- 博客(459)
- 收藏
- 关注
RSS订阅原创 常见 Web 安全攻防总结
首先说下最常见的 XSS 漏洞,XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。
2024-05-23 10:05:26
586
原创 人工智能和网络安全选哪个好_
关于粉丝提问:本人现在本科大三,个人比较喜欢网络安全攻防渗透,我十分感兴趣,但是目前的大趋势都是相对来说人工智能的nlp和cv都比较好就业和高薪资,我该选择什么方向?作为一个过来的人说一下,必须网络安全。我之前做人工智能,现在已经在做网络安全了。人工智能,要么根本不成熟,很难创造价值,要么成熟的已经杀成红海了。但网络安全行业完全不是那么回事,从企业到政府,普遍投入还不够。但是数字化的转型却极为迅猛,各种机构,各个行业都在上云。即使你所说的人工智能,大部分落地也要依赖云服务。
2024-05-21 10:39:42
231
原创 人工智能和网络安全选哪个好_
关于粉丝提问:本人现在本科大三,个人比较喜欢网络安全攻防渗透,我十分感兴趣,但是目前的大趋势都是相对来说人工智能的nlp和cv都比较好就业和高薪资,我该选择什么方向?作为一个过来的人说一下,必须网络安全。我之前做人工智能,现在已经在做网络安全了。人工智能,要么根本不成熟,很难创造价值,要么成熟的已经杀成红海了。但网络安全行业完全不是那么回事,从企业到政府,普遍投入还不够。但是数字化的转型却极为迅猛,各种机构,各个行业都在上云。即使你所说的人工智能,大部分落地也要依赖云服务。
2024-05-20 14:53:34
811
原创 SQL注入之sqlmap入门教程_sqlmap注入
原来sql注入如此简单以SQL注入靶场sqli-labs第一关为例,进行sqlmap工具的使用分享。
2024-05-18 09:56:43
679
原创 XXE注入攻击与防御_
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
2024-05-14 17:11:24
952
原创 VMware虚拟机下载安装使用教程
vmware是业界非常稳定且安全的桌面虚拟机软件,VMware虚拟机可让你在一台机器上同时运行二个或更多Windows、DOS、LINUX系统。在虚拟网路,实时快照,拖曳共享文件夹,支持PXE等方面均有特别之处,使用vmware,用户可在单一的桌面上同时运行不同的操作系统,进行开发、测试、部署新的应用程序。
2024-05-13 14:55:48
669
原创 NISP一级备考知识总结之信息安全概述、信息安全基础 (1)
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-05-11 14:47:38
796
原创 2024年失业率狂飙18.1%,史上最难就业季即将来临,该如何逆袭?_2024年失业潮
距离2024年毕业季还剩不到4个月,毕业学员将面临空前严峻的就业压力!具国家统计局的数据显示,1-2月份,16至24岁年轻人的失业率飙到18.1%,也就是说,新毕业的大学生中,平均每5个人中就有1个找不到工作。而今年的大学毕业生高达1158万!比去年增加了82万。与毕业生不断增长趋势形成鲜明对比的是,3年疫情阴霾下万千企业的生存囧境:大批企业出现营收锐减、入不敷出、业务裁撤、裁员等现象,导致社会就业岗位急剧减少,企业同岗位人才招聘要求不断提高。
2024-05-10 14:16:37
1011
原创 burp suite的安装与基本使用-腾讯云开发者社区
1. burp suite的下载可以在官网上下载,,除了这个社区版还有专业版,不过需要付费但是会给你一个月的试用期。安装burp会用到jdk,所以必须先配置好jdk , 下载安装自行百度。burp suite的安装与基本使用burp suite的安装与基本使用3.配置 Burp suite 代理 ,打开burp 选择 proxy—–>optionsburp suite的安装与基本使用3. 浏览器进行配置 , 这里以谷歌浏览器为例 ,其他浏览器类似,可自行百度。
2024-05-08 10:30:19
707
原创 XSS、CSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
特别是对于当前现有的系统,不需要改变当前系统的任何已有代码和逻辑,没有风险,非常便捷。XSS插入的话,一般是动态页面,但是有些是静态页面,不会和数据库发生交互,这就大大提高了安全性,我们就很难XSS了,而考虑到这一点,很多开发也把动态页面假装弄成静态页面,这种页面称为:伪静态页面;
2024-05-07 17:44:06
328
原创 2024年入职/转行网络安全行业,该如何规划学习?_
前段时间,知名机构发布了**《2022年中国本科生就业报告》**,其中详细列出近五年的本科绿牌专业,
2024-05-05 13:52:39
690
原创 VMware虚拟机安装详细教程
VMware下载安装好后,下载好我们要安装的操作系统的镜像文件后,此处安装的为centos7版本,就可以开始安装了。1点击下一步image2、勾选【我接受条件款协议中的条款】,然后点击【下一步】。image3、取消勾选,然后点击【下一步】。image4、点击下一步。image5、点击安装。image6、安装中。image7、点击【许可证】image8、在框中输入“FC502-8AD82-08D4P-4FQEE-ZC8D0”然后点击【输入】。image9、完成image。
2024-04-26 13:38:15
633
原创 burp suite的安装与基本使用-腾讯云开发者社区
1. burp suite的下载可以在官网上下载,,除了这个社区版还有专业版,不过需要付费但是会给你一个月的试用期。安装burp会用到jdk,所以必须先配置好jdk , 下载安装自行百度。burp suite的安装与基本使用burp suite的安装与基本使用3.配置 Burp suite 代理 ,打开burp 选择 proxy—–>optionsburp suite的安装与基本使用3. 浏览器进行配置 , 这里以谷歌浏览器为例 ,其他浏览器类似,可自行百度。
2024-04-26 11:21:24
580
原创 渗透测试工具Kali Linux安装与使用
11是官网下载的镜像文件,在Vmware中安装的时候有图文提示,一路安装正常,也设置了普通用户和root的登录密码,默认安装成功进入了图形化界面,作为专业开发我肯定想让他进入命令行模式,我在图形登录界面试了一下Ctro+Alt+F1-F6试了一下,Ctro+Alt+F3进入命令行,然后切换到root用户。这里我搜官网地址的时候遇到一个坑,一定要看清是后面带有‘官方’标志的,有个CN是中文版的,我在后面注册的时候没啥反应,朋友们还是去英文原版的网站上下载吧。黑盒测试是指在对基础设施不知情的情况下进行测试。
2024-04-24 10:29:36
335
原创 黑客常用10大工具,你用过几个?
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2024-04-24 10:14:00
479
原创 二进制安全虚拟机Protostar靶场 安装,基础知识讲解,破解STACK ZERO
pwn是ctf比赛的方向之一,也是门槛最高的,学pwn前需要很多知识,这里建议先去在某宝上买一本汇编语言第四版,看完之后学一下python和c语言,python推荐看油管FreeCodeCamp的教程,c语言也是pwn题目大部分是破解在远程服务器上运行的二进制文件,利用二进制文件中的漏洞来获得对系统的访问权限。
2024-04-24 10:07:45
396
原创 网络安全在2024好入行吗?
023年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。理由很简单,目前来说,信息安全的圈子人少,985、211院校很多都才建立这个专业,加上信息安全法的存在,形成了小圈子的排他效应,大佬们的技术交流都是在小圈子内进行,很难说全部的985、211院校都能快速形成这种圈子效应,这些都需要时间,所以根本就不可能形成那种所谓的只看学历,除非是北京邮电那几个学校至于学习方向,不要去听那些营销号说的几天入门不需要学编程的,
2024-04-22 18:51:11
394
原创 web安全主要包括哪些方面的安全
如果你也想学习:黑客&网络安全的SQL攻防web安全主要包括哪些方面的安全:web安全主要分为保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。web安全介绍Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;
2024-04-17 16:16:22
677
原创 最全自学黑客技术学习路线,少走弯路
什么是黑客?这个问题让人值得思考,黑客就是玩玩圈子,录教程收徒玩网恋?赚钱建站玩空间?还是一群技术狂人?或者说是一些行走于黑白两道之间的群体?这些都值得耐人寻味,不过,黑客这一词在莎士比亚的那个年代就存在了,最早的计算机诞生于1946年宾夕法尼亚大学,而最早的黑客却出现在麻省理工学院和贝尔实验室。初代黑客指的都是一些会计算机技术的研究人员,他们热衷于挑战,崇尚自由并主张信息的共享。从初代到现在,黑客发展逐渐有了对于名号的划分,从1999年起的“中美黑客大战”,Honker这一词逐渐进入人们的眼球。
2024-04-17 16:15:23
806
原创 黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了,学不会我退出网安圈
这篇文章没有什么套路。就是一套自学理论和方向,具体的需要配合网络黑白去学习。毕竟是有网络才会有黑白!有自学也有培训!1.打死也不要相信什么分分钟钟教你成为大黑阔的,各种包教包会的教程,就算打不死也不要去购买那些所谓的盗号软件之类的东西。2,我之前让你们在没有目的的时候学习linux,在学习LINUX的同时你第一个遇到的问题就是命令。作为一个黑客入门着来说你必须要懂什么是命令化系统,什么是图形化系统。3.在你学习黑客之前你的pc肯定是windows操作系统。你需要对windows系统进行初步的了解。
2024-04-11 14:08:43
967
原创 零基础自学:2024 年的今天,请谨慎进入网络安全行业
2024 年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
2024-04-10 14:45:17
723
原创 【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
2024-04-09 17:28:30
923
原创 【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
2024-04-09 16:43:10
998
原创 【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
2024-04-02 16:40:54
402
原创 【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
2024-04-02 16:37:47
550
原创 ADB安装及使用详解(非常详细)从零基础入门到精通,看完这一篇就够了_adb是什么
ADB 全称为 Android Debug Bridge,起到调试桥的作用,是一个客户端-服务器端程序。其中客户端是用来操作的电脑,服务端是 Android 设备。ADB 也是 Android SDK 中的一个工具,可以直接操作管理 Android 模拟器或者真实的 Android 设备。
2024-03-27 15:17:23
941
原创 我猜你还不知道什么是挖矿木马?
挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿。
2024-03-27 14:21:11
584
原创 如何创建海外 Apple ID?
在你手机上的 App Store 登录刚刚注册好的 Apple ID,因为是新 Apple ID 第一次登录,所以会有「检查」的提示。此时,你就已经进入你的 ID 页面了。点击「付款和送货」的「编辑」,并按照要求,填写有效的美国地址和电话号码。(地址的填写大家可以自行在网上搜索填入,注:可以使用模拟地址生成器)完成之后,Apple 会根据你填的邮箱和手机,发送验证码。之后你只需要在对应的框里输入对应的验证码。此时,你已经登录对应的海外 Apple ID,在搜索页搜索「tiktok」,下载即可。
2024-03-26 14:43:47
246
原创 腾讯三面被问到有没有参加过CTF?我反手就是一套军体拳打得面试官哑口无言!_奖金丰厚
这是一场紧张的比赛,现场激情解说:“SP的战队率先发起攻击,可惜被K&K战队以三行代码轻松拦截!“哇哦,SP战队依旧紧追猛打,在几秒之内就找到了对方漏洞所在,极速完胜对手!“天哪,SP战队再次找到K&K服务器防御漏洞!电视剧为了渲染效果,喜欢把CTF搞得跟电子竞技比赛一样,如果你真以为CTF比赛就是电视剧中“现男友”展现的这样:还有这样:那就大错特错了!CTF比赛并不是一个电竞项目,真实的CTF是这样的:(图片来源于XNUCA比赛现场图)
2024-03-23 09:30:00
1072
原创 禁欲28天!一宅男居然肝出如此详细Web安全学习笔记,学妹看完直接抽搐了!(持续中出)_搞中出
网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破坏、更改、泄露,系统能连续、可靠、正常地运行,服务不中断。网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。网络安全在不同环境和应用中有不同的解释,例如系统运行的安全、系统信息内容的安全、信息通信与传播的安全等。网络安全的基本需求包括可靠性、可用性、保密性、完整性、不可抵赖性、可控性、可审查性、真实性等。
2024-03-22 09:59:18
612
原创 常见网站漏洞
网站是网络访问的基本入口,随着互联网的发展越来越快,网站的弊端就逐步呈现,大大小小的漏洞,黑客通过这些漏洞对网站发起攻击 ,往往造成的后果不堪现,大大小小的漏洞,黑客通过这些漏洞对网站发起攻击 ,往往造成的后果不堪设想。下面一 起认识一- 下常见的几大漏洞。SQL是网站存在最多也是最常见的漏洞,黑客可以利用该漏洞得到管理员的权限,在网站上挂木马和各种恶意程序或者直接控制服务器通过网站开发留下的漏洞,注入恶意指令代码到网站,使用户加载并执行攻击者恶意制造的网页程序。
2024-03-21 11:01:21
571
原创 如何成为一名黑客?小白必学的12个基本步骤
书籍的好处就在于权威和体系健全,刚开始学习的时候你可以只看视频或者听某个人讲课,但等你学完之后,你觉得你掌握了,这时候建议还是得去看一下书籍,看权威技术书籍也是每个程序员必经之路。除了Windows以外,还有UNIX/LINUX,Mac等不同类型和版本的操作系统,而每种操作系统都有自己的漏洞,黑客需要了解这些系统,才能发现其中的漏洞。用一台性能良好的计算机建立起你自己的实验室,强大的CPU,大容量的内存等。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
2024-03-20 15:15:09
586
原创 黑客常用的十大工具(附工具安装包),你知道几款?
注:本文总结白帽黑客常用的十大工具。文档仅供参考,不得用于非法用途,否则后果自负。nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又称脚本小子)爱用的工具。
2024-03-14 16:08:41
872
原创 NISP一级备考知识总结之信息安全概述、信息安全基础
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-03-12 10:56:45
991
原创 防止黑客入侵的五大技巧
防止黑客入的方法有很多,但是世界上没有绝对安全的系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。那么,接下来天下数据将为您详细介绍防止黑客入侵的五大技巧。(本文为天下数据首发,天下数据专业提供海外空间、海外主机)常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
2024-03-09 15:11:53
829
原创 漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
名称填写为cookie,内容为复制的cookie字段**(只复制引号里面的内容)**扫描开始有些目录会存在XX,
2024-03-08 15:12:20
1163
原创 离谱!奇安信人事总监透露:Web安全不会岗位这些就别投简历了
有人的地方就有江湖,有互联网安全的地方,就必然有Web安全工程师的身影。但其实Web安全是近几年才备受关注的,从事这方面的专业人员并不多,这就导致整个市场Web安全研究员的供求严重不平衡。目前 Web 安全岗位的平均薪资大概在。
2024-03-07 11:47:08
321
原创 VMware虚拟机下载安装使用教程
vmware是业界非常稳定且安全的桌面虚拟机软件,VMware虚拟机可让你在一台机器上同时运行二个或更多Windows、DOS、LINUX系统。在虚拟网路,实时快照,拖曳共享文件夹,支持PXE等方面均有特别之处,使用vmware,用户可在单一的桌面上同时运行不同的操作系统,进行开发、测试、部署新的应用程序。
2024-03-06 18:25:05
958
原创 漏洞扫描工具AWVS的介绍与使用
Acunetix Web Vulnerability Scanner(AWVS)可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。
2024-03-05 10:40:40
1032
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人