- 博客(642)
- 收藏
- 关注
RSS订阅原创 HW 蓝队面试题整理(hw防守方面试题整理)
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的**《平均薪资40w的网络安全工程师学习路线图》**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
2024-04-26 22:13:04
468
原创 如何入门学习黑客技术?如何选择编程语言?如何选择适合黑客的操作系统?
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的**《平均薪资40w的网络安全工程师学习路线图》**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
2024-04-26 20:58:56
582
原创 网络空间部队成立,网安工作者应该如何学习甚至加入呢?
昨晚被刷屏了,网络空间安全部队成立,网安牛回速归,对信息对抗感兴趣的小伙伴和还在校的大学生,你们的机会来啦。试想,大家以后可以报名参军,参加网络空间安全部队的选拔。所以,我觉得现在大家有必要提前学习和了解一下,美国的网络空间部队的培养计划和网络部队兵种的分类课程内容:网络攻击类型、防御策略、加密技术概论、网络协议和应用。时间安排:4周,每周5课时。评估方式:每周小测试加最后的综合考试。课程内容:操作系统安全、网络设备和架构、防火墙和入侵检测系统的配置和管理。时间安排:6周,每周5课时。
2024-04-26 20:38:08
630
原创 一个黑客的真实收入到底是多少?鼠标一点,轻轻松松到账一个小目标?
哪种黑客收入最高呢?从外界角度来看,黑客一直被认为是高收入群体,年入百万豪车美女等等。但其实黑客也有白帽和黑帽之分,处于黑白两大的黑客掌握的技术都有些相似,但做的事情却是对立的。白帽子做网络安全,修补漏洞,黑帽子各种破坏,挖数据、攻击漏洞。白帽黑客一般收入稳定,有不少顶级白帽年入百万的,比如前阿里集团守护神吴汉卿。其实白帽子说白了就是网络安全从业者,有正规的工作岗位。
2024-04-25 11:17:46
612
原创 零基础如何学习Web 安全,如何让普通人快速入门网络安全?
网络安全现在是朝阳行业,缺口是很大。不过网络安全行业就是需要技术很多的人达不到企业要求才导致人才缺口大初级的现在有很多的运维人员转网络安全,初级也会慢慢的卷起来,但是岗位多不用怕,以后各大厂也都会要网络安全人员,后续法律也会改革,网络安全只会越来越好,毕竟是国家牵头的,网络安全问题导致很多大企业都泄露过信息,还有被勒索的,层出不穷。这个行业优势就是工资高,缺点就需要一直学,卷得要死,不是跟别人卷,而是跟自己卷,一会后面细说这个行业目前从事最多几个岗位,分别是安全运维,安全服务,安全研究。
2024-04-25 10:50:16
703
原创 当求职腾讯,三面被问到有没有参加过CTF我反手就是一套军体拳打得面试官哑口无言!_奖金丰厚
这是一场紧张的比赛,现场激情解说:“SP的战队率先发起攻击,可惜被K&K战队以三行代码轻松拦截!“哇哦,SP战队依旧紧追猛打,在几秒之内就找到了对方漏洞所在,极速完胜对手!“天哪,SP战队再次找到K&K服务器防御漏洞!电视剧为了渲染效果,喜欢把CTF搞得跟电子竞技比赛一样,如果你真以为CTF比赛就是电视剧中“现男友”展现的这样:还有这样:那就大错特错了!CTF比赛并不是一个电竞项目,真实的CTF是这样的:(图片来源于XNUCA比赛现场图)
2024-04-25 10:46:45
1028
原创 安全网格:数据安全的终极解决方案
因此,评估安全网格产品需要重点关注它是否提供能立刻带来价值的情景化输出,是否支持用户利用自助分析来查询任何数据集,或者更有价值的是,利用本机应用程序来解决特定用例(例如,基于风险的漏洞和攻击面管理、安全KPI和资源规划、安全控制有效性管理)。传统网络安全方法需要从无数安全工具产生的数据洪流中提取价值信息,以加快缓解和修复速度,提高安全团队的生产力,并最终增强安全控制的有效性。事实上,五花八门的安全工具所产生的海量安全数据反而成了数据安全和网络安全的一大挑战,导致企业陷入被动防御的局面。
2024-04-24 11:08:32
500
原创 渗透某培训平台经历
然后发现student.***和learn.***的公网IP一样,但是Getshell之后的内网IP和文件内容之类的完全不一样,于是猜测IP***.***.***.121是一个反向代理服务器,基于请求的Host再分配给不同的内网机器来处理,也就是说student.***和learn.***应该是没有公网IP的。发现其中有一个数据库名字和主站某管理登录页面的URI一样,于是摸了一下摸到sys_user表,找到了管理登录的数据(真nb,这几个站连管理员的数据表名字都一模一样,真就找都不用找)。
2024-04-24 11:06:31
1008
原创 干货 支付金额类漏洞挖掘技巧总结
前言支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。前言:支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
2024-04-24 11:01:53
864
原创 【Kali】kali主要工具使用说明(文末附超全思维导图)
changeme -a 目标探测目标是否使用默认密码(新版本中已移除该工具)强大之处在于提供了大量的渗透测试模块和插件。7种类型,Exploits(渗透攻击模块)、Auxiliary(辅助模块)、Post(后渗透攻击模块)、Payloads(攻击载荷模块)、Encoders(编码器模块)、Nops(空指令模块)、Evasion(规避模块)。
2024-04-23 10:15:07
645
原创 kali Linux 安装教程(保姆级)
Kali Linux是基于`Debian`的`Linux发行版`, 设计用于数字取证操作系统。每一季度更新一次。由`Offensive Security Ltd`维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。【[百度百科Kali详情](https://baike.baidu.com/item/Kali%20linux/8305689) | [kali中文
2024-04-23 10:10:15
1012
原创 传统制造行业信息安全管理实践
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
2024-04-22 11:22:53
876
原创 图文详解_安全设备的几种部署方式
顾名思义,在这种工作模式下,安全设备是串联在网络链路中的,所有的网络流量都会经过安全设备过滤,再转发出去。串联模式又分为两种,一是,二是。如图所示,左侧是未接入安全设备的网络配置和拓扑图,交换机上联端口G1/1配置IP地址为192.168.1.1/30,路由器下联端口G1/1配置IP地址为192.168.1.2/30,交换机与路由器之间只需配置路由相互指向即可。
2024-04-22 11:01:15
789
原创 前端开发转行做渗透测试容易吗?通过挖漏洞来赚钱靠谱吗?
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
2024-04-22 10:59:40
755
原创 2024程序员就业指南。
1.在疫情的背景下,远程办公、混合办公成为趋势,而对应地,公司内部的业务系统需要支持灵活办公的需求。分布式、模块化的发展方向得到促进与加强。疫情也促进了企业应用和数据的逐渐上云,不管是私有云还是公有云,亦或是混合云,上云的步伐前进了一步,涉及相关的发展、敏捷、DevOps、协作平台、行业云平台成为新的趋势。数据的流转变得自由起来,传统边界变得不清晰了,数据需要自带身份,更需要主动检测身份。
2024-04-22 10:55:43
1009
原创 在360干了3年网络安全工程师,30岁即将退休的我,告诉你网络安全的真实就业前景
他们工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,会越老越吃香。而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。网络安全行业毫无疑问是很有前景的一个行业,中央在2019年提出的中国制造和5G建设目前还处于发展中,远的不说,5年是需要的,5年之后风口在哪我不知道,但我觉得网络安全行业依然是未来的重头戏。
2024-04-19 10:38:03
1034
原创 SOAR安全事件编排自动化响应-安全运营实战
SOAR是最近几年安全市场上最火热的词汇之一。各个安全产商都先后推出了相应的产品,但大部分都用得不是很理想。SOAR不同与传统的安全设备,买来后实施部署就完事,SOAR是一个安全运营系统,是实现安全运营过程中人、工具、流程的有效协同,提高安全运营效率的平台。核心在于运营,在运营的过程中不断结合自身企业的安全情况,对接设备、优化剧本流程、制定相应的制度来发挥SOAR安全事件编排自动化响应系统的最大的效果。在安全运营实战过程中人员、工具、流程、制度一个都不能少。
2024-04-19 10:21:16
664
原创 堡垒机的详细使用教程
运维人员通过接入堡垒机的统一管理平台来对企业内部的信息资产进行运维操作,从而运维人员的所有运维操作都可以被堡垒机记录并审计,堡垒机上还可以通过配置各种权限来限制运维人员的操作。
2024-04-19 10:17:48
908
原创 【无需卸载,丝滑关闭奇安信天擎开机自启动(步骤超简单)】
网上找到了好多资料都是步骤如下:1,安全模式2,找到360Safe\EntClient\conf\EntBase.dat修改配置参数。但是NO NO NO!我找不到这个EntBase.bat配置文件估计我这个是企业专门定制款、和网上的不一样(PS:后来我发现,网上说的那些都是旧版本的天擎,而我现在遇到的这个是版本更高的天擎是,所以新旧版本的天擎的文件目录都不一样)但是我可以借助大致的思路。。。于是乎,我另向思考。既然可以用配置文件修改,那么就去找找类似的配置文件将将~终于被我找到了!
2024-04-19 10:13:16
654
原创 华为防火墙实战配置教程
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。今天给大家带来的是华为防火墙相关的实战,内容详实,可供参考!
2024-04-19 10:07:58
618
原创 奇安信_天眼_探针分析平台部署及联动
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、流量传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。一般仅需分析平台,流量传感器(探针)这2台设备配合使用。也有先锋版天眼,一台设备包括流量传感器和分析平台的功能,不需要额外的联动配置天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台。
2024-04-19 09:52:59
777
原创 深信服AF对接配置
深信服云安全访问服务(Sangfor Access)是国内首批基于SASE模型的云安全服务平台,将深信服已有的安全能力(上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入服务等)聚合并云化,通过轻量级客户端软件,将网络流量引流上云进行管理和安全检测,满足企业总部、分公司、移动办公多场景下的办公安全需求。
2024-04-19 09:45:54
759
原创 Github网络安全测试工具库
WebGoat漏洞练习平台:https://github.com/WebGoat/WebGoatwebgoat-legacy漏洞练习平台:https://github.com/WebGoat/WebGoat-Legacyzvuldirll漏洞练习平台:https://github.com/710leo/ZVulDrillvulapps漏洞练习平台:https://github.com/Medicean/VulAppsdvwa漏洞练习平台:https://github.com/RandomStorm
2024-04-18 14:11:21
719
原创 2023-2024年华为ICT网络赛道模拟题库
参赛对象及要求:参赛对象:现有华为ICT学院及未来有意愿成为华为ICT学院的本科及高职院校在校学生。参赛要求:1、为ICT学院可报名选手数量不限,非华为ICT学院最多可报30名选手;2、参加全国总决赛队伍需要具备可用PC和上网条件;3、总决赛参赛团队必须由3名学生和1名指导老师组成,学生及指导老师需来自同一所高校;4、每名总决赛参赛选手只能参加一个赛道(实践赛与创新赛报名互斥)。赛程介绍:三个阶段:区域赛;国家赛;全球总决赛。
2024-04-18 14:08:05
745
原创 NISP一级备考知识总结之信息安全概述、信息安全基础
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-04-18 10:00:05
1016
原创 为什么黑客不黑_攻击赌博网站?如何入门黑客?
攻击了,只是你不知道而已!同样,对方也不会通知你,告诉你他黑了赌博网站。攻击赌博网站的不一定是正义的黑客,也可能是因赌博输钱而误入歧途的法外狂徒。之前看过一个警方破获的真实案件:28岁小伙因赌博无法提款自学成为黑客,攻击境外博彩网站日进万元,最终因涉嫌非法控制计算机信息系统罪被捕。
2024-04-18 09:56:46
764
原创 【web安全】——一篇文章看懂逻辑漏洞
逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。
2024-04-18 09:50:40
592
原创 web渗透学习路线
本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。本文偏基础能让萌新们快速摸到渗透测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~这里附上我之前学习的路线图web安全其实是个大坑,进去容易出去难,入门容易提升难,我们这行没有其他专业那么有趣,甚至可以说是枯燥乏味,但是还是希望选择web路线的学弟学妹们坚持web这条路线,不要中途放弃。
2024-04-18 09:47:34
976
原创 SQL Injection (Blind)之盲注(原理、分类、利用)
在SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响 应时间不同)。一般情况下,盲注可分为两类:基于布尔的盲注(Boolean based)基于时间的盲注(Time based)
2024-04-17 10:03:47
909
原创 【超全超详细】2W字零基础小白黑客学习路线,知识体系(附学习路线图)
这是外网曾经一篇很火的关于如何成为一个黑客的文章,虽然里面提到的一些技术可能有些过时,但就学习方法和思想上,仍然值得我分享给大家。关注大师的言行, 跟随大师的举动, 和大师一并修行, 领会大师的意境, 成为真正的大师。这可以追溯到几十年前,那时候第一代分时微型计算机才刚刚诞生, 而 ARPAnet 的实验也才刚展开。那时的编程专家和组网高手建立了一个具有共享性质的文化社群, “hacker” 这个名词就是其中的成员创造的。
2024-04-17 09:54:13
818
原创 【网络安全】带你了解什么是【黑客】
黑客(Hacker)是指那些具备计算机技术专业知识,并能够通过创造性的方式突破系统安全,探索和发现计算机系统中的漏洞和弱点的人。黑客的技能范畴广泛,他们可以是计算机安全专家、网络程序员或者是信息技术爱好者。黑客在信息安全领域发挥着重要作用。他们通过发现和披露系统漏洞,推动了软件和网络安全的发展,有助于保护个人隐私和企业机密不被未授权访问。此外,一些黑客还为技术社区、开源软件和互联网服务做出了杰出贡献。黑客既是一种技术能力的象征,也是一个复杂的文化群体。他们的存在对于互联网和信息安全至关重要。
2024-04-17 09:47:10
577
原创 零基础自学网络安全,真的看这一篇就够了
很多人都是冲着要把网络安全学好学扎实来的,于是就很容易用力过猛,陷入一个误区:就是把所有的内容都要进行深度学习,但是把深度学习作为网络安全第一课不是个好主意。挖SRC的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而SRC是一个非常好的技能应用机会。观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2024-04-16 11:10:37
430
原创 网络工程专业的毕业生现在都在干什么,后悔当时的选择吗?
我就是学的网络工程专业,三流大学,科成的网络工程专业,我感觉我大一大二都在浑浑噩噩虚度光阴,因为上那些课,C语言、JAVA、计算机导论什么的,我感觉我没有任何收获(可能是个人爱好的原因吧,敲代码上手快,程序逻辑理解透彻),反正感觉老师讲的没意思,上课就打王者 吃鸡,现在大四,从未挂科。大三,有幸认识一位朋友,吃饭认识的,让我认识到什么是网络安全(刚开始不懂,走了很多弯路,学了一个月乱七八糟的,然后开始接触CTF),和朋友一起打CTF,认识了更多行业上的大佬、巨佬。
2024-04-16 10:02:15
775
原创 信息安全-网安产品(WAF、蜜罐、漏洞扫描工具、安全事件系统)
WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护,主要是对web类型的应用的保护,好比web应用的贴身保镖,waf的安全能力是强大的,可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ,暴力破解,爬虫,0day,webshell 进行防护。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…任何显著违反协议规范的请求都有可能被视为恶意的。
2024-04-15 10:50:11
752
原创 中国黑客关系图
袁哥、沈继业、冰河、杨冀龙、杨勇、方兴、江海客、季昕华、黑哥……致敬网安领域的时代先驱们。他们是普通人,却又如此传奇。11999年,西安电子科技大学大四学生黄鑫编辑了一个可以控制别人电脑的程序“冰河”,他实习工作的同事建议他放在网上。“这么好玩的软件,为什么不与更多人分享呢?谁能想到“冰河”竟然会爆炸性传播开来,它后来成为了中国最著名的木马程序,黄鑫也在小小年纪就成为中国“木马教父”。事实上,黄鑫写这个程序纯粹是出于好奇,并没有任何恶意。
2024-04-15 10:38:20
706
原创 普通学校计算机毕业生,从事网络安全行业可以吗?
再加上近几年大数据和人工智能的兴起,计算机专业的人才需求量非常大,这也导致了大批量学生,985、211也好,普通本科也好,甚至大专的学生选专业时都随大流、不考虑自己的实际情况选择了计算机。当然,虽然每个人都可以转行做网络安全,但我更建议有学历(最少大专)、有计算机基础的同学来学,因为有基础入行快、提升快,能很快适应节奏,而外行入门并不一定能在程序员的路上坚持住,提升的也慢。也难怪,只要经常看新闻,都知道像华为、腾讯这样的大厂,程序员年薪都是接近百万的,哪怕是体量再小点的企业,程序员工资也是万元起步的。
2024-04-15 09:58:46
1026
原创 一个完整的渗透学习路线是怎样的?如何成为安全渗透工程师?
我是如何学习黑客和渗透测试的,在这里,我就把我的学习路线写一下,让新手和小白们不再迷茫,少走弯路,拒绝时间上的浪费!Kali Linux介绍Kali Linux的前世今生Linux常用命令介绍Kali工具集介绍修改Kali源和更新软件Kali常用配置和基本使用Kali启动root用户先想清楚自己对哪个行业更感兴趣,结合自己的兴趣、性格特征、能力强项去寻找适合自己的职业赛道。这个不仅仅是去看网上别人怎么选的,因为每个人的情况毕竟是不一样的,别人的选择不能适用于你。祝大家学有所成!
2024-04-15 09:49:31
898
原创 PADS Layout安全间距检查报错
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。BAK_FIXCLK_100M_P,再右键-特性,可以看到该网络的差分对特性的宽度(线宽)与间隙(线距)都默认为5mil!
2024-04-15 09:36:32
829
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人