- 博客(38)
- 收藏
- 关注
原创 网络安全(黑客)入门
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!
2023-08-23 14:04:30 1802 1
原创 网络安全(黑客技术)自学
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!
2023-08-18 16:46:32 488
原创 网络安全(黑客)自学
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2023-08-17 14:00:45 1099
原创 网络安全(黑客)自学
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。网络安全产业就像一个江湖,各色人等聚集。
2023-08-11 14:13:44 2072 2
原创 傻瓜式教程带你入门网络安全(黑客)
黑客对于很多人来说都充满诱惑力。很多人可以发现这门领域如同任何一门领域,越深入越敬畏,知识如海洋,黑客也存在一些等级,知道创宇CEOic就曾经分享过一些黑客的等级Level1愣头青:会使用安全工具,只能简单扫描、破译密码。(百万人)Level2系统管理员:善用安全工具,特别熟悉系统及网络。(上万人)Level3大公司的开发人员或者核心安全公司牛:对操作系统特备熟悉,开始开发代码,写自己的扫描器。(几千人)
2023-07-25 15:01:42 120
原创 2023最新最全网络安全面试题总结!硬钢秋招!【建议收藏】
原理:防御:DDOS:CC攻击:两者区别:前端:后端:GPC:绕过:原理:防御:WAF绕过:服务器检测绕过:白名单检测绕过:存储型XSS危害:Windows:Linux:IIS:Apache:Nginx:Tomcat:JBoss:WebLogic:Windows:Linux:Activity组件:Service组件:Broadcast Receiver组件:Content Provider组件:原理:绕过:
2023-07-17 20:48:09 200
原创 【无标题】
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2023-07-15 20:49:10 84
原创 自学黑客[网络安全]那真是越学越刑!
✈️网络安全,顾名思义,无安全,不网络。现如今,安全行业飞速发展,我们呼吁专业化的 就职人员 与 大学生 ,而你,认为自己有资格当黑客吗?✒️本文面向所有信息安全领域的初学者和从业人员,给你规划详细的网络安全学习路线,并附上优质的学习资料,让你在越来越卷的网安赛道上迅速成为网安大牛,月薪10k不是梦!1️⃣网安现状❗本文面向所有想要涉足网安领域或已经涉足但仍处在迷茫期的伙伴✈️网络安全,一个近几年大火的词。目前,在政策的大力支持下,重要行业网安能力稳步提高,数十万人涌入该赛道。
2023-07-14 16:32:59 103
原创 【网络安全】带你了解什么是【黑客】
黑客(Hacker)是指那些具备计算机技术专业知识,并能够通过创造性的方式突破系统安全,探索和发现计算机系统中的漏洞和弱点的人。黑客的技能范畴广泛,他们可以是计算机安全专家、网络程序员或者是信息技术爱好者。黑客在信息安全领域发挥着重要作用。他们通过发现和披露系统漏洞,推动了软件和网络安全的发展,有助于保护个人隐私和企业机密不被未授权访问。此外,一些黑客还为技术社区、开源软件和互联网服务做出了杰出贡献。黑客既是一种技术能力的象征,也是一个复杂的文化群体。他们的存在对于互联网和信息安全至关重要。
2023-07-13 13:44:42 250
原创 网络安全(黑客)自学
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。有的创造力可以改变世界,有的创造力可以改变家庭,有的创造力可以改变自己。你需要多大的创造力,取决于你的基因,取决于你希望自己成为怎样的人。不过我还修炼了另两条技能,也许可以让我有个比较有意思的突破,至于是什么,不好意思,没成功之前哪敢放肆呢。对大多数人来说,专注是最难的,毕竟这是一个立竿见影的熵减过程,一个信息的自组织过程。视野是横,专注是纵,这两者需要平衡,因为人的精力有限(能量守恒定律)。
2023-07-11 15:02:42 83
原创 零基础大学生如何开始学习CTF——CTF基本概念
01」简介中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。02」竞赛模式解题模式:在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。
2023-06-17 20:19:15 559 5
原创 网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2023-06-14 19:53:18 802 8
原创 黑客不知道源码的情况下为什么可以找出系统漏洞
从边缘开始的渗透,现代服务器是集群,有网关有防火墙有内网,有无数台服务器,我们很难对着一个单个服务器去攻击,黑客最常见最容易得手的方式,往往是通过边缘系统逐渐渗透到核心系统,比如你要渗透qq的服务器,很难直接对着qq的服务器ip进行硬上,一般人会从腾讯的边缘系统开始,因为边缘系统不太注重安全,比如先渗透弱密码数据库 人事系统 erp 测试环境,git代码服务器,不出名边缘产品 等等一切与核心有关的边缘漏洞,开始渗透,从边缘渗透进内网,从内网再逐步渗透,最后直达核心和目的。redis mysql漏洞。
2023-06-13 20:24:27 136
原创 SRC漏洞挖掘经验分享
下面找到一个站,输入单引号',页面异常,我们找输入and 1=1 | 1=2,发现1=2异常。这里的and 1=1,页面正常,但在 and 1=2 的时候,页面也是回显正常,进一步验证。一般通过搜索到的站点看是否有留言板,可以尝试盲打XSS,一般一个XSS为中危,直接构建。挖洞就是这么的轻轻松松,SQL注入还是特别多的,遇到waf,有想法的可以去尝试绕过。然后我们运用SQL语句,发现这里存在布尔盲注,布尔盲注查询数据繁琐,这里直接丢。进一步使用,and 1=1 && and 1=2,进行验证漏洞是否存在。
2023-06-10 16:30:34 559
原创 CNVD证书经验分享
4⽉份利⽤闲时时间对学校资产进⾏了⼀波渗透测试,发现蛮多的漏洞, 这其中就发现了这次证书的漏洞⼚商, 前不久证书也下来了, 再加上有时间就对这次收获做⼀次总结。国家信息安全漏洞共享平台 ( China National Vulnerability Database, 简称CNVD) 是由国家计算机⽹络应急技术处理协调中⼼ (中⽂简称国家互联应急中⼼, 英⽂简称CNCERT) 联合国内重要信息系统单位 、
2023-06-10 16:11:32 390 1
原创 网络安全零基础入门最细学习路线!建议收藏
网络安全是一个非常重要的领地,随着互联网的普及和信息化程度的不断提升,网络安全的重要性也越来越凸显,在日常生活和日常中保护个人信息和隐私,提高安全意识,不随意识泄露敏感信息和密码。对想要从网络安全工作的人来说,需要具备扎实的计算机和错误基础和安全性掌握最新的技术和工具,不断提高防护范围和应对能力。介绍网络安全的基本概念、技术和工具,逐步深入,帮助您成为一名合格的网络安全从业人员。网络安全透测技术是指模拟攻击者的行为,测试网络安全防护措施的强大和有效的技术,包括信息收集、删改、泄露用、权限提升、数据泄露等。
2023-06-09 20:20:03 291 2
原创 解读CTF比赛怎么打?怎么参加?CTF是什么?
很多人觉得CTF脱离实战。是的,现在很多CTF赛题并没有大多意义,更像是为了出题而出题,⑨当你拋弃那些无意义的比赛,参加一些优质赛事时就会发现,现在大量优质的比赛正在使用odaya或是非常前沿的技术在出题。在CTF比赛中你掌握了快速的学习能力、漏洞的挖掘方法与技巧、前沿漏洞的挖掘、利用脚本与工具的编亏,那么现在你还觉得CTF无意义吗?
2023-06-08 17:12:05 1895 1
原创 23岁大专零基础学网络安全能找到工作吗?
大部分互联网大厂的学历界定基本都要求在本科以上,所以在很多人的印象中,本科学历就是大厂的敲门砖。于是大大小小的培训机构广告出来了,不管是抖音还是视频号,都开始宣传自考本科,这确实是一个提升学历的好机会。然而,随着近几年来互联网的发展,学历的影响正在逐渐地变弱,非本科统招月薪超过10K的并不少见,但是还是有很多小伙伴们有着学历焦虑。“大专学历可以来学网络安全吗?“本科学历通过培训班转行网络安全还是考研?“大厂是不是只招收本科学历?其实学历焦虑不仅是存在于个体当中,而是正在成为社会整体层面上的集体困扰。
2023-06-07 15:57:46 282
原创 零基础如何自学网络安全?
建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少。很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。挖 SRC 的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,更多的还是要进行实操,把理论知识运用到实践中,确保更好的掌握知识点。
2023-06-06 21:30:20 93
原创 黑客是怎么做到无需知道源码的情况下找出系统漏洞?
没有源码但是可以直接看cpu汇编。二进制,没有秘密。 没有源码的软件,同样破解。 没有源码的游戏程序,同样对其制作外挂。 没有源码的app,同样可以逆向出它的协议给它弄一堆僵尸用户。 甚至直接dump单片机路由器的程序分析汇编。 只要给出一个exe apk程序,无论是虚拟加壳还是混淆花指令,都能逆向,在高手面前就是多费了一些脑筋而已。 浅谈一下,<服务器系统渗透>,服务器一般是不知道源码的,也接触不到二进制。但可以从其它方式进行侵入,一般入侵服务器方式如下: 操作系统漏洞,linux开源的
2023-06-06 20:34:06 306
原创 SRC漏洞提交平台汇总
阿里巴巴集团安全应急响应中心。国家信息安全漏洞共享平台。去哪儿网安全应急响应中心。腾讯安全应急响应中心。京东安全应急响应中心。新浪安全应急响应中心。蚂蚁金服安全响应中心。银联安全应急响应中心。同程安全应急响应中心。金山安全应急响应中心。
2023-06-05 21:48:09 1588
原创 CNVD证书经验分享
3、挖edusrc,因为edusrc的对象就是学校,学校我们就不说了,数量远远超过我们的要求,很。司逻辑漏洞,另一本是弱口令,逻辑漏洞我复现4案例+13其他案例。弱口令的我是xx公司的多。个网络设备弱口令总结,复现4案例+10其他案例,超过要求的10案例,这个当然是越多越好。我这次既有白盒案例也有黑盒的,再加上一个弱口令,一共三本证书。他案例,其他案例不要求复现),白盒的得有源码以及提供漏洞处代码调试过程,包含截图和原。白盒得的证书和逻辑漏洞的那家公司是同一个公司,白盒测试过程是找到漏洞点,分析漏洞成。
2023-06-05 21:41:57 1429 1
原创 在网络安全解决方案中使用数据挖掘技术
它是用人工智能、机器学习、统计学和数据库的交叉方法在相对较大型的数据集中发现模式的计算过程。类似词语“资料采矿”、“数据捕鱼”和“数据探测”指用数据挖掘方法来采样(可能)过小以致无法可靠地统计推断出所发现任何模式的有效性的更大总体数据集的部分。黑客通过基于网络的入侵来达到窃取敏感信息的目的,也有人以基于网络的攻击见长,被人收买通过网络来攻击商业竞争对手企业,造成网络企业无法正常营运,网络安全就是为了防范这种信息盗窃和商业竞争攻击所采取的措施。因此,您可以检测入侵、网络和系统扫描、拒绝服务和渗透攻击。
2023-06-04 19:24:13 330
原创 网络安全(一):常见的网络威胁及防范
其核心功能是保护我们所使用的设备(智能手机、笔记本电脑、平板电脑和计算机等)以及访问的服务(生活和工作中)免遭盗窃或损坏,降低网络攻击的风险,并防止系统、网络和技术遭到未经授权的利用。,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。设备安全,是物理意义上的数据存储、迭代等等的设备,或者说服务器、硬盘等等,它是网络安全的物质基础,也是网络安全首先要考虑的问题。
2023-06-04 19:22:12 378
原创 聊一聊ssrf漏洞的挖掘思路与技巧
有网段了,就可以一点一点的探测了,探测内网的telnet,ssh,redis,以及各个数据库,为以后的内网漫游做好信息收集。ssrf这个漏洞虽然在各大src上都被评为低危,但是这是因为它本身的危害有限,不可否认,若是与其他漏洞,其他思路结合起来会对你的渗透过程方便很多,它的强大之处是在于探测到一些信息之后从而进一步的利用.,比如获取内网的开放端口信息,主机的信息收集和服务banner信息,攻击内网和本地的应用程序及服务,还有就是利用file协议读取本地文件,就好像上面的那个文件读取漏洞。
2023-05-31 15:44:49 666
原创 超详细域渗透过程
如果目标网络够大, 就很有可能会在网络分享上找到有用的鉴别信息 (例如各种batch, vbs, .NET, ps1, etc. 文件中), 在找的过程中 "dir /s", "findstr /SI" andFind-InterestingFile 相当管用. 取决于一开始你怎么获得的权限,你可能已经用到了一些很好用的像cobalt strike类型入侵框架,或者你已经在目标网络某台机器是有了一些基本权限功能。在不同的被限制的情况下可能只有特定的办法可以成功。我们现在就可以切换成他的账号。
2023-05-31 15:44:00 258
原创 CISSP一次通过指南
书看完之后可能没有什么感觉,一定要做题,仅仅做书中每个章节的习题是不够的,all in one的习题比较难,OSG的习题比较简单,建议大家还是做官方的习题集,毕竟是官方出的习题,应该是和考试最接近的材料了,不过现在只有英文版的,对于英语一般的朋友可能做起来比较吃力,加之之前看的中文版,很多专有术语都得和英文对上,我在做题的时候也是比较痛苦。测试并认证用户的身份。考试环境一般都是可以的,这次考试和我同一时间的好多都是考GMAT的学生,考试中心给我单独安排了一个单间,还送了耳塞,考试环境很安静,很nice。
2023-05-31 15:40:48 236
原创 给你讲个笑话,我是做网络安全的
邻里乡亲,村子里的各种人都会来找你,狗蛋儿,你不是网络安全从业人员吗。说认识人太少,应当混一下圈子,加点QQ群,微信群,参加一些大会吧,到后来发现原来跟娱乐圈同理。别人都说程序员女生太少,我跟你说网络安全圈的女生,基本都100比1,那1个还是搞运营的,?早些年,网络安全刚起步,作为一个网络安全从业人员,最苦恼的事情就是每当回到村里变成!面试的时候需要各种证,证考完之后,又说主要看重能力学历不重要,!安全界前辈都说过,不能光看书,看教程没用,需要动手练习,。太过了吧,还脱裤脱代码,不报警才怪,又不授权。
2023-05-30 19:56:32 93 1
原创 2023最新最全!蓝队护网初级面试题合集!
本人从事网络安全工作10年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。随着网络安全被列为国家安全战略的一部分,这个曾经细分的领域发展提速了不少,除了一些传统安全厂商以外,一些互联网大厂也都纷纷加码了在这一块的投入,随之而来的吸引了越来越多的新鲜血液不断涌入。文章结尾有彩蛋哦~
2023-05-27 20:17:45 7415 91
原创 为什么现在是入行网络安全最好的时机?
信息学是俄罗斯中学阶段的一门核心课程,其内容包括信息技术、网络技术、算法和编程语言,据统计,每年有6万中学生注册参加AP计算机科学考试,为俄罗斯培育了超60万计算机相关技术人才,这其中就包括了大量的世界知名的黑客。2011年英国发布《网络安全国家战略》,强调要“加强网络安全技能教育”,德国发布《德国网络安全战略》,强调“提高公众对互联网风险的认识,加强专业人才培养”,法国发布《信息系统防御与安全:法国战略》,提出建立网络防御研究中心,从事专业人才的培训,因此,现在,就是你入行网络安全最好的时机!
2023-05-27 19:43:14 50 1
原创 2023最全网络安全面试题合集
利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的通过“回车”和“换行”字符注入HTTP流,实现网站篡改、跨站脚本、劫持等。
2023-05-26 15:28:38 97 1
原创 想成为网络安全工程师,应该学习那些东西?
什么是加密与解密寻找银弹 - 有没有无法破解的密码通过 JAVA 代码入门加密与解密JAVA 代码解析对称密码 - DES AESJAVA 代码解析公钥密码 - RSA EIGAMAL 椭圆曲线 ECCJAVA 代码解析非对称密钥生成器JAVA 代码解析密钥规范管理JAVA 代码解析数字签名数字证书相关管理JAVA 代码解析安全套接字简单并常用的 BASE64文件校验 - 循环冗余校验 CRC。
2023-05-26 15:01:11 850 1
原创 从0到1,零基础如何逆袭成为网络安全工程师?
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的种类(1)物理安全(2)系统安全(3)电子商务(4)协议安全(5)应用系统安全。
2023-05-25 16:07:04 527 1
原创 2023最新渗透测试工具介绍!
Metasploit框架使用模块,包括针对不同平台和不同类型漏洞的渗透测试,极大地简化了渗透测试的难度,在做渗透测试服务的时候一定要向网站安全公司或渗透测试公司去做,因为他们的实战经验比较丰富,能少走很多弯路,毕竟每个行业都有行业精通者。因为网络渗透测试是一个相对广泛的概念,所以上述工具也可以包括社会工程学渗透测试模块,网络渗透测试模块和无线渗透测试模块。典型的社会工程学渗透测试工具有BeefXSS和HoneyPots,这些工具诱使用户访问特定的网站,获得用户的Cookie信息,达到渗透的目的。
2023-05-24 16:03:50 206
原创 网络攻击原理与方法
(3)密码破解:是安全渗透常用的工具,常见的密码破解方式有口令猜测(针对用户的弱口令)、穷举搜索(针对用户密码的选择空间,使用高性能计算机,逐个常识可能的密码)、撞库(根据已经收集到的用户密码的相关数据集,通过用户关键词搜索匹配,与目标系统的用户信息进行碰撞,以获取用户的密码)等。挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反映推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。
2023-05-24 16:00:16 321 1
原创 CVE 漏洞的分析及复现
往下,调用了StringUtils.tokenizeToStringArray()方法,之前的/secret.html转化成了["secret.html"]这个数组,/./secret.html转换成了[".","secret.html"]/secret.html的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像..,#这类字符就会产生问题。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。先说 PoC,未标准化路径造成。
2023-05-20 13:59:56 1624 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人