![](https://img-blog.csdnimg.cn/20210710140224887.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
Web安全架构零基础学习(0→1)
文章平均质量分 82
最经典最干货的学习路线方法
我是黑客
前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
展开
-
QQ都不会盗,还敢说自己是黑客?
上面这个段子估计很多朋友都看过,程序员被黑过无数次,在其他人眼中,仿佛我们需要写得了木马,翻得了围墙,修得了电脑,找得到资源,但凡是跟计算机沾点边的,咱都得会才行。段子归段子,言归正传,对于咱们程序员来说,多多少少了解一些信息安全的技术知识还是大有裨益的,不仅能了解一些计算机和网络的底层原理,也能反哺我们的开发工作,带着安全思维编程,减少漏洞的产生。本文内容:- 网络安全 - SQL注入 - XSS攻击 - CSRF攻击 - DDoS攻击 - DNS劫持 - T..原创 2022-04-01 19:05:03 · 713 阅读 · 0 评论 -
谁的大一不迷茫?网络安全到底该怎么入门?
大家好,我是周杰伦。最近年底了,工作上一堆事要忙,好久没跟大家聊聊天了。最近很多同学,尤其是大一的新生,都在向我询问类似的问题:网络安全要学的东西好杂,找不到方向了,迷茫了同学们都在研究xxx,我要去学吗?精力有限,我到底该学什么编程语言,好怕选错啊最近下班比较早,打算写篇文章,为大家解解惑。说实话,大家有这些疑惑,太正常不过了,谁的大一不迷茫呢?我也曾经迷茫过。大一那会儿,加入了学校的信息安全协会,开始学习网络安全。请了一位老师讲木马技术,于是大家一窝蜂去研究木马编程。又请了其他高校的原创 2021-12-15 17:14:24 · 736 阅读 · 0 评论 -
核弹级漏洞,我把log4j底裤都给扒了
大家好,我是周杰伦。相信大家这两天应该被这么一条新闻刷屏了:这个漏洞到底是怎么回事?核弹级,真的有那么厉害吗?怎么利用这个漏洞呢?我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!**log4j2不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,原创 2021-12-12 17:17:32 · 1079 阅读 · 1 评论 -
学完渗透赌博网站,从零基础到实战的Web渗透学习路线+手册
前言大家好 我是周杰伦!大家都知道IT是一个非常复杂和混沌的领域,充斥着各种已经半死不活的过时技术和数量更多的新系统、新软件和新协议。保护现在的企业网络不能仅仅依靠补丁管理、防火墙和用户培训,而更需要周期性地对网络中的安全防御机制进行真实环境下的验证与评估,以确定哪些是有效的哪些是缺失的,而这就是渗透测试所要完成的目标。渗透测试是一- 项非常具有挑战性的工作。你拿着客户付的钱,却像犯罪者那样去思考,使用你所掌握的各种“游击”战术,在一个高度复杂的防御网络中找出最为薄弱的环节,来实施致命一击。在渗透测试原创 2021-12-10 15:00:23 · 3154 阅读 · 1 评论 -
网络安全怎么入门 按照这个学习路线方法来
为啥要学网络安全:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或恶意原因而遭受破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。截至2018年8月,我国网民规模达8.02亿人,互联网高度发展。与此同时,互联网的开放性和安全漏洞带来的风险也无处不在。网络攻击行为日趋复杂;黑客攻击行为组织性更强;针对手机无线终端的网络攻击日趋严重;有关网络攻击和数据泄露的新闻层出不穷,网络安全问题成为政府、企业、用户关注的焦点。网络信息安全已上升为国家战略信息安全已上升为国家战略:引领原创 2021-10-30 19:48:49 · 446 阅读 · 0 评论 -
小白怎么混安全圈子?
大家好,我是周杰伦。在之前的网络安全如何学习的文章中,我曾经提到,除了技术学习,还要经常混安全圈子。光技术学习,如同闭门造车,混圈子,才能打开眼界,真正了解这个行业。那这个圈子该怎么混呢?主要有几个途径,下面依次说一下。一、安全论坛安全论坛上,大家会分享学习经历经验、学习资源工具,讨论遇到的问题等等,除此之外,还有很多人会在上面直接发布招聘,比什么拉勾、boss直聘之类的通用网站招聘简单直接的多。初学者多去安全论坛发帖交流,不耻下问。下面推荐两个知名的论坛:1、看雪论坛网址:https://原创 2021-10-14 15:59:57 · 1452 阅读 · 1 评论 -
一个HTTP请求,把网站打裂开了!
大家好,我是周杰伦,今天给大家看一段神奇的代码。利用这几行神奇的代码,居然能把网站打崩溃,这是怎么一回事呢?就是下面这个函数,根据传进来的开始和结束位置,读取文件数据:char* Read(int fd, int start, int end) { unsigned int length = end - start + 1; if (length > 1024) return NULL; return ReadFile(fd, start, end);原创 2021-10-12 15:48:29 · 231 阅读 · 0 评论 -
想开发一个安全软件,怎么搞?
今天跟大家介绍一下,开发一个像360、QQ电脑管家这样的安全软件,有哪些核心技术,或者说哪些核心组件是必不可少的?反病毒引擎首先,第一个必不可少的就是反病毒引擎。安全软件最早的核心也就是这个东西,它的目的就是检测一个文件是不是恶意软件。反病毒引擎主要通过对文件进行静态分析,识别恶意文件的特征,与自己的病毒特征库进行匹配,来判断目标是否是恶意的。这里面主要用到的技术有文件格式识别、加壳脱壳技术、加密解密技术、可执行文件的反汇编、指令级的特征匹配、虚拟执行、样本家族团伙基因判别、机器学习等等。HO原创 2021-10-08 16:23:52 · 591 阅读 · 0 评论 -
不小心点了一个链接,完了!
大家好,我是周杰伦。基本上所有人在接触网络的时候,都会接受信息安全教育:陌生人发来的链接不能随便点,小心中毒!那为什么不能随便点,点了又可能会发生什么呢?对于大部分人非安全行业或者刚进入安全行业的小白来说,可能对此并没有太明确的认识。有些链接点开后可能是钓鱼网站,伪装成某个正常的页面,让你输入账户、密码信息,这样一来钓鱼网站的制作者就能拿到你的账号信息。这类钓鱼链接打开后如果不去输入信息,问题也不大。但还有一些链接更加危险,连点都不能点,一旦点击,可能就会被植入病毒、木马、挖矿程序、勒索软件,电.原创 2021-09-30 14:18:23 · 4272 阅读 · 1 评论 -
今天除了IDA完整版,还有一大波···
上次分享了IDA的学习教程,没想到受到了很多人的欢迎,这也说明这套资料确实质量不错。但是上次只弄了一个7天有效的链接,导致很多后面来的朋友发现链接失效了,虽然更新了一次,但又一次过期了。之前只分享了这份资料的上半部分,还有一部分没有分享,应大家的呼声,这一次分享一个完整版的,弄个永久链接,再也不怕过期了!第二部分的内容,来先睹为快:注意,只有上和中,没有下哦。目录怎么样是不是很给力啊,赶紧在微信后台回复:IDA,自动获取吧!另外,下面是小白的微信,欢迎添加小白微信好友,跟着小白一起原创 2021-10-07 15:50:48 · 53 阅读 · 0 评论 -
这是什么骚批代码!
神秘代码大家好 我是周杰伦今天给大家看个有意思的东西!不仅有意思,还能学到知识。话题从两行(准确的说是一行)神奇的代码聊起:#include <stdio.h>int main[] = { 232,-1065134080,26643,12517440,4278206464,12802064,(int)printf };这是一段C++代码,猜猜看编译运行后,会输出什么?可能,你会问:这TM连main函数都没有,能编译成功?还真能!咱们分别在Windows平台下的Visual原创 2021-09-26 17:16:16 · 672 阅读 · 0 评论 -
IDA,牛逼!逆向安全应该怎么学?
逆向分析是网络安全从业人员尤其是二进制安全研究人员必备的技能。提到逆向分析,不得不说的就是神器IDA,这个逆向分析的大杀器,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,可以说是非常强大了!0但强大的同时,IDA复杂的功能让新手小白一时之间不知如何上手。要是有一个详尽的教程,从简单入手介绍逆向工程入门,配合IDA的使用,那就再好不过了!好消息来啦!!! 近日,我从一个安全大牛朋友那里搞到了一个他珍藏多年的IDA逆向分析教程,从简入繁,层层递进,可以说是非常给力了原创 2021-09-19 14:12:55 · 509 阅读 · 0 评论 -
日子越来越有判头了?用DLL劫持,搞点事情!
0x01 dll简介在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library),即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数:1.进程装载DLL。2.进程卸载DLL。3.DLL在被装载之后创建了新线程。4.DLL在被装载之后一个线程被终止了。 另外原创 2021-09-17 19:31:06 · 937 阅读 · 0 评论 -
Rootkits,黑客之颠!内核方向应该怎么学?
大家好,我是周杰伦。继续咱们的三个月入门系列文章,上次的三个月入门Web安全发布后,有读者留言让我写一写内核方面的,今天就来了。不过学习内核方向,需要的基本功确实有点多,梳理发现再怎么着压缩,三个月时间还是不够,最后压缩到了四个月。内核方向可能不如Web安全那么让人熟知,搞安全的学习内核干什么?安全领域中,主要有这几个方向会需要学习内核技术:1、Rootkit开发,开发内核级病毒木马程序2、内核安全开发,比如ARK开发、安全软件开发,数据防泄漏、透明加解密等3、内核漏洞攻击技术,Kernel原创 2021-09-16 13:39:12 · 705 阅读 · 1 评论 -
面对内卷严重的2021年,运维工程师该如何修炼?
前言:前段时间结束的618大促,相信大家都花了不少钱吧图片,其实在每一次大促的背后各大电商平台还在遭受一次又一次的的黑产攻击,拿阿里巴巴去年双十一举例,2684 亿交易额的背后,有一天内 22 亿次的黑产攻击。近几年网络安全事件层出不穷,相信大家哪怕没遇到过,但也听过不少了吧。如服务器遭受入侵被黑,用户帐号被盗;被钓鱼、勒索病毒等,这些一旦发生,对企业而言都是不小的打击。因此,网络安全不容忽视,同时随着时代的不断发展,公司对于运维及网络工程师要求也越来越严格。未来越来越吃香的一定是技能方向广的复合型人原创 2021-07-28 13:55:42 · 348 阅读 · 0 评论 -
XSS最强知识体系漏洞万字总结
一.XSSI漏洞原理同源策略同源策略是Web应用程序安全模型中最基本也是最核心的策略。现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。同源策略规定,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。此策略可防止一个页面上的恶意脚本通过该页面的Document Object Model访问另一网页上的敏感数据。为了满足同源策略,浏览器对不同访问行为进行了限制,限制规则一般如下:XSSI.原创 2021-07-13 17:01:46 · 777 阅读 · 0 评论 -
网络安全入门之owasp top10漏洞详解
TOP1-注入简单来说,注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,--os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机如何防范:1.使用安全的...原创 2021-05-10 14:12:59 · 1213 阅读 · 0 评论 -
终于有人把https解释得这么直白了!
HTTPS随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA 证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS 的安全性讲透。HTTPS 的实现原理大家可能都听说过 HTTPS 协原创 2021-06-09 15:46:03 · 223 阅读 · 2 评论 -
揭秘白帽子黑客:网络安全的守卫者,收入最高者年入百万
近年来,网络安全行业迅速发展,如今,它已经成为网工运维、软件开发等IT技术人的热门选择,白帽子黑客也成为年轻一代geek的梦想。如何快速理解网络安全行业?网络安全到底包含哪些技术?我该选择哪个方向? 网络安全岗位到底有哪些?具体工作在做什么? 网络安全的职业发展和成长路线是什么?要解决以上问题,首先要理解网络安全的整体框架。随着网络安全法、等级保护2.0等政策法规持续落地,网络安全的定义和范畴变得越来越广,从传统的信息安全( Information Security)延伸为网...原创 2021-04-15 14:36:29 · 1353 阅读 · 1 评论 -
爆肝!华为安全专家连夜整理出全套网络安全学习书籍(小白必看)
相信很多人想进入网络安全,都是听说网络安全就业前景大,薪资很高,入门门槛也相对较低,许多刚毕业或者还没毕业的大学生们对这个行业非常看好。我们来看看2020年网络安全行业的平均薪资对比图。网络安全涉及的知识面广、术语多、理论知识多。正给学习这门课程带来很多困难。也需要我们投入比其它课程多的时间和精力来学习它。建议学习网络安全基础知识,应用加密学,协议层安全,传输层安全,unix安全,linux安全,防火墙技术,入侵攻防技术等。而学好网络安全则需要参考大量的参考书,大量的实践。小编在这.原创 2021-04-12 16:40:18 · 907 阅读 · 2 评论 -
芜湖起飞!全网最全PHP文件包含大总结(看到就是赚到,不收藏血亏)
1.前言最近在某个项目上天天挖洞,每天不是什么信息泄露就是xss,没有一个能getshell,愁的不行,感觉头顶都凉飕飕了。不知是早上出门时,没注意踩到狗屎,还是今天运气好,发现一处竟然有文件包含漏洞,百度一波getshell姿势,逐一尝试后,发现可以利用日志getshell。这里本地模拟一下当时情况,复现一下。同时就让我这个小菜鸡总结一下getshell方式,以便之后遇到文件包含漏洞更快的去拿shell。1.1.本地复现当时发现url中有一个参数file=/home/task.p...原创 2021-05-08 16:31:37 · 232 阅读 · 0 评论 -
「网络安全自学篇」黑客攻防和实战编程看这篇就够了(内含实战)
长期以来,由于诸多方面的因素,“黑客”这个字眼变得十分敏感。不同的人群对黑客也存在不同的理解,甚至没有人愿意承认自己是黑客。有些人认为,黑客是一群狂热的技术爱好者,他们无限度地追求技术的完美:有些人认为,黑客只是一群拥有技术,但思想简单的毛头小伙子;还有些人认为黑客是不应该存在的,他们是网络的破坏者。这里,我们没有必要对这个问题争论不休,也无须为黑客加上一个标准的定义,但从客观存在的事实来看,黑客这类群体往往存在以下共同点。(1)强烈的技术渴望与完美主义:驱动他们成长的是对技术的无限渴望,获得技术的提高原创 2021-04-26 15:32:50 · 1601 阅读 · 1 评论 -
牛皮!阿里内部网络安全渗透资料居然被泄露出来了。。(强烈建议收藏)
各位粉丝朋友大家好,最近看到很多粉丝朋友给我留言,希望我给大家找一些大厂的实战内容。前段时间联系了我的好友,给大家争取到了阿里内部最新的安全渗透攻防实战项目内容,这些内容从未对外公开!内容非常详细且全面,覆盖了Web安全的方方面面,既有初学者入门的内容也有适合大牛提升的内容,包含:视频进阶教程、BATJ、360和奇安信等大厂实战项目、渗透实用工具包以及Kali安全技能书籍,助你一步步成为安全圈的大牛。hacker视频教程视频内容多多,先看下0基础部分,从安装到后期实战,每一步操作都非常...原创 2021-05-11 16:10:19 · 784 阅读 · 2 评论 -
牛逼!超级黑客用10部分讲明白Git (建议收藏)
今天就和大家分享一本牛逼的Git书籍——《Pro Git》本书在豆瓣上评价极高,9.3的高分,本书的作者是GitHub的员工,内容主要侧重于各种场合中的惯用法和底层原理的讲述,书中还针对不同的使用场景,设计了几个合适的版本管理策略。简而言之,这本书无论是对于初学者还是想进一步了解Git工作原理的开发者都非常合适。本书一共分为十章,详细内容如下:书中部分内容展示如下:Git简史获取Git仓库克隆现有的仓库现在这本...原创 2021-05-05 13:49:54 · 239 阅读 · 0 评论 -
腾讯网络安全大牛用16部分讲明白黑客攻防(从0到1,新手必看)
随着云计算、物联网、大数据、5G等新兴技术的兴起,网络信息安全边界不断弱化,安全防护内容不断增加,对数据安全、信息安全提出了巨大挑战,也为网络信息安全市场打开了新的增量空间。再加上经济全球化,数据安全、隐私保护等问题越来越被重视,网络安全市场规模保持增长态势。网络安全从本质上讲就是网络上的信息安全。主要指网络系统中的硬件、软件及其中的数据受到保护,不因偶然的或恶意的因素而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。广义上讲,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相原创 2021-04-22 15:01:04 · 795 阅读 · 0 评论 -
灌醉阿里P8大佬!获取内部二进制网络安全学习路线(建议收藏)
0x01 二进制学习路线1.踏实的基础。 基础是很重要的,可以通过计算机体系结构来学习,当然肯定不只是计算机体系结构,还有很多的知识。计算机科学系统基础知识的积累和沉淀,提升自己的计算机科学素养,理解计算机的工作原理。2.过语言关--反汇编能力,将对应的反汇编代码推出对应的C语言结构。 C、ASM、Python依然是必学的语言,在学的过程中,对逆向工程有利的就是将C和ASM结合起来学,写完C代码,立即调试看对应的反汇编代码,脑海中浮现对应的C结构。还可以试着自己重新用汇编代码写出来。3.过算法关原创 2021-05-10 16:58:20 · 9183 阅读 · 21 评论 -
山东菏泽曹县牛批666我的宝贝!真正的零基础Web安全学习终极攻略(从门到入职系列)
前言:很多工作一两年的朋友经常会感到迷茫,尤其是一些在传统行业一线岗位工作的年轻人,当前的工作机械重复,升职加薪没希望,薪资待遇又不高,于是萌生出跳槽转行的想法,看来看去,发现高薪行业无非就是金融、互联网、房地产等行业。于是很多人把目光投向了网络安全这行当,认为有一台电脑就可以学,成本很低而且薪资待遇相对来说是比较高的。目前互联网对于网络安全的需求极大,现在是互联网+时代,大数据、云计算等技术的应用,使得未来网络安全是必不可挡的趋势。因此,这是一个非常热门且有前景的行业。上面的这些问题博主也遇到原创 2021-05-26 19:45:10 · 373 阅读 · 2 评论 -
60W年薪Web安全架构师带走上你一条“不归路” 2021全网最详细的Web安全学习路线+大厂面经1001道
由于我国网络安全起步晚,所以现在网络安全工程师十分紧缺。根据职友集的数据显示,当前市场上需求量较大的几类网络安全岗位,如安全运维、渗透测试、等保测评等,平均薪资水平都在10k左右。随着经验和水平的不断增长,网络安全工程师可以胜任更高阶的安全架构、安全管理岗位,薪资更是可达30k。网络安全工程师的工作还有以下几个优点:1、职业寿命长:网络工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,会越老越吃香。2、发展空间大:原创 2021-06-02 17:08:11 · 2027 阅读 · 16 评论 -
Web安全
对web的攻击可分为两大类:主动攻击该类攻击是攻击者直接对web服务器上的资源进行攻击,最具代表性的是SQL注入攻击和OS攻击及DDOS攻击。被动攻击攻击者不直接对服务器发起攻击,事先设置好雷区,等待雷区被触发,具有代表性的有跨站脚本攻击和跨站点请求伪造。因输出值转义不完全引起的安全漏洞xss 跨站脚本攻击攻Cross SiteScript,跨站脚本攻击,又称css攻击。其核心思路就是将恶意html代码注入到目标网站中(如),所以经常发生在动态生成html的场景下。攻击成功后可以做的事情转载 2021-04-07 19:46:03 · 786 阅读 · 0 评论 -
写给小白看的,逆向工程怎么上路?
什么是逆向工程先给大家出一道思考题用C语言设计一个程序,验证输入的密码是否是“12345678”,如果验证成功,就输出“success”,如果验证失败,则输出“failed”。我想,大部分新手小白估计会这么写:#include <stdio.h>#include <string.h>int main() { char buf[10] = {0}; scanf("%s", buf); if (strcmp(buf, "12345678") .原创 2021-07-06 20:48:38 · 8074 阅读 · 61 评论 -
♂【超全超详细】2W字零基础小白黑客学习路线,知识体系(附学习路线图)♂
前言:关注大师的言行, 跟随大师的举动, 和大师一并修行, 领会大师的意境, 成为真正的大师。什么是黑客?这可以追溯到几十年前,那时候第一代分时微型计算机才刚刚诞生, 而 ARPAnet 的实验也才刚展开。那时的编程专家和组网高手建立了一个具有共享性质的文化社群, “hacker” 这个名词就是其中的成员创造的。黑客们建立了互联网,黑客们让 Unix 操作系统演化到现在的模样,黑客们经营着 Usenet,黑客们让万维网运转起来。如果你是这个文化的一部分,如果你对这种文化有所贡献,而且这个社群的其它成.原创 2021-07-07 15:34:34 · 7383 阅读 · 3 评论 -
漫谈网络安全学习路线:路漫漫其修远兮,吾将上下而求索。
可以这么说,未来10年都将是网络安全人才就业的黄金期。截至2018年8月,网民规模已达8.02亿人,连家里的老人都开始用起了智能手机。然而互联网的开放性和安全漏洞带来的风险也无处不在,最普遍的像账号被盗、钓鱼网站、木马病毒等等,直接危及个人安全。网络攻击行为日趋复杂、黑客攻击行为组织性更强、针对手机无线终端的网络攻击日趋严重,近几年有关网络攻击和数据泄露的新闻层出不穷。而随着大数据、物联网、人工智能等新技术的发展,信息技术与经济社会各领域的融合也更加深入。 针对互...原创 2021-06-07 15:05:46 · 2059 阅读 · 3 评论 -
靠在校所学的网络安全知识,我连实习工作都没找到..
又是一年毕业季,又有万千学子开始涌入社会这片汪洋。前些日子有个大学生小伙问了我关于网络找工作的问题,他说他很迷茫,大家都找到了工作,自己的简历投了却杳无音信,于是来问我是不是哪些环节没有做好。结果我看了一下他的简历,有点吃惊,这小伙子只会HTML和CSS,都是学校教的,其他关于前端的东西啥也不会,我不禁感叹,只会HTML和CSS,你哪怕是去找实习都比较难,何况是找工作了…...原创 2021-06-08 16:28:22 · 1337 阅读 · 23 评论 -
去字节上班了!5个月时间,设计专业成功转行安全!
毕业后去哪个城市,其实对于我们来说,还是蛮重要的,这在很大程度上决定了你未来的职业发展。首先,尽量选择一线城市,比如说北上广深杭,这里的机会多,薪资起点高,技术紧跟潮流。其次,可以选择省会城市,比如说成都、南京、武汉,薪资相对还不错,技术也跟得上,还可以作为长期发展的根据地,没有意外基本上就在这里定居了。我当时从北京回长沙的原因其实很简单,因为——爱情。加上实习的一年时间,我在北京了工作了两年半,当时刚涨了一波薪资,签了新的合同,在公司的发展前景也很不错。但为了爱情,必须忍痛离开,异地你懂的。当时在长原创 2021-07-03 15:24:48 · 3235 阅读 · 39 评论 -
【Death Note】网吧战神之7天爆肝渗透测试死亡笔记
前言:本人大概花了1-2周的空闲时间整理完了这手册,后面由于自己电脑坏了,所以只能去网吧了...常见端口及攻击方向文件共享服务端口 端口号 端口说明 攻击方向 21/22/69 ftp/tftp文件传输协议 允许匿名的上传下载、爆破和嗅探操作 2049 nfs服务 配置不当 139 samba服务 爆破、未授权访问、远程代码执行 389 ldap目录访问协议 注入、允许匿名访问、弱口令远程连接服务端口 22 SSH远程连接 爆破、ssh隧道及内网代..原创 2021-06-23 16:03:13 · 735 阅读 · 11 评论 -
自学Web/网络安全,最应该先学的五大技能树是什么?(附学习路线图)
前言:近几年网络安全事件频发,国家对于互联网信息安全和互联网舆情的重视程度不断提升有关,全球网络安全岗位缺口达300万,中国约70万,产业人才需求逐年增加,网络安全行业的相关岗位成为炙手可热的职业。...原创 2021-06-11 16:06:41 · 3078 阅读 · 25 评论 -
年薪50W的Web安全工程师教你如何应对安全学习的迷茫期
4.3. CSRF4.3.1. 简介跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或者 Session Riding ,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。4.3.2. 分类4.3.2.1. 资源包含资源包含是在大多数介绍CSRF概念的演示或基础课程中可能看到的类型。这种原创 2021-06-03 16:24:51 · 370 阅读 · 0 评论 -
【Web安全黑铁到传说】五.常见漏洞攻防之XSS篇基础详解(数据源、保护、持续化)
4.2. XSS4.2.1.1. 简介XSS全称为Cross Site Scripting,为了和CSS分开简写为XSS,中文名为跨站脚本。该漏洞发生在用户端,是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。4.2.1.2. 反射型XSS反射型XSS是比较常见和广泛的一类,举例来说,当一个网站的代码中包含类似下面的语句:<?phpecho"<p>hello,$_GET['user']...原创 2021-05-31 14:10:51 · 1988 阅读 · 3 评论 -
【Web安全黑铁到传说】四.常见漏洞攻防之SQL注入基础详解(权限提升、绕过技巧、注入技巧)
4.1.1. 注入分类4.1.1.1. 简介SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。 在应用程序中,如果没有做恰当的过滤,则可能使得恶意的SQL语句被插入输入字段中执行(例如将数据库内容转储给攻击者)。4.1.1.2. 按技巧分类根据使用的技巧,SQL注入类型可分为 盲注 布尔盲注:只能从应用返回中推断语句执行后的布尔值 时间盲注:应用没有明确的回显,只能使用特定的时间函数来判断 报错注入:应用会显示全部或者部分的报错信息 堆叠注入:有的应用可以加入.转载 2021-05-30 15:33:27 · 488 阅读 · 0 评论 -
【Web安全黑铁到传说】三.信息收集篇基础详解(域名信息、端口信息、社会工程学)
3.1. 网络入口/信息 网络拓扑信息 外网出口 IP信息 C段 线下网络 Wi-Fi SSID 认证信息 VPN 厂商 登录方式 邮件网关 手机APP 小程序后台 SSO 边界网络设备 上游运营商...原创 2021-05-29 14:15:51 · 1216 阅读 · 0 评论