HackKong的博客

很多想自学黑客技术的朋友，很容易走错方向。作为一名11年的资深白帽，给大家推荐7个我自己常用的学习网站，并且都是合法的学习网站，能带你了解到黑客有关的技术，视频，电子书，实践，工具，数据库等等相关学习内容。以上这些网站我都是用QQ浏览器打开的，对于英语能力不OK的，可以转成汉字看。一、HackingLoops网址：https://www.hackingloops.com/这是一个博客网站，主要面向初级水平的，网站上有许多非常有用的工具以及检验分享。

该专业面向计算机网络空间安全、信息安全与对抗、电磁安全与对抗等广义网络空间安全领域，主要围绕网络空间中电磁设备、电子信息系统、计算机网络、运行数据、系统应用中存在的安全问题，开展理论、方法、技术、系统、应用、管理和法制等方面的研究。网络空间安全专业是在计算机、电子信息、通信等专业的基础上，面向网络空间安全的重大需求，针对网络安全技术的研究与应用，按照“新工科”理念建设的、国家首批批准的新专业。网络空间安全是一个不断发展和创新的领域，只有对计算机满怀热情与兴趣的人，才能持续地进步与成长。

程序员，数字时代的建筑师，他们的代码构建着我们日常生活的方方面面。他们的薪资也一直是大众好奇的焦点。本文将结合最新数据，深入分析程序员工资水平，揭秘代码背后的价值。程序员的薪资水平受多种因素影响，技术实力是核心，软实力也不可忽视。持续学习、提升自身价值，才是获得高薪的保障。最后，需要强调的是，薪资只是衡量职业价值的一个方面，工作带来的成就感、个人成长和社会价值同样重要。选择适合自己的职业发展道路，才能真正实现个人价值。

如果你正考虑转行进入网络安全领域，有几个关于网络安全的常见误区需要特别注意，王老职建议你多加留意。

又要学习编程，刚才不是说了编程不是学习网络安全的必要条件，不懂自动化渗透也不影响入门和就业，但是会影响职业的发展，且学习 python 不需要掌握很多不需要的模块，也不需要开发成千上万行的代码，仅利用它编写一些工具和脚本，少则 10 几行代码，多则 1-200 行代码，一般代码量相对开发人员已经少得不能再少了，例如一个精简得域名爬虫代码核心代码就 1-20 行而已；有的小白可能会问，去哪里找资料，建议可以直接买一本较为权威的书籍，配合 b 站的免费视频系统学习，然后利用开源的靶场辅助练习即可；

尤其是，需理解信息安全三大核心属性（保密性、完整性、可用性），熟悉等保测评、安全架构设计等合规要求。，包括TCP/IP协议栈、路由交换原理（如防火墙配置、负载均衡部署），以及Windows/Linux系统的安全加固能力。今天，我们以零基础入行为例，按照下面的成长路径，来分析分析从2025年的招聘数据来看，需要哪些能力。，因此转行者需通过实习或初级岗位（如安全运维、漏洞分析）强化实操能力，然后才能走向更高的岗位上。现在这个环境下，转行做信息安全的人已经越来越少了，但还是有热爱这一行的人。

因为这个kali系统里面都是自带的，我这里就不讲安装方法了BurpSuite是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。BurpSuite由Java语言编写，基于Java自身的跨平台性，使这款软件学习和使用起来更方便。BurpSuite不像其他自动化测试工具，它需要手工配置一些参数，触发一些自动化流程，然后才会开始工作。BurpSuite可执行程序是Java文件类型的jar文件，免费版可以从官网下载。

它多了个get的参数，测试了好几遍，可以尝试这个参数，把后面的type="hidden"给干掉，或者给type="text"也行就可以让这个input显示出来，再让它获得焦点，触发onfocus事件。不难发现，这里面进行了小写转化，将检测出来的on，script，href给删掉了，但是没有关系，我们可以利用****双拼写****来绕过。分析源码，红色框上面部分被转义了，没有什么绕过方法，但是下面部分，仔细看，如果我们嵌套一个反标签符号呢？时，即其值为假（false），将触发if语句的执行。

最近在后台有看到很多朋友问我关于网络安全转行的问题，今天做了一些总结，其中最多的是，觉得目前的工作活多钱少、不稳定、一眼望到头，还有一些就是目前工作稳定但是缺乏上升空间的。总的来说，大家主要的问题是：0基础真的能学会吗？怎么学？需要准备啥？发展前景如何？学完能拿到高薪吗？

SRC 是新手进入网络安全行业的最佳路径之一。只要你：掌握基础漏洞类型、学会信息收集、学会使用工具、会写漏洞报告、坚持挖、坚持总结你一定能挖到第一个漏洞，然后是第二个、第三个……最终你会发现：挖洞不仅能赚钱，更是一种能改变你职业道路的能力。互动话题：如果你想学习更多**网络安全&挖漏洞方面**的知识和工具，可以看看以下面！给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记。

这时候就是要靠我们万能的 fofa 了，首先我们要知道有哪些 cms 有漏洞这里大家可以去找网上的漏洞库，里面一般都会有漏洞合集和这里我稍后会给大家推荐一两个看到没有，就是这么多cms，一杀一个准，上分必备漏洞当然很多漏洞都不能一步到位的，当然也有很多是可以给我们刷分的不过是否重复提交，这我就不太清楚了，可以给你们看看我的战果！当然，没审核，能重复几个我就不知道了，一切随缘—-这里随便找一个cms，给你们看看就这cms信息泄露，你看，多香！，而且这个漏洞是直接把poc打上去就行了！

后台总收到私信：“学网安该先看 Linux 还是先学 Burp？”“找了一堆教程，越学越乱怎么办？”—— 其实不是你学得慢，是没找对循序渐进的路径。很多人一上来就跟风学工具、刷漏洞，结果基础不牢，后期遇到问题全卡壳。今天分享一套亲测有效的网安快速入门 3 步法，按这个节奏学，效率至少翻一倍，新手也能清晰知道每一步该学啥、学完能干嘛。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全指网络系统中的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

时隔一年多以后再次看本文，依然给我一些启发，尤其是经过一定量的实践以后，发现信息收集真乃漏洞挖掘(渗透测试)的本质，这里再次回顾一下本文，尤其是里面如何评估一个项目(目标)的难度，值得学习与借鉴，对于新手而言，学会寻找"软柿子"很重要!

Nmap（Network Mapper）是一款开源免费的网络发现和安全审计工具，主要用于扫描目标主机的开放端口、操作系统类型、启用的服务等信息。以下是Nmap的一些常见使用介绍「主机发现」：Nmap可以通过发送不同类型的探测包（如ICMP echo请求、TCP SYN包等）来检测目标主机是否在线。常用命令如-sn（Ping扫描，只进行主机发现，不进行端口扫描）和-PE/PP/PM（使用ICMP echo、timestamp、netmask请求包发现主机）。「端口扫描」

经过测试，流量都经过了五个安全扫描工具，对目标网站进行全方位的扫描，经过测试效果还不错，感兴趣的师傅可以试试看。虽然说现在网上有各式各样的安全漏洞扫描工具可以利用，但是这些工具都是人写的，多多少少都会有些漏洞和不足，不能太依赖这些测试工具，打铁还需自身硬！！！互动话题：如果你想学习更多**网络安全&挖漏洞方面**的知识和工具，可以看看以下面！给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记。

这篇文章主要是总结一下在安全工作中常见漏洞的代码审计方法，以及修复方案，希望能对初学代码审计小伙伴们有所帮助。这是我给粉丝盆友们整理的代码审计的基础教程。

之前面试经常被问到 CSRF， 跨站请求伪造大概流程比较简单， 大概就是用户登录了A页面，存下来登录凭证（cookie）， 攻击者有诱导受害者打开了B页面， B页面中正好像A发送了一个跨域请求，并把cookie进行了携带， 欺骗浏览器以为是用户的行为，进而达到执行危险行为的目的，完成攻击上面就是面试时，我们通常的回答， 但是到底是不是真是这样呢?难道这么容易伪造吗？于是我就打算试一下能不能实现。

SQL 注入（SQL Injection）是一种常见的网络攻击手段，攻击者通过在 Web 应用程序的输入字段中插入恶意 SQL 代码，欺骗后台数据库执行非授权的 SQL 语句。SQL 注入可以用于获取、篡改或删除数据库中的数据，甚至可以用于执行系统命令，导致数据泄露、数据破坏或服务器被控制等严重后果。我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~对用户输入验证不足： 当 Web 应用程序没有正确验证用户输

又要学习编程，刚才不是说了编程不是学习网络安全的必要条件，不懂自动化渗透也不影响入门和就业，但是会影响职业的发展，且学习 python 不需要掌握很多不需要的模块，也不需要开发成千上万行的代码，仅利用它编写一些工具和脚本，少则 10 几行代码，多则 1-200 行代码，一般代码量相对开发人员已经少得不能再少了，例如一个精简得域名爬虫代码核心代码就 1-20 行而已；有的小白可能会问，去哪里找资料，建议可以直接买一本较为权威的书籍，配合 b 站的免费视频系统学习，然后利用开源的靶场辅助练习即可；

首先我们一起来了解一下网络空间安全专业有哪些方向，以及每个方向所需要的基础能力。网安大体可分为5个子方向，分别为密码学与应用安全、量子信息安全、数据安全、系统安全、网络安全。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

ABC中国大学专业排名，又称中国大学专业评级，是中国大学评级（China University Rating）重要分支，由ABC咨询机构编制、CNUR发布，涉及近6万个本科专业点，面向1200余所本科院校，700多个专业，100个S级“超级一流本科专业点”，3条主线（专业层、学科层、学校层），AUE联合评价模式，是志愿报考的重要参考！山东大学、北京邮电大学、电子科技大学、暨南大学、西北工业大学、北京航空航天大学、中山大学、四川大学、哈尔滨工业大学共9所进入全国前10%，评级结果为A。

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。CTF靶场CTF。

🌟排名结果显示，西安电子科技大学位居全国网络空间安全专业第一，评级为S级。同时，有10所院校进入全国排名前2%，评级为A+。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。🎓近日，中国大学排行榜官网揭晓了2024年网络空间安全专业的大学排名。🔍在118所开设网络空间安全专业的院校中，上榜院校拥有多个国家级和省级一流本科专业点，共计10所高校入选“一流网络安全学院”。，我也为大家准备了视频教程，其中一共有。

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。MISC（安全杂项）

使用这个工具，你可以编辑和调试页面上的HTML，CSS和JavaScript，然后查看任何的更改所带来的影响。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF利用的是网站对用户网页浏览器的信任。Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件，而SMB是ServerMessageBlock的缩写，即为服务器消息块SMB主要是作为Microsoft的网络通讯协议，后来Samba将SMB通信协议应用到了Linux 系统上，就形成了现在的Samba软件。

本文重点介绍了网络安全领域的 16 个不同专业领域，为职业发展和职业发展提供指导。它为专业人士（无论是资深人士还是新手）提供了一种灵活的方法，让他们可以探索各种职业道路，而无需遵循严格的框架。值得注意的是，职位可能涵盖多种专业，也可能专注于其中的特定方面。数字取证网络威胁情报网络安全通才网络安全管理事件响应网络监控与入侵检测漏洞管理安全测试加密与通信安全安全操作身份与访问管理安全系统架构与设计网络安全审计与保证数据保护与隐私安全系统开发。

使用最广泛的报文摘要算法是MD5，MD5算法具有单向性（即不可逆）。从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）

网络安全是指保护网络系统、硬件、软件以及其中的数据免受未经授权的访问、使用、披露、修改、破坏或干扰的措施和实践。保护机密性：确保只有授权的人员能够访问敏感信息，防止数据泄露。维护完整性：保证数据在存储、传输和处理过程中不被非法修改或篡改。比如金融交易数据、医疗记录等必须保持完整准确。保障可用性：确保网络系统和服务能够持续正常运行，可供合法用户随时使用。像电商网站在购物高峰期间不能出现无法访问的情况。防范网络攻击。

2024年，国际形势风云变幻，地缘政治的动荡与科技革命的浪潮交织成一幅复杂图景。以人工智能为代表的前沿科技突飞猛进，正以前所未有的速度重塑着世界的每一个角落，引领着人类社会迈向一个更加智能、高效与便捷的未来。然而，在时代高歌猛进的同时，数字安全问题却始终如影随形，勒索攻击、数据窃取、系统瘫痪、隐私泄露等等，不仅关乎个人隐私与企业利益，更成为影响国家安全与国际稳定的关键因素。

实验环境中有两个docker容器，分别是user，IP 10.10.27.3，dns，IP 10.10.27.2,其中user作为用户进行dns查询，dns作为本地的dns服务器，vm，IP 10.10.27.1，作为攻击者进行用户欺骗响应。其中user默认dns服务器指向dns，dns默认开启bind9服务，两个docker默认开启。

注：在发起攻击之前，清空DNS缓存、使用用户机dig www.example.com拿到IP(使服务器中具备权威域名服务器的缓存)，将会节省DNS服务器向根域名服务器询问权威域名服务器的时间，从而减少攻击的时长。如果，①伪造的请求包、②服务器向权威域名服务器的请求包，以及③伪造的回应包、④真实权威域名服务器的回应包，有任一无法找到，则说明攻击结果异常，请具体情况具体分析，不要一味攻击。能看到伪造的随机请求包，也可以看到服务器收到伪造的请求包，开始主动向权威域名服务器请求，还可以看到伪造的序号顺序的响应。

网络空间安全指的是保护网络系统、设备、程序和数据免受未经授权的访问、破坏、篡改、泄露和滥用等各种威胁和风险的能力。它是保障国家安全、社会稳定、经济发展和个人隐私安全的重要方面。保护网络系统和设备的安全：网络系统和设备是网络空间安全的基础，保护其安全对于维护网络空间安全至关重要。保护网络通信的安全：包括对网络通信进行加密、认证和防窃听等，确保网络通信的机密性、完整性和可用性。

蜜罐技术作为一种网络安全防御手段，旨在通过设置易受攻击的“诱饵”系统来吸引黑客，从而收集其攻击行为的数据。这些数据对于分析黑客的技术、动机和策略至关重要。本文将探讨蜜罐技术的原理、当前挑战以及如何通过优化算法来提高其捕捉黑客的有效性。蜜罐（Honeypot）是一种安全机制，它模拟真实系统或网络服务，诱使攻击者尝试攻击。与传统的入侵检测系统（IDS）或入侵防御系统（IPS）不同，蜜罐的目的不是为了直接阻止攻击，而是为了收集攻击数据，帮助安全分析师更好地理解攻击者的行为。

今天带大家一起来盘点最受欢迎的程序员副业排行榜TOP5，如果你也是一个程序员那就赶紧上车吧。听说过这样一句话：“15岁时觉得游泳难，放弃游泳，到18岁遇到一个你喜欢的人约你去游泳时，你只好说‘我不会’。18岁觉得英文难，放弃英文，28岁时出现一个很棒但会要英文的工作，你只好说‘我不会’。程序员一个大家眼中的高薪职业，但是面对高压力的当今社会，尤其是近日各互联网大厂纷纷取消大小周。

信息安全、网络安全、网络空间安全：三个概念的解析与区分随着信息技术的迅猛发展，信息安全、网络安全、网络空间安全这三个概念逐渐进入人们的视野。虽然它们密切相关，但在含义上却有所区别。本文将深入探讨这三个概念的定义、内涵及其区别。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址（MAC地址）的一个协议。划分到网络层（TCP/IP）或数据链路层（OSI），用在局域网内。功能：完成主机或路由器IP地址到MAC地址的映射。ARP高速缓存（arp表）：IP地址和MAC地址的映射。注：网络设备的接口有MAC地址，并不是一个网络设备仅有一个MAC地址，二层交换机这种设备没有MAC地址。