- 博客(68)
- 收藏
- 关注
RSS订阅原创 网络安全(黑客)自学
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。特别声明:此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!
2023-10-21 13:25:45
1809
5
原创 从外网 log4j2 RCE 再到内网组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC
具体原理是:假如域内有一台域控名为 DC(域控对应的机器用户为 DC),此时攻击者利用漏洞CVE-2021-42287创建一个机器用户saulGoodman,再把机器用户 saulGoodman的sAMAccountName改成DC。这个时候 KDC 就会判断域内没有 DC 和这个用户,自动去搜索 DC(DC是域内已经的域控DC 的 sAMAccountName),攻击者利用刚刚申请的 TGT进行 S4U2self,模拟域内的域管去请求域控 DC 的 ST 票据,最终获得域控制器DC的权限。
2023-10-17 14:16:37
286
原创 网络安全(黑客)自学
1.这是一条坚持的道路,三分钟的热情可以放弃往下看了.2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多 google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.
2023-10-14 16:10:52
239
原创 黑客自学笔记
1.这是一条坚持的道路,三分钟的热情可以放弃往下看了.2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多 google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.
2023-10-12 14:31:48
222
原创 自学网络安全(黑客)
初学者一定要注意打好基础,我之所以只学了6个月就能拿到12K的薪资,就是因为我基础牢固。其实一个初学者在开始的时候能培养出好的基础很难,这源于在整个学习过程中有大佬带我的原因。
2023-10-08 15:40:01
120
原创 网络安全(黑客)自学笔记
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2023-09-26 14:12:55
241
原创 自学网络安全(黑客)
1.这是一条坚持的道路,三分钟的热情可以放弃往下看了.2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多 google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.
2023-09-25 14:52:33
141
原创 网络安全(黑客)自学
初学者一定要注意打好基础,我之所以只学了6个月就能拿到12K的薪资,就是因为我基础牢固。其实一个初学者在开始的时候能培养出好的基础很难,这源于在整个学习过程中有大佬带我的原因。
2023-09-23 14:01:41
1554
3
原创 网络安全(黑客)自学
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
2023-09-21 15:14:43
311
原创 自学黑客(网络安全) 一般人我劝你还是算了吧!
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2023-09-18 14:38:55
91
原创 短信轰炸漏洞绕过的多种方法技巧
在测试甲方业务或者挖 SRC 等业务的时候,经常碰到发送短信验证的地方,我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞, 简单的漏洞也是需要清晰的思维分析,拿几个短信轰炸多个绕过案例分享
2023-09-11 16:54:57
458
原创 网络安全(黑客)工具大全
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)也可以输入多个域名、C段IP等,具体案例见下文。
2023-09-09 16:30:15
247
1
原创 网络安全(黑客)自学
例如,学习使用Wireshark来分析网络流量,使用Nmap进行漏洞扫描,使用Metasploit进行渗透测试等。学习网络安全的术语和概念,如身份验证、访问控制、加密等。学习各种常见的网络攻击类型,如拒绝服务攻击、恶意软件(病毒、蠕虫、木马)攻击、社交工程等。了解攻击者使用的方法和技术,以及如何防御和应对这些攻击。需要学习资料教程的可以,关注博主自动获取!着急的小伙伴可以最下面的公众号获取!需要学习路线pdf版本的可以,关注博主自动获取!【1】编码:隐藏在计算机软硬件背后的语言。
2023-09-08 16:45:19
3640
9
原创 网络安全(黑客)自学
如果你是一个安全行业新人,我建议你先从网络安全或者Web安全/渗透测试这两个方向先学起,一是市场需求量高,二则是发展相对成熟入门比较容易。
2023-09-06 14:05:09
1128
4
原创 网络安全(黑客)自学
1.网络安全(黑客)这是一条坚持的道路,三分钟的热情可以放弃往下看了.2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发
2023-08-31 19:35:46
973
原创 网络安全(黑客)自学
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气)
2023-08-03 14:50:50
1629
原创 XSS漏洞学习笔记
通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫“跨站脚本”。但是发展到今天,由于Javascript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,这个名字保留了下来。假设一个页面把用户输入的参数输出到页面上:1
2023-07-08 15:19:27
450
原创 黑客(自学笔记)
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。特别声明:此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!
2023-07-05 16:10:42
387
原创 听劝,不要什么都不懂就自学网络安全【黑客】
很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。学习讲究这方法,需要一步一步的来,由浅至深,慢慢的加大难度,很多人刚开始就猛学,很容易到后面的时候乏力,越学可能就越学得枯燥,到最后就很容易放弃了。观看学习近十年所有挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2023-06-25 14:47:35
147
原创 网络安全系统教程+渗透测试+学习路线(自学笔记)
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
2023-06-19 15:28:38
2974
13
原创 自学网络安全, 一般人我劝你还是算了吧
1.这是一条坚持的道路,三分钟的热情可以放弃往下看了.2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多 google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.
2023-06-14 13:45:54
320
原创 网络安全零基础都能看的SQL注入
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。
2023-06-13 16:22:31
307
原创 网络安全之反序列化漏洞分析
FastJson 是 alibaba 的一款开源 JSON 解析库,可用于将 Java 对象转换为其 JSON 表示形式,也可以用于将 JSON 字符串转换为等效的 Java 对象分别通过toJSONString和parseObject/parse来实现序列化和反序列化。
2023-06-10 15:36:00
3109
原创 如何提升自身 WEB 渗透能力?
web 渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清 web 渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫 35 岁危机,,意思就是说 35 岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是 5-10 年,这没有 30、40 岁能有 10 年经验?网络安全好混,但不容易混得好。
2023-06-07 14:28:55
459
原创 网络安全工具合集
OpenFPC 是一个脚本集合,结合起来提供轻量级的网络流量记录和缓存的工具。– 提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。它的特征包含,嗅探活动链接,内容过滤,和许多其他有趣的技巧 . 它支持许多协议的主动和被动解析,并且包含许多网络和主机分析特性.– 一个强大的,灵活的,方便的工具用于多种类型的中间人攻击,篡改HTTP,HTTPS,和TCP实时流量,嗅探证书的等敏感信息。
2023-06-06 16:08:59
1426
原创 网络安全系统教程+渗透测试+学习路线(自学笔记)
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。在整理好自己的知识框架,知道该怎么学习之后,下一步就是往框架里面填充内容了。
2023-06-05 14:59:55
1055
原创 网络安全系统教程+渗透测试+学习路线(自学笔记)
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
2023-06-04 14:17:48
1046
7
原创 听劝 不要盲目的学网络安全。
1.web 安全方面(指网站服务器安全方面,进行渗透测试,检测漏洞以及安全性)2.逆向破解方面(对软件进行破解,脱壳)
2023-06-03 14:06:40
48
原创 自学网络安全(黑客),一般人我劝你还是算了吧
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的
2023-05-31 14:41:15
46
原创 网络安全工具大合集
这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更新。
2023-05-30 13:51:54
433
原创 网络安全大厂一面+二面+常见面试题合集
:本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。
2023-05-29 14:49:33
605
原创 从 0 基础进阶网络攻防工程师
建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少。很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。挖 SRC 的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,更多的还是要进行实操,把理论知识运用到实践中,确保更好的掌握知识点。
2023-05-28 14:43:43
56
原创 自学网络安全,一般人我劝你还是算了吧
不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,且过渡到网络安全用到编程的用到的编程的关键点不多。
2023-05-27 13:58:38
59
原创 为什么说网络安全行业是 IT 行业最后的红利?
2023 年网络安全行业的前景看起来非常乐观。5G 技术的广泛应用:5G 技术的普及将会使互联网的速度更快,同时也将带来更多的网络威胁和安全挑战。网络安全专家需要开发和实现新的技术和解决方案来确保 5G 网络的安全性。物联网的扩张:物联网将改变我们生活的方方面面,但它也将增加网络威胁的数量。网络安全专家需要制定安全策略和技术,以确保物联网设备和网络的安全性。人工智能和机器学习的应用:随着人工智能和机器学习技术的进一步发展和应用,网络安全将变得更加复杂。
2023-05-12 15:25:27
57
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人