logic1001的博客

网络攻防演练是新形势下网络安全保障工作的重要组成部分，演练通常是以实际运行的信息系统为保障目标（靶标），在保障业务系统稳定运行的前提下，

网络安全渗透测试是验证系统安全性的一种重要手段，通过对系统的弱点、漏洞、配置缺陷等进行深入探测和分析，以评估系统的安全性。**1. 端口扫描：**利用扫描工具对目标主机开放的网络端口进行扫描，以发现潜在的安全漏洞。常见的端口扫描工具有Nmap、SuperScan等。**2. 漏洞扫描：**利用漏洞扫描工具对目标系统进行漏洞检测，以发现已知的漏洞和弱点。常见的漏洞扫描工具有Nessus、OpenVAS等。**3. 暴力破解：**通过尝试常见的用户名和密码组合，以猜测目标系统的登录凭据。

Cobalt Strike 是一款专业的渗透测试和红队操作工具，旨在帮助安全专家模拟真实的攻击场景。它拥有强大的命令与控制（C2）功能、丰富的后渗透模块和灵活的脚本支持，使其成为安全评估和攻击模拟的重要工具。

Linux系统如果是学习可以选用redhat或centos，特别是centos在企业中用得最多，当然还会有其它版本的，但学习者还是以这2个版本学习就行，因为这两个版本都是兄弟，没区别的，有空可以再研究一下SUSE，有些公司也喜欢用，例如我公司。。。。。工具如下：1、Linux系统基础，这个不用说了，是基础中的基础，连这个都不会就别干了，参考书籍，可以看鸟哥Linux基础篇，至少要掌握这书60%内容，没必须全部掌握，但基本命令总得会吧。

Linux系统中， 用户程序可以通过系统调用接口请求内核提供服务，这些服务可能会修改硬件状态，管理文件系统，或者对进程进行同步等操作。用户程序在执行过程中，如果需要使用系统调用，可以通过内置的系统库或者直接使用系统调用的接口函数。系统调用的触发是在用户程序中进行的，当用户程序调用系统实用程序接口时，就会触发系统调用。在常见的情况下，系统调用接口的使用情景包括以下几种：访问系统资源：例如访问硬件设备，管理设备驱动程序，或者配置网络协议等操作，都需要使用系统调用接口发起请求。

xshell是非常流行的服务器连接工具，功能强大，界面美观。不过只支持windows系统。与之类似的还有mobaxterm，termius，putty等等。xshell收费工具，不过支持home和school版本免费使用。而且现在已经取消了4个窗口以及退出广告的限制，使用起来更流畅。xshell + xftp套件是收费软件，不过提供了家庭和校园版可以免费使用。只需要到下面网站提交邮箱即可。找不到网站，可以使用bing搜索关键字“”即可找到。

网工在处理和解决故障问题时能熟练运用Ping、ARP、Tracert、Route，就可以大大提高工作效率。实际案例中因为网络导致的故障也是最多的，通过今天的学习希望对大家以后的实际工作有所帮助。**一、**Ping （Packet Internet Groper）是一种因特网包探索器，用于测试网络连接量的程序 [1]。

了解这些常见的黑客技术，如网络钓鱼、DDoS、点击劫持等，可以为您的人身安全派上用场。以下是你应该知道的十大常见黑客技术。使用简单的黑客攻击，黑客可以了解您可能不想透露的未经授权的个人信息。了解这些常见的黑客技术，如网络钓鱼、DDoS、点击劫持等，可以为您的人身安全派上用场。由于这些原因，了解一些通常用于以未经授权的方式获取您的个人信息的黑客技术也很重要。

我们曾对黑客的世界充满着无限的幻想和畏惧，但随着技术的崛起和安全领域的进步，黑客技术已经变得越来越普遍。事实上，很多黑客工具可以用来进行渗透测试和安全测试，所以作为一名程序员，很有必要了解甚至尝试一下这些开源的黑客工具。但是请不要将它们用在非法用途。Metasploit Framework是一个编写、测试和使用exploit代码的完善环境。

白天上班敲敲代码，晚上空闲时间兼职接接私活，每月轻松3万+，很庆幸当初选择学了编程，知道了有技术能多吃香！几个收益高接单快非常靠谱的接私活平台，副业接私活风生水起，可谓是主副业两开花，既能提高收入又能锻炼技术。相信有好多人在学编程的时候，都想要去兼职，但是又不知道去哪里兼职。今天给大家分享几个可以接单的兼职平台。

今天分享一篇技术文章，你可能听说过很多大模型的知识，但却从未亲自使用或微调过大模型。大模型微调本身是一件非常复杂且技术难度很高的任务，因此本篇文章仅从零开始，手把手带你走一遍微调大模型的过程，并不会涉及过多技术细节。希望通过本文，你可以了解微调大模型的流程。微调大模型需要非常高的电脑配置，比如GPU环境，相当于你在已经预训练好的基础上再对大模型进行一次小的训练。但是不用担心，本篇文章会使用阿里魔塔社区提供的集成环境来进行，无需使用你自己的电脑配置环境。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和。

首先说一下这个行业的现状，真正科班出身软件测试专业的很少，因为只有个别院校有这个专业，根据了解也是教的很浅，对接不了企业的需求。那么说根据目前的现状，可以将这个行业的从业者分为这么几类：第一种，应届毕业生，要么是本专业学的就是这个，要么是在毕业之前就有针对性的进行过这个方向的学习，那么年龄基本在21-23左右；第二种，零基础转行，各种行业转行过来的，那么年龄会集中分布在22-32岁；

网络安全就是指，保护我们在生产生活中，一切可能接触到互联网的地方，以防受到不法分子的侵害。

随着网络安全产业与各行业各领域的深度融合，网络安全人才缺口逐步向复合型、创新型和应用型倾斜。了解当下网络安全岗位与技能匹配程度，有利于网安人求职涨薪。下面整合了网络安全人员的不同岗位的能力要求，希望能帮到大家。网络安全方向主要涉及规划与设计、建设与实施、运行与维护、应急与防御等阶段，不同阶段的人才需求也各不相同，能力要求更有不同。安全规划与设计方向又可以进行细分为需求分析和安全设计。系统安全需求分析师安全产品分析师业务安全分析师云计算产品安全分析师安全建设与实施又可以进行细分为安全开发和安全测试。

一、网络安全自查(一) 身份鉴别1)针对网络设备、操作系统、数据库及应用系统，排查管理账户口令复杂度是否不低于 8 位且至少包含大小写字母、数字及特殊字符中的 3 类（须重点关注是否存在弱口令或默认口令），口令应定期（如每季度）或不定期（如重大节日前）更换；2)针对网络设备、操作系统、数据库及应用系统，排查登录失败处理功能是否有效，可采取结束会话、限制非法登录次数和自动退出等措施；(二) 访问控制。

底线。

信息安全，听起来 “高大上”，似乎有点高深莫测，实际上我们一点也不陌生。在信息化的今天，我们接触到的信息安全实例比比皆是。比如我们日常使用的智能手机的指纹锁，身份证办理时录入的指纹，拥有 “黑科技”的虹膜识别技术，支付宝等软件在线交易时生成的动态验证码，电脑上的防火墙等。**信息安全是研究信息获取、存储、传输和处理中的安全保障问题的一门学科。

01CTF的起源CTF全称Capture The Flag，CTF的前身是传统黑客之间的网络技术比拼游戏，起源于 1996 年第四届 DEFCON。第一个 CTF 比赛（1996 年 - 2001 年），没有明确的比赛规则，没有专业搭建的比赛平台与环境。由参数队伍各自准备比赛目标（自行准备与防守比赛目标，并要尝试攻破对方的比赛目标）。而组织者大都只是一些非专业的志愿者，接受参赛队伍手工计分的请求。

在Linux系统中，shell变量是用于存储数据值的名称。这些变量可用于存储文本字符串、数字或其他类型的数据。shell变量在shell脚本和交互式shell会话中广泛使用，用于存储配置选项、临时数据以及执行命令所需的参数和环境信息。age=30在变量名和值之间可以有空格，但是不能有空格将变量名、等号和值分开。Shell脚本是一种用于编写自动化任务和系统管理脚本的文本文件，它由一系列Shell命令组成，并通过Shell解释器执行。

CSRF 是跨站请求伪造攻击，XSS 是实现 CSRF 的诸多手段中的一种，是由于没有在关键操作执行时。```XSS 是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。```服务器的相关信息（真实 ip，系统类型，版本，开放端口，WAF 等）whois 信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）业务逻辑漏洞，用户任意密码重置有什么例子，因为什么因素导致的?7传输协议，通用漏洞，exp，github 源码等。你常用的渗透工具有哪些，最常用的是哪个?

通常进入内网后，同样会进行内网信息收集、域内信息收集，在通过收集的信息进行内网漫游横向渗透扩大战果，在内网漫游过程中，会重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置，尝试突破核心系统权限、控制核心业务、获取核心数据，最终完成目标突破工作。内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

本文提出LLAMA FACTORY，一个集成了一套高效训练方法的统一大型语言模型微调框架。它允许用户灵活定制100+ LLM的微调，而无需通过内置的web UI LLAMA板进行编码。实证验证了该框架在语言建模和文本生成任务上的效率和有效性。目前已在Github上开源，地址https://github.com/hiyouga/LLaMA-Factory。

SQL注入是服务器端未严格校验客户端发送的数据，而导致服务端SQL语句被恶意修改并成功执行的行为称为SQL注入。

CTF（Capture The Flag），中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，是目前较流行的网络安全赛事。

网络安全工程师也叫信息安全工程师。随着互联网的发展和IT技术的普及，网络和IT已经逐渐渗透到我们的日常生活和工作中。社会信息化和信息网络化突破了信息应用在时间和空间上的壁垒，信息的价值不断提高。但与此同时，网页篡改、计算机病毒、非法系统入侵、数据泄露、网站欺骗、服务瘫痪、非法利用漏洞等信息安全事件时有发生。网络安全工程师是专门负责保护公司、组织或个人的网络系统安全的职业。他们的主要职责包括：防范黑客入侵并进行分析和防范。

网络安全是软件系统质量模型中的重要指标之一，

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…制胜点就在这里了，比如你交了一个中危的漏洞是3分，但是你报告写的好，是优秀，积分翻倍变6分，相当于交了两个中危漏洞。我看很多人，漏洞正文只有文字 没有图片，很简陋，我们最好加上图片，审核员看的舒服一点，心情好点，对我们有好处。我在上面的“提交报告”中，教大家提交的报告，漏洞标题、基本信息、漏洞正文，这3个都算好，不用管。

（web）工作内容是负责把设计做的界面，用技术的手段还原出来。我做的就是前端，这个岗位对计算机专业基础要求不高，只要你有耐心，肯坚持，半年能学会。

主机存活探测、漏洞扫描、子域名扫描、端口扫描、各类服务数据库爆破、poc扫描、xss扫描、webtitle探测、web指纹识别、web敏感信息泄露、web目录浏览、web文件下载、等保安全风险问题风险自查等；弱口令/未授权访问：40余种；WEB组件识别：300余种；漏洞扫描：XSS、任意文件访问、任意命令执行、敏感信息泄露、默认账户密码…；资产扫描：扫描存活主机->判断存活端口->识别协议/组件->基于组件协议进行弱口令、漏洞扫描->输出报告。

列表是 Python 中最常用的数据结构之一，用于存储一组有序的元素。列表使用方括号[]定义，可以包含任意类型的元素，甚至可以包含其他列表。

随着网络安全行业的不断内卷，相关的认证数量也不断增加。有的业内大佬已经斩获多张证书以彰显自己在行业内的不俗实力和超凡的学习能力，而还站在网络安全门口的同志们看到琳琅满目的认证也不知道自己该从哪个认证着手考试。本文收集常见的网络安全相关的认证证书，涉及中国网络安全测评中心、中国网络安全审查技术与认证中心、(ISC)²、国际信息系统审计协会、云安全联盟CSA、EXIN以及APMG等众多国内外知名机构的认证证书样例。CISO｜国家注册信息安全管理人员CISE｜国家注册信息安全工程师。

一个CTF+渗透测试工具包，主要实现一些常用的加密与编码功能，在软件使用过程中发现问题或建议欢迎提交 issue，也欢迎提交新功能需求。前身为CryptionTool，为更方便的开发更换框架重构，软件基于JDK17开发，使用JAVAFX UI框架以及JFoenixUI组件架构，详见开发文档。

Linux通用应急响应脚本，适用大多数情况目前在ubuntu、centos7、kali上均可以正常运行。其他未实验 可以提供报错，针对修改。脚本执行后生成的文件解释：danger_file.txt 脚本执行后的高危结果，对付看，结果需要经验分析，不要一股脑就认为风险项。check_file文件夹–检查命令篡改 weibu_md5.py 通过脚本获取系统上的命令配置文件的MD5值到check_file/*.csv文件中，进行微步的威胁情报查询，需要配置脚本中的自己api。

以上来源：360漏洞云01Metabase远程代码执行漏洞（CVE-2023-38646）开源版本Metabase < 0.46.6.1企业版本Metabase < 1.46.6.102Apache RocketMQ NameServer远程命令执行漏洞（CVE-2023-37582）03泛微e-cology前台XXE注入漏洞安全补丁 < 10.58.104泛微e-cology FileDownloadForOutDoc SQL注入漏洞补丁版本 < 10.58.005。

CISP攻防领域证书是在政府、国企及重点行业从业，以及企业获取信息安全服务资质、参与网络安全项目（招投标）必备的重要资质之一。是面试加分项，公司招聘需求中明确注明持有CISP攻防领域证书优先录用。**是HVV加分项，HVV需要的是网络安全攻防领域人才。**应当掌握通过安全检测的技术手段从寻找问题的角度出发，发现网络系统安全漏洞的能力。红蓝对抗中的红方需要通过使用多种检测与扫描工具，对蓝方目标网络展开信息收集、渗透测试、漏洞验证。在针对大规模企业时对红方的渗透能力更是考验。

网络安全专业的就业前景非常广阔，随着数字化转型的加速和网络犯罪活动的增加，对网络安全专业人才的需求不断增加。以下是网络安全专业就业前景的详细介绍，供参考：1. 网络安全专业市场需求和增长趋势：- 市场需求：全球范围内，对网络安全专业人才的需求持续增长。各行各业都需要保护其信息系统和网络安全，包括金融、电子商务、科技、电信、医疗保健、政府等。无论是大型企业还是中小型组织，都需要网络安全专业人才来确保其网络和数据的安全性。

鉴于近期钓鱼频发，有攻防演练为目的，也有恶意攻击行为为目的，总之我们都是信息化参与者，应当具备防范网络钓鱼的安全意识。企业财务成了钓鱼的重点对象。还望各个网安甲方重点普及网络安全意识，避免造成经济损失。一、什么是网络钓鱼。

漏洞扫描工具是IT部门中必不可少的工具之一，因为漏洞每天都会出现，给企业带来安全隐患。掌握熟悉便捷的漏洞扫描工具有助于检测安全漏洞、应用程序、操作系统、硬件和网络系统。- Nmap是一种流行的开源工具，用于网络发现和安全审计。它可以帮助渗透测试人员扫描网络上的主机和服务，并识别潜在的漏洞。- Nessus是一种全面的漏洞扫描工具，能够快速识别网络上的各种漏洞和安全问题。它提供了一个用户友好的界面，使渗透测试人员能够轻松地进行扫描和分析。

计算机网络通讯过程中，主要有两种威胁。•主动攻击•被动攻击具体攻击的位置如下图。从汽车电子的角度举个例子，大部分的软件工程师，应该都干过下面两件事。•被动攻击大家都做过的，“对标，抄袭” 买来对标的车，找个一分二的线，不知道从哪弄来的dbc, 来采别人家的报文，看看别人的交互逻辑大概是什么样的。虽不耻为伍，但也做过。•主动攻击用CANoe 插在一分二的线上，也同时发送某个报文。