网络安全入门到进阶-CSDN博客

原创 A【】RP欺骗】嗅探流量、限速、断网操作

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。

2023-12-11 14:03:12 857

渗透测试这名字听起来有一种敬畏感，给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义，一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。简而言之：渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤：测试前交互。这步主要确定的是测试范围，哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。

2023-12-11 14:00:41 1019

原创记录安卓，IOS安装kali的办法

纯做记录，不要用此技术做违法的事情，仅供研究，概不负责一年前的小日记，照抄过来记录一下。现在安卓有一个ZeroTermux更好用，可以傻瓜式安装kali，三星S10完美运行nmap等，下面的方法推荐Linux deploy。有兴趣的朋友可以交流1.一部手机or一部平板（反正便于携带的）最好是安卓（ios有一定限制，其实也可以，但是步骤长，还需要注册海外ID，最讨厌的是IOS不方便搭梯子，你懂的）2.你的装备必须root（不懂root，可以百度一下，手机连接电脑上下个软件root一下）

2023-12-11 13:55:23 2181

原创如何看待兼修网络安全和人工智能?

问题:作为未来需要的人才，Web安全和人工智能是否可以都学好，并且有效结合起来呢?Web安全可以替换成网络安全，也把二进制Q，移动，lot等包括在内。网络安全Q和AI的结合，有三种方式。

2023-12-07 11:58:37 961

原创人工智能和网络安全选哪个好?

关于粉丝提问：本人现在本科大三，个人比较喜欢网络安全攻防渗透，我十分感兴趣，但是目前的大趋势都是相对来说人工智能的nlp和cv都比较好就业和高薪资，我该选择什么方向？作为一个过来的人说一下，必须网络安全。我之前做人工智能，现在已经在做网络安全了。人工智能，要么根本不成熟，很难创造价值，要么成熟的已经杀成红海了。但网络安全行业完全不是那么回事，从企业到政府，普遍投入还不够。但是数字化的转型却极为迅猛，各种机构，各个行业都在上云。即使你所说的人工智能，大部分落地也要依赖云服务。

2023-12-07 11:40:59 1133

原创【Kali】Kali在线安装详细教程【全】

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

2023-12-04 11:26:56 1287

原创手机termux免root安装kali：一步到位+图形界面

1.工具：安卓（包括鸿蒙）手机、WiFi、充足的电量、脑子2.浏览器搜索termux，vnc viewer，下载安装。3.对抗华为纯净模式需要一些操作，先断网，弹窗提示先不开，等到继续安装的时候连上网，智能检测过后就可以了（termux正常版本可以通过智能监测，失败了就说明安装包是盗版）4.以后出现类似[Y/n]的东西，输入y按回车就好了。

2023-12-04 11:21:11 2917 2

原创黑客滥用 Google 表单进行诈骗

研究人员最近发现滥用 Google 表单的垃圾邮件有所增加，攻击者首先在 Google 表单中创建新的问卷调查，并且利用受害者的电子邮件地址参与问卷调查，滥用 Google 表单的功能将垃圾邮件发送给受害者。由于垃圾邮件由 Google 发出，通常可以绕过检查送递到受害者。此类电子邮件统计图多年来攻击者一直滥用该功能，但最近该功能被滥用的尤为严重。

2023-11-22 10:54:17 824

原创 CTF Show web入门 1——20（信息收集）wp和一些感想

版本控制问题出现的是gitsvnhg对于此类题目应该比较敏感网站备份信息泄露.zip.rar.7z.tar,gzbak.swp.txt···版本控制信息泄露.hg.git.svn.DS_Store泄露目录遍历PHPinfo（PHP探针）vim缓存此题为【从0开始学web】系列第二十题此系列题目从最基础开始，题目遵循循序渐进的原则希望对学习CTF WEB的同学有所帮助。

2023-11-22 10:49:43 976

原创【网络入门】详解常用的基础网络知识（面试笔试常考内容）

当前的应用系统主要分两大类，一类是C/S（Client/Server）客户端/服务器架构的，一类是B/S（Browser/Server）浏览器/服务器架构的。无论是C/S架构，还是B/S架构，客户端都需要和远端的服务器进行网络通信，进行数据交互。不需要进行网络通信的纯单机版的程序已经很少了。PC上安装的QQ程序，就是典型的C/S架构中的客户端程序，需要和远端的服务器通信，发送和接收数据。

2023-11-17 18:20:28 65

原创自己收藏整理的一些操作系统资源

在CSDN混迹这么多年感觉在技术宽度和广度都深不可测的C站Windows方面的技术相对较少一些今天，借着寻找C站宝藏的活动介绍一些C站宝藏的 Windows相关资源+技术专栏附带一下猎奇操作系统的资源~~~

2023-11-17 18:12:53 56

原创 2023网络安全学习路线非常详细推荐学习

关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线。

2023-11-17 18:07:28 18

原创如何学习网络安全？如何学好网络安全？相信这是想要入门网络安全同学的第一课！相信看完这篇文章，你将会知道这个问题的答案。

不要以编程为基础再开始学习网络安全，一般来说，学习编程需要的时间周期会很长，而且通过编程过渡到网络安全的关键点不多。网络安全不是编程，想要先把编程学好再慢慢学习网络安全通常会花费很多时间，容易产生厌倦情绪、半途而废。建议在学习网络安全的时候，单刀直入，哪里不会的时候再去学哪里，这样更有目的性且时间成本低。但是也不是说编程不重要，学习编程能决定你能在网络安全这条路能走多远，可以大家学一些基础的编程知识，刚开始学的时候够用就行。

2023-11-16 11:57:37 150

原创警校毕业不当警C又该怎么办？其他公司要吗？

警校生毕业如果不当警C还能干些什么，这样的警校生还能有公司要吗？当我提出这个话题的时候，我想一定会有人在评论区里喷我，上警校如果毕业不想去当警C，那你当初干嘛去报考警校，或者是说这人公安联考都能失败，那一定就是他在学校不好好学习，那么，他这个人这辈子基本上就废了，以后绝对没公司会要这样的废人。不管你将来是另有打算，还是突然公安联考失败，我觉得每一个警校生都应该好好想想下面这几个问题，警校毕业不当警C你会干什么？你能干什么？警校毕业就一定要当警C吗？毕业不当警C的人都去了哪儿？

2023-11-16 11:31:40 36

原创最新VMware虚拟机下载与安装详解

我是8核16线程，这里我选个4，2就够用了。这里看你装什么版本的Linux了，我装的是GenOS 7.5 64位所以选的是GenOS7 64位。什么cpu啊内存条啊硬盘啊什么乱七八糟的，先不着急装系统。这里就是起个名字，位置建议选个磁盘大点的，别无脑放c盘，我一般开发相关的都是放在develop。登录成功后又会重复之前user用户的步骤，选择语言啦关位置服务啦之类的。读完秒就会显示如图界面，拉到底选择中文，然后选择简体中文。安装位置这一项，点进去，然后直接点完成出来即可。这里设置一个用户，不然不让过。

2023-11-14 11:31:40 354

原创小白新手怎么入门网络安全？网络安全怎么学？看这篇就够啦！

由于我之前写了不少网络安全技术相关的故事文章，不少读者朋友知道我是从事网络安全相关的工作，于是经常有人在微信里问我：我刚入门网络安全，该怎么学？要学哪些东西？有哪些方向？怎么选？不同于Java、C/C++等后端开发岗位有非常明晰的学习路线，网路安全更多是靠自己摸索，要学的东西又杂又多，难成体系。常读我文章的朋友知道，我的文章基本以故事为载体的技术输出为主，很少去谈到职场、面试这些方面的内容。主要是考虑到现在大家的压力已经很大，节奏很快，公众号上是让大家放松的地方，尽量写一些轻快的内容。

2023-11-14 11:26:25 190

原创一款集窃密、监控、欺诈和勒索为一体的恶意代码深度分析

通过以上分析可以看出，Daam恶意软件是一种高度危险且功能复杂的移动端病毒。其具有相当丰富的恶意功能，其设计的目标是要对受控设备进行全方位的监控控制，并且做到实时窃密、实时监控和实时追踪。其控制通道设计成双通道模式，并且实现了C2守护，同时利用反射机制和插件化机制，动态扩展和更新自身的功能，提升自身的隐蔽性和持久性。可见，该黑客组织具备高超的恶意代码研发能力，可设计出新颖的控制手法和复杂的恶意功能。他们也熟知反取证反追踪技术，注重抹去恶意代码制作的时间痕迹。

2023-11-11 15:05:50 669

原创一个顶级的黑客能厉害到什么程度？

不要再崇拜所谓的顶级黑客，我以前很崇拜这些传说中的人物，但是当我入行后，很是不屑。做安全研究快十年，挖过9.8分以上cve，做过二进制逆向，分析过病毒，追踪过黑客，深入这个圈子，发现那些所谓的顶级黑客都是营销出来的，营销之王：360、腾讯、阿里的各大安全实验室，全是讲故事的主，媒体的傻逼也占一个，所有的攻击案例和故事都是营销出来的，包括极棒的极客show，厂商的攻防演练。

2023-11-11 14:58:58 154

原创假如一个高水平程序员故意留了一个只有他自己知道的漏洞，那么这种行为违法吗？

早年给某台企做外包项目，定制一个Android系统的ROM。开发费用16万，一年期维护费用2万。开发费用分三期打款，订金4万，生产环境ROM交付8万，验收并交付源码后打尾款4万。生产环境ROM交付前留了一手，加了时间戳校验，混杂在驱动程序里，6个月后不能开机。果不其然，过了4个月对方也没把尾款打过来，显然是用着没什么毛病，源码不打算要了，维护费用也一起省了。每次催款都用各种理由搪塞。又过了2个月，埋的雷爆了，他们的下游客户开始各种投诉。这才把剩余款项收回来。

2023-11-09 18:38:46 158

原创从事网络安全领域在以后会吃香吗？

吃香是真的会吃香?但是很辛苦。在安服这行工作是做的痛并快乐着。工作是没有轻松的，都是付出和回报成正比的，而且还要不停学习提升，丝毫不敢懈怠。不可能不加班，能正常作息很难，网络安全系列的岗位是IT行业里最辛苦的，接触了太多圈内同行朋友，基本上都是007，996真是福报奢侈，有时候也是怀疑自己智商能力不够没有做到这个行业里鄙视链上游。不管是安全研究或是渗透测试还是安全运维安全开发等等都要消耗很大的精力，光是每天对着电脑精神都很疲惫，恨不得到家就躺下睡觉了，更不想去外面吃饭和跟闺蜜逛街了。

2023-11-09 18:37:26 360

原创从零开始学习CTF——CTF是什么

中文一般译作夺旗赛（对大部分新手也可以叫签到赛），在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式一般大型比赛大都是i春秋承办的，以小组的形式比赛，分预选赛和总决赛。预选赛都是线上比赛，比赛形式几乎都是解题模式。进入官方提供的网站，登录账号密码后会到一个页面，题目按类别分类（后续会讲有什么类别），点击后提供题目链接题目信息题目提示和flag（答案）提交，提交后会得到分数。

2023-11-08 19:50:36 348

原创 XCTF总决赛的赛制以及新型攻防赛题之探索

这次比赛我也学到了很多，一方面是对题目的把控，我的引导性不够强，导致发展一度没有往我所预期的方向，另外一个忽略的部分就是这种交互提升的设计，应该需要加入明牌设计，双方能够部分获取到对方的信息，例如防守方的信息可以公开，这样加速针对性进化。其余就是实现上的一些细节了，这次由于测试不充分出了很多问题，这个就是经验了，下次应该就不会有了（不过或许下次我就不再写 AD 了。。。太容易出问题了）。最后希望各位高抬贵手吧，为了大家能够有玩的感觉，我花了好长时间去搜索资料寻找思路来设计，虽然最后表现不佳。。

2023-11-08 19:42:58 327

原创 CISSP考试复习经历分享2023年11月

平心而说，CISSP考试并不是特别难，而我们最感到艰难的原因是大多面临“工作任务”和“家庭生活杂事”的困扰，因为大家已非少年。我2023年4月15日开始决心要拿到这个证书。经过五轮看书和习题练习，2023年11月2日在上海CISSP考试通过。单位组织每周四晚上CISSP培训。我跟随培训的内容，预习和复习OSG书上相关章节，培训延续了3个月，因此我第一轮学习花了3个月的时间（日均看书1.5小时），一直到7月15才看完。第二遍OSG书的学习从7月16日看到9月的最后一天。

2023-11-08 19:34:00 354

原创网络安全最新面试题

恶意软件-Malicious Software,malware把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序。一组指令：可能是二进制文件，也可能是脚本语言/宏语言等。

2023-11-07 14:10:46 51

原创 2023几率大的网络安全面试题（含答案）

攻击者在HTTP请求中注入恶意的SQL代码，服务器使用参数构建数据库SQL命令时，恶意SQL被一起构造，并在数据库中执行。用户登录，输入用户名 lianggzone，密码 ‘ or ‘1’=’1 ，如果此时使用参数构造的方式，就会出现不管用户名和密码是什么内容，使查询出来的用户列表不为空。如何防范SQL注入攻击使用预编译的PrepareStatement是必须的，但是一般我们会从两个方面同时入手。Web端1）有效性检验。2）限制字符串输入的长度。服务端1）不用拼接SQL字符串。

2023-11-07 14:07:47 222

原创 CISP-PTE/CISP-PTS认证考试要点整理

注册信息安全专业人员（CISP）–渗透测试工程师（PTE）/渗透测试专家（PTS）。CISP-PTE认证，证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。CISP-PTS认证，证书持有人员主要从事漏洞研究、代码分析工作，最新网络安全动态跟踪研究以及策划解决方案能力。

2023-11-06 11:03:57 849

原创什么是CISP-PTE？如何成为注册信息安全专业人员？

CISP-PTE专注于培养、考核高级实用型网络安全渗透测试安全人才，是业界首个理论与实践相结合的网络安全专项技能水平注册考试。证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案编写项目测试计划、编写测试用例、测试报告的基本知识和能力。该注册考试是为了锻炼考生实际解决网络安全问题的能力，有效增强我国网络安全防御能力，促进国家企事业单位网络防御能力不断提高，以发现人才，选拔优秀人才而设立的技能水平考试。

2023-11-06 11:00:10 88

原创零基础转行网络安全真的好就业吗？

网络安全作为近两年兴起的热门行业，成了很多就业无门但是想转行的人心中比较向往但是又心存疑惑的行业，毕竟网络安全的发展史比较短，而国内目前网安的环境和市场情况还不算为大众所知晓，所以到底零基础转行入门网络安全之后，好不好就业呢？今天我们就来全面彻底分析一下网络安全对零基础转行入门的就业形势。首先我们需要了解一下，从事网络安全这个行业，有哪些岗位以及网络安全的职业发展路径。

2023-11-04 14:48:39 62

原创 30岁转行自学网络安全，命运的齿轮便开始转动......

生活就像是一场戏，人在其中扮演的不过是一个个角色，打工人也好，丈夫也罢，儿子也好，父亲也罢。每个人涂上或淡或浓的脂粉，带着千疮百孔的面具，披挂着久经沙场的盔甲，在舞台上挪移踱步，念词唱戏，时而顺遂，时而踉跄。当我明白这些道理，我知道这一切还不晚。我告诉自己，热爱生活便是认识到生活的不顺之后依然满怀希望，所以，虽然两肩压着那太行山，我依然能够步履蹒跚。

2023-11-04 13:50:53 27

原创自学网络安全卷不动，是放弃还是继续？

有天我想去搜一下怎么约女孩子看电影比较不油腻的时候，突然看到一个话题“自学网络安全的人都是什么感受”。因为我的粉丝们大部分都是在自学或者是准备入行的大学生，所以我很认真一个一个去看了下别人的回答。基本都是劝退自学为主，因为自学太苦，这点我感触还是比较深的。很多人经常说自学需要很强的自制力、自律性、不然很难，其实真正难的不是自己不够专注不够自律，而是自学会遇到很多瓶颈，比如：没有人指导，一个小问题可能得花好几天到处搜到处混群才能解决掉，费时费力很难入门；

2023-11-04 13:45:26 378

原创 2023网络安全学习路线非常详细推荐学习（从零基础入门到精通，看完这一篇就够了）

关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线。

2023-11-03 10:28:58 146

原创教育src漏洞挖掘-2023-白帽必挖出教程

作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码，或者想获取更多积分换取证书，这篇文章就是为了帮助各位师傅们快速上手挖取教育src。

2023-11-03 10:26:53 710 2

原创渗透测试入门教程（非常详细），从零基础入门到精通，掌握了这些知识点还担心找不到工作？

渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。一定要注意的是，在进行渗透测试前，需要获得目标客户的授权，如果未获得授权，千万不要对目标系统进行渗透测试，后果请查看《网络安全法》。同时要有良好的职业操守，不能干一些违法的事情。

2023-11-02 22:32:04 381

原创 Kali Linux无线网络渗透测试教程（大学霸内部资料）

介绍：本教程全面讲解如何基于Kali Linux对WiFi无线网络进行渗透测试。教程包括无线网络监听、信息收集、路由器渗透测试、客户端渗透测试四大部分。内容涉及网络扫描、Wireshark抓包分析、WPS/WEP/WPA/WAP+Radius破解、漏洞扫描等技术。本教程基于Kali Linux专门讲解针对无线网络WiFi如何进行渗透测试。其中，详细揭示了无线网络的各种安全缺陷和容易被利用的漏洞。Kali Linux无线网络渗透测试。

2023-11-02 22:29:11 295

原创详尽的msf——meterpreter——渗透测试教程

本文仅供学习参考使用，切勿用于非法事情！！众所周知，msf是大家公认的神器，年少不知msf香，总想自己写程序。现在发现msf很厉害，可以在它的基础上开发。msf是框架，什么意思呢，用它可以做渗透攻击的一整套流程，包括前期探索（发育），中期攻击（开团），后期控守（推塔）我们可以在msfconsole上，开发自己的程序（用自己的英雄），程序可以利用msf中的模块（用它的装备）Metasploit是一款开源安全漏洞检测工具，附带数百个已知的软件漏洞，并保持频繁更新。

2023-11-02 22:26:37 238

原创穿透内网防线|USB自动渗透手法总结

在互联网刚刚发展时数据在网络上的交换受限于带宽，因此USB存储介质得到了飞速的发展，在为人们带来方便的同时也给人们带来了对于技术安全运用的思考，在未来随着网络带宽的不断发展，U盘的重要性可能也会逐渐降低，但过去使用U盘进行攻击的种种手法却给了我们一个又一个深刻的教训，希望人们能够在吸取这些教训之后能够重新审视技术的发展，也更加重视对于技术的安全运用，使科技能够朝着更加健康安全的方向稳健的发展。CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享。

2023-11-01 09:57:34 173

原创主机“带病”？系统“裸奔”？中电安科储气油库行业工控安全解决方案助力油库企业补足安全短板

近年来，我国油气库在自动化装备、技术、功能、规模等方面都有了很大提高，测量和控制装置不断更新升级。应用的水平也从手工操作发展到自动控制，从低级的单回路控制发展到高级复杂系统控制，直到管控一体化。油气库控制系统主要包括罐储计量监控、泵房与工艺流程监控、自动收发、安防综合监控、生产业务管理与全库综合监控等。

2023-10-31 22:33:16 124 1

原创 Lockbit拿下波音，称不交赎金将公布敏感数据

美国波音公司(BA.US)表示，正在评估一个疑似与俄罗斯有联系的勒索组织带来的勒索威胁，该勒索组织声称，如果波音公司在11月2日之前不支付相应的赎金，将开始发布一些重要的“敏感数据”。在其勒索网站页面上，Lockbit组织发布了波音公司的倒计时钟表，并声称已经掌握了波音公司大量的敏感材料，其中包括一些机密数据。如果波音公司在截止日期之前未交付赎金，Lockbit将会公布这些数据。“基于保护目标公司的需求，在截止日期之前，我们不会提前公布客户名单或样本。

2023-10-31 22:30:20 52

原创详细讲解，命令行下的“蒙面歌王”rundll32.exe

全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888，那么就会弹出标题为888的对话框。全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888，那么就会弹出标题为888的对话框。动画里这条命令烂大街了，已经绕不过我本机的火绒了。这是经过反汇编分析url.dll得出的结果，请记住这3条命令，活学活用，这是干货。

2023-10-30 17:59:36 190

原创盘点 | 安全测试者偏爱的安全测试工具

WinDbg 基于 GUI 应用程序运行，主要可在 Windows 操作系统遇到崩溃或其他“蓝屏死机”的情况下调试内存转储，也可用于调试用户模式的应用程序、驱动程序和操作系统本身（内核模式下调试），还能够通过匹配各种条件（例如，时间戳、CRC、单个甚至多处理器版本），从服务器自动加载调试符号文件（例如 PDB 文件）。OSSEC HIDS 基于可扩展且开源的主机，是一个多平台入侵检测系统，具有强大的关联能力和分析引擎功能，可以实现完整性检查、日志分析、基于时间的警报、日志分析和主动响应。

2023-10-30 17:57:23 155

空空如也

空空如也