liguangyao213的博客

原创 java web安全代码审计

针对javaweb系统进行全方位的分析，分析其代码中的安全问题，发现编码过程中存在漏洞及风险，并给出修复建议，下图是课程大纲，百度链接为免费试看课程哦。我的欢迎加微信撩我：HackMan2试听课程：链接：https://pan.baidu.com/s/1T-cNBPmhepq81TLDPj663A 提取码：shu5...

原创 web渗透测试课程，0基础走向大师之路

原创 应届生必看 | 毕业第一份工作干销售好不好？

相比其他的技术岗位，他需要考虑的事情很多，需要懂的东西也很多，不仅需要专业知识过硬，而且情商以及经商头脑也要很强，这也为以后的创业打下了很好的基础。每天接触不一样的人，建立信任，丰富人脉，了解客户的处境与面临的问题、难关，甚至是喜好，梦想，从他们身上汲取新鲜的经验与养分。：销售经常面对别人的拒绝和冷脸，容易内耗，需要拥有强大的内心，不断接受一个个挫折，需要及时调整心态迎接下一个挑战。5．需要持续学习：随着市场的不断变化和竞争的加剧，销售人员需要不断学习和更新自己的知识和技能，以适应市场的变化，这。

原创 奇安信渗透2面经验分享

网安面试指南》《Java代码审计》《Web安全》

原创 网安面试会问到的：http的长连接和短连接

网安面试指南》《Java代码审计》《Web安全》

原创 秋招常问的面试题：Cookie和Session的区别

用户第一次请求服务器的时候，服务器根据用户提交的相关信息，创建创建对应的 Session ，请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器，浏览器接收到服务器返回的 SessionID 信息后，会将此信息存入到 Cookie 中，同时 Cookie 记录此 SessionID 属于哪个域名。这个时候就需要有一个机制来告诉服务端，本次操作用户是否登录，是哪个用户在执行的操作，那这套机制的实现就需要 Cookie 和 Session 的配合。特定用户会话所需的属性及配置信息。

原创 这么详细的Wireshark的抓包和分析，工作中是没人告诉你的！

网安面试指南》《Java代码审计》《Web安全》WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具，深受各类和网络分析师的喜爱。本文主要内容包括：1、Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。

原创 秋招面试注意了！网络安全工程师面试最怕遇到的问题，很多人都经历过！

网安面试指南》《Java代码审计》《Web安全》面试这事儿，相信大家都不陌生，网络安全工程师的面试也不例外。作为一名网安工程师，面试时可能会遇到各种刁钻的问题。这些问题不光考验你的技术功底、项目经验、解决问题的能力，还会涉及一些软实力，比如沟通、团队合作和学习能力等。如果技术扎实，那自然是不怕的，但如果底子不太硬，那就容易有点儿挤牙膏的感觉了。不过呢，面试除了考技术，表达能力也是很关键的。面试过程中很多朋友可能懂这个知识点，但就是说不利索，面试的时候就容易卡壳。

原创 某oa命令执行漏洞挖掘思路

网安面试指南》《Java代码审计》《Web安全》前段时间看到某系统爆出一个RCE，随后找到了源码对漏洞进行分析，并利用历史漏洞找到了其他突破点，进而找到新的漏洞。前段时间看到某系统爆出一个RCE，随后找到了源码对漏洞进行分析，并利用历史漏洞找到了其他突破点，进而找到新的漏洞。

原创 信息收集中的万字长文，面试肯定会问到

网安面试指南》《Java代码审计》《Web安全》工商数据收集- 简介- 工商数据可以帮助测试人员更好地了解目标公司的信息，以便收敛测试的目标范围。例如，可以通过工商数据获取公司的控股子公司、经营业务、对外发布的产品等信息这些信息可以帮助我们更准确地识别出目标公司的网络资产，以便对其进行更有效漏洞挖掘- 工商数据- 信息来源- 爱企查- 企百笪- 天眼查- 启信宝- 小蓝本- 关注内容- 企业股权架构- 网站备案- 对外公布的产品（小程序、公众号APP、iot设备等）

原创 网络安全笔试进阶练习题，来测测你能答对几个？

例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，她能够在正常数据包中插入恶意数据，也能够在双方的会话当中进行监听，甚至能够是代替某一方主机接管会话。而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话,这种攻击方法危害非常大，攻击者能够做很多事情。22．下面是关于计算机病毒的两种论断，经判断 （1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其它程序中去;一个基本的TCP协议设计是传输的数据的每一个字节必须要有一个序列号码。

原创 网络安全笔试练习题，据说10分钟内答对的都是高手！

搜索用网关其原理是在网关计算机上运行应用代理程序，运行时由两部分连接构成:一部分是应同内部网用户计算机建立的连接，另一部分是代替原来的客户程序与服务器建立的连接。经过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包经过。状态码:是用以表示网页服务器HTTP响应状态的3位数302:请求的资源现在临时从不同的URI响应请求。3、许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对此最可靠的解决方案是什么?12．下列协议中，哪个不是一个专用的安全协议。

原创 清华大佬自曝：接到了省烟草局的offer,我就拒掉了华为！结果华为立马给我申请了特殊涨薪，总包70w是烟草的2倍，这可如何是好？

华为的工作强度和压力，是较大的，职业的发展会有风险，烟草的话是可以补充华为的风险，两者无法同时拥有。有人觉得华为好，有人觉得烟草好，都是没错的，人在不同的经历下，做的选择是符合自己利益的。有网友拿到了华为的Offer，同时也能进烟草局，有选择的人也是痛苦的，毕竟华为的薪酬高，烟草的工作稳定，两者是互补的。学生时代看重的东西，跟进入职场看重的东西，是不同的，今天你看上的工作，明天未必会看得上，一个时期一个时期的认知。稳定是稀缺的，卡里余额多的人，稳定的概率更大，在单位是否会有风险，未来无法预测。

原创 《凡人歌》：网络安全组电话响3声必须接，安全组长被压迫患得惊恐症、抑郁症

吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》趁着放假，追了一下《凡人歌》，其中一个角色，那隽、小名“卷卷”某上市互联网公司的，因长期的加班，以及对自己严苛的要求，最终拖垮了身体，患上了严重的惊恐症，又出现短暂性耳聋，为了不失去工作，他处处遮遮掩掩，甚至还设计了车祸住院。最终，在公司的压迫下，那隽选择主动离职，并成功转型技术管理岗位，成为一家规模稍小的公司的技术总监。

原创 离谱碾压！奇安信中标：高出第二名近70分！

本项目将对照国家网络安全、关键信息基础设施保护和数据安全技术要求，落实关键信息基础设施安全检查和重要政务应用安全检查，从技术角度检查省级政务平台上重要核心政务系统是否存在安全风险，提升省级政务平台核心政务应用系统的自身安全能力，并对实战环境下数字政府信息系统可能存在的相关安全缺陷、应急处置响应能力、可持续性服务能力进行技术验证，最终促进数字政府信息安全管理和网络安全防护能力的提升。涵盖了业务安全检查、蓝队评估（实战攻防对抗能力测试）、网络安全技术与管理检查、现场渗透测试、网站安全检查服务。

原创 网络安全有救了，37所高校新增网络安全空间安全专业

网安面试指南》《Java代码审计》

原创 红队C2工具Sliver探究与免杀

官方文档：https://github.com/BishopFox/sliver/wiki 下载地址：https://github.com/BishopFox/sliver。

原创 IPS和IDS有啥区别？

吉祥知识星球《网安面试指南》《Java代码审计》在网络安全领域，入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是两种关键的技术，旨在保护网络免受各种威胁。这两者尽管名字相似，但在功能、配置、以及应用场景等方面都有着显著的差异。

原创 120张网络安全等保拓扑大全

安全意识培训不是一个ppt通吃，不同的场景应该用不同的培训方式和内容。120张网络安全等保拓扑大全已更新至。🔗哦，有兴趣的领取吧。

原创 14份网络安全意识培训ppt

网络安全周就要来了，培训材料已经准备好了，文末领取吧。里还有14份各种行业的ppt呢。14份网络安全意识培训ppt。

原创 【SRC】某次众测绕过限制注册用户+敏感信息泄露漏洞

吉祥知识星球《网安面试指南》《Java代码审计》

原创 三大技术都有的零信任厂商，他来打擂了！

标准零信任架构的业务隐身是靠传统防火墙的“Deny-All策略”，加SDP的“单包授权（SPA）技术”来实现的，这本身会比较重。“网络世界里，绝大多数网络应用都基于TCP/IP协议运行，它是网络的开放高速公路，传统的网络安全产品都是在应用层做安全防护，相当于在车辆上装防护系统，铠盾则相当于是建造了一条封闭的磁悬浮公路，在不改造应用的前提下，将网络应用从网络世界隐身”，但是改造协议，就意味着把方便让度给用户的同时，自己就要承担更加复杂的协议解析工作，这是一条“少有人走的路”。【3】上市公司认可的价值。

原创 网络安全行业颓废的根本原因：从“技术活儿”变成了“销售活儿”

例如：漏洞挖掘与利用技术、Web攻击技术、口令攻击技术（暴力破解法、强力攻击、字典攻击等）、恶意代码攻击技术、拒绝服务攻击技术、网络欺骗技术（网页挂马、下载诱骗、钓鱼网站等）等等。甲方的安全工作，都是围绕资产、脆弱性、威胁这三个要素展开，都是为了达到可用性、保密性、完整性的目标。说完，他站在窗边，看着楼下雨中来往的车辆，眼里充满了焦虑和悲伤，还有深深的无奈。资产、脆弱性、威胁，一个安全公司能够真正搞定其中的一个点，就能利于不败之地。网络安全，针对的是安全风险，风险是一个关于资产、脆弱性、威胁的函数。

原创 jboss如何进行弱口令爆破

吉祥知识星球《网安面试指南》这里以jboss为例，也可以通过鹰图等资产测绘，搜集其他网站信息进行测试Jboss4.0默认页面登录管理。

原创 记一次小黄站渗透过程，实操！

记录某一次无意点开的一个小网站的渗透过程，幸运的是搭建平台是phpstudy，cms是beecms，beecms有通用漏洞，然后去网上找了资料，成功getshell并获取服务器权限。

原创 2024护网行动指南

指挥机构∶由公安机关统一组织的"网络安全实战攻防演习"。护网分为两级演习∶公安部对总部，省厅对省级公司。每支队伍3-5 人组成，明确目标系统，不限制攻击路径。提交漏洞不得分，获取权限、数据才能得分。闭环护网安全风险 吸取护网经验教训 备战后续护网保障 …t=N7T8t=N7T8t=N7T8吉祥知识星球http://mp.weixin.qq.com/s?《网安面试指南》http://mp.weixin.qq.com/s?《Java代码审计》http://mp.weixin.qq.com/s?

原创 七款最佳的渗透测试工具

Nmap 是 Network Mapper 的缩写，是一款用于网络发现和安全审计的免费开源工具。渗透测试工具是模拟对计算机系统、网络或 Web 应用程序的网络攻击的软件应用程序，它们的作用是在实际攻击者之前发现安全漏洞。它是网络故障排除、分析、软件和通信协议开发以及教育的必备工具。Metasploit 框架是网络安全界备受推崇的工具，是渗透测试任务的关键组件。端口扫描：发现网络设备上的开放端口，帮助识别未经授权的服务或潜在的入口点。全面的工具集：超过 600 个预装的渗透测试程序提供了广泛的功能。

原创 【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1

它包含了脚本类工具，在Windows中启动，集成了在线安全工具，包含信息收集、漏洞利用、逆向破解、蓝队工具等类别，为渗透测试者提供了全面的参考工具。该工具箱“借鉴”了公众号如棠安全的RuTangInfoSec tools和知善攻防实验室的应急响应工具箱，总结收集的还是比较全面的。综合了两位收集的工具，然后做了一点改变，比如由绝对路径改成了相对路径，也加了几个我们公众号自研的工具，就是灵兔宝盒了。运行也行，打开后找到备份/还原数据，点击还原，选择工具箱根目录的Data.db进行还原后即可使用。

原创 Android破签：密钥native方法里了？不会C也看不懂IDA？用这个工具吧~

吉祥知识星球《网安面试指南》最近在挖某APP时，想要尝试修改请求参数，但是发现这个APP对所有的请求都做了签名校验。那没办法，只能反编译APK看一下签名是怎么实现的了。反编译不细说，无非就是dex2jar / jadx这些工具反编译之后，在源码中根据签名请求头名称“Sign”搜索来找到对应的代码，发现签名的方式比较常规，就是通过“”生成一个字符串，然后使用一个对这个字符串进行HMACMD5，生成一个签名后，将它放在“Sign”请求头里面一起传给服务端进行验证。

原创 实战|任意用户漏洞挖掘分享

吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》

原创 坚持使用WAF的10个理由

同时，WAF系统本身也在不断的进化，新一代WAF系统的保护能力和范围已经远远超出我们的传统认知，它们甚至不仅是一种安全方案，还可以成为一种为业务赋能的工具。WAF系统的这项新功能对企业而言，正变得越来越重要，因为机器人程序正以前所未有的方式在网上肆虐，并对组织的经营收入和客户体验产生了严重的负面影响。通过WAF系统提供的安全防护能力，组织可以在系统上线后在应用层发现并阻止漏洞，这在很大程度上降低了开发或IT团队的安全压力，使其能够专注于核心业务功能的实现，而不是在开发过程中反复不断的修补安全问题。

原创 防火墙基本原理入门篇，小白一看就懂！

您现在已经了解了防火墙的基础知识。防火墙使用状态过滤来跟踪所有入站和出站连接。他们还能够（主要看防火墙型号）检查 OSI 模型的第 7 层、应用程序的有效负载。防火墙还使用安全区域，允许来自高安全级别的流量进入较低安全级别。从低安全级别到高安全级别的流量将被拒绝，可以使用访问控制列表进行特例处理。t=N7T8t=N7T8t=N7T8吉祥知识星球http://mp.weixin.qq.com/s?《网安面试指南》http://mp.weixin.qq.com/s?

原创 2w字的网络面试题库

这道题考查的知识点，不仅仅是数字签名，数字证书，很可能面试官也会问你https的原理的，因为https原理跟数字证书有关的哈，大家需要掌握https原理哦。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。它的出现，是为了避免身份被篡改冒充的。数字证书构成公钥和个人等信息，经过Hash摘要算法加密，形成消息摘要；将消息摘要拿到拥有公信力的认证中心（CA），用它的私钥对消息摘要加密，形成数字签名。公钥和个人信息、数字签名共同构成数字证书。

原创 2024年网络安全面试题汇总

我梳理了一套网络安全面试题合集，包括每一道题目都特别经典，大厂也非常喜欢问。相信大家看完，会有新的收获~164道网络安全面试题。《Java代码审计》

原创 比谁最会亏，还得看网安一哥，半年亏掉8.2亿

8月29号奇安信发布财报，2024年1月至6月，营收17.8亿，同比降低了28.17%，业务降低了但是亏损似乎并没有怎么降低，上半年亏损8.2亿元，2023年上半年亏损8.8亿几乎持平。上半年财报可以看出，公司研发人数3147，同比去年上半年研发人数3642，减少了395人，平均薪酬也由原来的21.22万元/年，降低到了17.59万元/年。按理来说干的越多，亏的越多，这干的少了杂还亏的多了呢？添加图片注释，不超过 140 字（可选）添加图片注释，不超过 140 字（可选）《Java代码审计》

原创 【网络安全】打开这份“开学礼” 谨防骗子“冲业绩”

“亲爱的家长您好，因校讯通升级之需，请点击链接下载最新版校讯通。骗子根据远程监控获取到的家长个人隐私信息来冒充领导，并通过远程操控电脑删除通讯好友中的“真领导”，转而添加自己所扮演的角色，模仿领导语气和行事风格，编造理由要求转账汇款实施诈骗。这些骗子或是以预收学费为名，或是声称学校开设补习班要求收取补习费用，亦或是借题发挥，通过设置与老师相同的头像，模仿平时教育部门下发的通知内容，随后将收款二维码发布在群中，致使部分家长信以为真，最终被骗。网警蜀黎为大家送上一份。《Java代码审计》

原创 网络安全面试经验80篇

吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》•渗透测试(红队攻防)•代码审计•安全研究•红队开发•...主要由两部分组成：•个人面试•互联网收纳整理。

原创 2024最全网络安全工程师面试题（附答案），金九银十找工作必看！

答：DDoS 攻击是指利用大量的计算机或者其他网络设备，同时向目标网络或者服务器发送大量的数据流量，以致其无法正常工作，从而导致网络瘫痪或者服务器宕机的攻击行为。防范措施包括：增加带宽，使用防火墙，安装 IPS 和 IDS，以及限制连接速率等措施。答：黑客攻击是指利用各种手段，如网络钓鱼、木马病毒、暴力破解等方式，对网络或者计算机进行攻击的行为。预防措施包括：加强安全管理、定期备份数据、加强密码安全、及时更新软件和系统补丁、使用网络防火墙和安全软件等。

原创 又一网安公司公积金降到5%，取消综合福利补贴、全勤奖

售后工程是一个晚上要去几个客户现场进行割接、安服工程师一个月干不完的渗透和值守，售前也是写不完的方案，一个个工时都爆表。小编觉得应该是在管理费用和销售费用上啊，一年管理费用和销售费用动不动就在几个亿，下面员工一年的公积金才能有多少钱呢？就身边看到的在网安一线上市公司干的3-8年之间的技术，二线薪资也就在10-20k之间，偶尔有见超过20k的。近期不断有网安上市公司发布上半年财报，从目前已经发布的情况来看没有一家公司是盈利的，并且从财报中也似乎看不出来有什么好办法走出亏损这条路。《Java代码审计》

原创 《2024网络安全十大创新方向》发布

吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》西南科技大学、西南交通大学和西安交通大学，被禁止3年内参加火箭军范围采购活动的处理全部产品类别。根据军采网消息，禁止的原因，是这三所大学在参加高压细水雾降温除尘优化仿真分析（项目编码：2020-JJYBBG-F3003）项目采购活动中，存在串通投标等违规行为。这三份公告并不是一天发出，8月26号发布了关于西南科技大学的公告公告，早些时候的8月16日发布了其他两所大学的处理公告。