 是用于 Unix 和 Windows 的网络协议分析器。它可以帮助你捕获和分析实时网络中的数据或捕获磁盘上的文件。Wireshark 是当前全世界最广泛的网络数据包分析软件之一。

2020-05-13

听说有CISSP的人也会考它（CCSP指南2020版）

CCSP2020年的一些变更信息，方便大家备考。CCSP 认证反映更深层次的信息安全与云计算实践经验知识，验证和证明那些日常工作涉及云安全架构、设计、运营和服务编排的专业人士的实用技能知识。CCSP 认证定义了安全从业人员高效保护云计算安全所必备的资质与经验，是高级云安全知识、经验与能力的新标杆。持证者往往被视为可依赖的云安全领域行业专家。

2020-04-14

CCSP云安全专家认证考试流程梳理.pdf

2018年底本人在香港的Pearson VUE全球授权考试中心，通过了云安全专家(CCSP)认证考试，现将基本准备和认证介绍简单归纳如下，供需要的朋友们参考，后续会写一些备考经验。

2019-07-08

人工智能强化学习修订版指导资料

近些年，人工智能的热度都维持在一定的高度。从Google AlphaGo到Chatbot聊天机器人、智能理专、精准医疗、机器翻译等，人工智能技术被应用于安防、医疗、家居、交通、智慧城市等各行各业，其前景是毋庸置疑的，未来绝对是一个万亿级市场。

2019-02-15

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

anquanniu的博客