- 博客(1965)
- 收藏
- 关注
RSS订阅原创 Pikachu靶场全级别通关教程详解
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
2024-08-23 13:55:09
688
原创 Pikachu靶场全关攻略(超详细!)
文件包含是一个功能, 在各种开发语言都提供了内置的文件包含函数, 这使得开发人员可在一个代码文件中引用另外一个文件的代码,如php中就提供了include()require()虽然文件包含函数中包含的文件代码是固定的, 但是有些时候文件包含的代码文件被写成了一个变量, 且该变量由前端传入, 若该变量没有做安全防护,则可能引发文件包含漏洞文件包含漏洞又分为本地文件包含和远程文件包含。
2024-08-23 13:53:53
541
原创 pikachu 靶场通关(全)
网络安全入门到底是先学编程还是先学计算机基础?第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。//union语句聚合两个查询的内容,由于页面只返回一行,所以在前面的输入一个不存在的id,我这里直接使-号,以返回我们输入的内容,这里页面上将1,2都返回了,得知两个字段都有回显,
2024-08-23 13:52:35
309
原创 OWASP安全练习靶场juice shop-更新中
Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在。该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。找到这个记分牌实际上是(简单的)挑战之一!除了黑客和意识培训用例外,渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对JavaScript 密集型应用程序前端和 REST API。
2024-08-23 13:51:01
753
原创 ouc 网络安全实验 格式化字符串漏洞
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
2024-08-23 13:50:31
532
原创 kali linux网络安全弱口令爆破常用命令(二)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-22 22:16:07
508
原创 KALI LINUX网络安全监控工具
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…该工具具有广泛的应用,例如在大型企业、政府机构、金融机构和运营商等组织中,Bro可用于监控网络流量,检测网络入侵,并提供关键的安全情报。
2024-08-22 22:15:10
498
原创 kali linux渗透测试之漏洞扫描
进行渗透测试需要进行漏洞扫描,今天就分享给大家几款漏洞扫描软件用法。Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。。。这是一款kaliLinux自带的软件。其对服务器扫描具有优势。强调:nikto更多针对主机!!!!!!系统漏洞扫描与分析软件Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。
2024-08-22 22:14:37
524
原创 Kali Linux:网络与安全专家的终极武器
Kali Linux 是一款基于 Debian的发行版,这意味着它拥有强大的社区支持和丰富的软件资源。它被设计为具有快速、轻量级的特性,特别适合在虚拟机和闪存驱动器上运行。Kali Linux的目标是成为网络和安全专业人士的首选工具,它提供了广泛的网络安全工具和技术,帮助用户在各种环境中发现和防御漏洞。本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能:通过实验室集成到云服务,从而了解在渗透测试中通常被忽略的一个开发维度;探索在虚拟机和容器化环境中安装和运行Kali。
2024-08-22 22:14:06
811
原创 Kali Linux 安全渗透核心总结
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈!网络安全源码合集+工具包网络安全面试题。
2024-08-22 22:13:30
662
原创 CTF常用工具_实时更新
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!
2024-08-21 13:57:17
606
原创 CTF比赛必备常用工具
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
2024-08-21 13:56:47
732
原创 ctfshow每周大挑战之RCE极限挑战
php的eval()解释:eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。return 语句会立即终止对字符串的计算。返回值:除非在代码字符串中调用 return 语句,则返回传给 return 语句的值,否则返回 NULL。如果代码字符串中存在解析错误,则 eval()函数返回 FALSE。
2024-08-21 13:55:02
659
原创 CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
废话不多话开启你们的旅程吧 这个也是我这几天才看 一些见解和思路分享给你们希望你们在旅途中玩的开心,学的开心✌( •̀ ω •́ )y。
2024-08-21 13:54:14
983
原创 2023网络安全岗面试题汇总(附答案)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-20 11:38:25
685
原创 2023年最新版kali linux安装教程
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
2024-08-20 11:37:50
568
原创 2023级网络安全岗面试题及面试经验分享_黑战士安全的博客
个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节,在面试时才不会磕磕绊绊、或者忘了一些自己很得意的细节面试题会一直更新(大概,直到我毕业或者躺平为止吧…)包括一些身边同学(若他们同意的话)和牛客上扒拉下来的(若有,会贴出链接)还有自己的一些经历。
2024-08-20 11:37:15
992
原创 2022年山东省职业院校技能大赛 网络搭建与应用赛项 第二部分 网络搭建与安全部署&服务器配置及应用
某集团公司原在北京建立了总公司,后在成都建立了分公司,广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。为了更好管理数据,提供服务,集团在北京建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,更好的服务于公司客户。公司网络结构详见网络拓扑图。SW1和SW2作为集团北京核心交换机;SW3作为贵州DC核心交换机;FW1作为集团互联网出口防火墙;FW2作为办事处防火墙;RT1作为集团核心路由器;
2024-08-20 11:36:25
574
原创 2022第三届全国大学生网络安全精英赛练习题(7)
以上就是今天要讲的内容,本文仅仅简单介绍了2022第三届全国大学生网络安全精英赛练习题(7),今年练习题一共有902题,在此记录。
2024-08-20 11:35:52
852
原创 【Linux网络】ssh服务与配置,实现安全的密钥对免密登录
ssh是一种安全通道协议,主要用来实现远程登录、数据传输等;ssh协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
2024-08-19 12:54:29
782
原创 【linux命令讲解大全】141.hping3:测试网络及主机的安全
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。本科计算机类、高职自动化类专业月收入较高。
2024-08-19 12:53:40
683
原创 【Linux】Kali Linux 渗透安全学习笔记(1) - Docker Kali 部署与安装软件
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-19 12:52:58
530
原创 【Kali】kali主要工具使用说明(文末附超全思维导图)
changeme -a 目标探测目标是否使用默认密码(新版本中已移除该工具)强大之处在于提供了大量的渗透测试模块和插件。7种类型,Exploits(渗透攻击模块)、Auxiliary(辅助模块)、Post(后渗透攻击模块)、Payloads(攻击载荷模块)、Encoders(编码器模块)、Nops(空指令模块)、Evasion(规避模块)。
2024-08-19 12:52:26
617
原创 【Ctfer训练计划】——命令执行的解题技巧(持续更新中)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-19 12:51:53
923
原创 【Ctfer训练计划】——(五)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-18 20:46:15
752
原创 【2023最新版】黑客入门教程|三分钟手把手教会,非常简单
站在计算机角度上解释,黑客就是去寻找网站、系统、软件等漏洞,并利用漏洞来取得一些数据或达到控制,让对方程序崩溃等效果。刚入门的黑客大部分从事渗透工作,而渗透大部分属于web安全方向。因此换个淳朴点的名字称呼他们就是 —— 安全工程师。是不是一下子就没那么神秘了?不过,所谓职称仅仅是代号。我认为黑客真正的魅力在于他们对于代码的痴迷与热爱,对自己能力近似于傲慢的自信以及打破陈规的创造力与勇气。当然不包括触犯法律。
2024-08-18 20:45:13
738
原创 《网络协议》05. 网络通信安全 · 密码技术
数字签名,其实就是将非对称加密反过来使用。既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密。公钥负责加密,私钥负责解密既然是签名,那肯定是不希望有人冒充我发消息,所以只有我才能签名。私钥负责签名,公钥负责验签。
2024-08-18 20:44:42
594
原创 《2023全球汽车行业网络安全报告》解读
Upstream的研究人员分析了关键的汽车风险和漏洞,并发布了一份安全报告《2023全球汽车行业网络安全报告》Report阿里·卡梅伦是一名内容营销人员,专注于网络安全和B2BSaaS领域。除了为Tripwire的“安全状态”博客撰稿外,她还为Okta、Salesforce和微软等品牌撰稿。阿里以不同寻常的方式进入了内容世界,她的职业生涯始于普华永道(PwC)的管理顾问职位,在那里,她对将复杂的概念变得容易理解产生了兴趣。她将这种兴趣与对讲故事的热情融合在一起,这种结合非常适合在网络安全领域写作。
2024-08-18 20:44:12
668
原创 如何在亚马逊,美客多,阿里国际,速卖通上安全地进行自养号测评?
借鉴亚马逊等跨境电商市场的经验,我们建议选取具备以下特点的产品在平台上销售,以实现需求稳定、竞争较低、利润较高,同时规避法律纠纷和质检问题。首先,应选择体积小、重量轻、易于运输的商品,这有助于降低运输成本和风险。其次,应选择供应渠道良好、无季节性限制的商品,以确保全年销售稳定,避免销量波动。此外,还应选择简单易用且与众不同的产品,能够吸引消费者注意并提升竞争优势。这类产品通常更容易在平台上脱颖而出,从而获得较高的利润。一旦卖家完成了产品选品,接下来的关键步骤就是制定定价策略。
2024-08-17 17:20:55
565
原创 如何在多租户环境中实现高度的隔离与安全
在当今的互联网时代,多租户系统已经成为企业和组织中不可或缺的技术基础设施。多租户系统可以让多个租户共享同一个系统,从而降低成本,提高资源利用率。然而,在多租户环境中,如何实现高度的隔离与安全成为了一个重要的技术挑战。背景介绍核心概念与联系核心算法原理和具体操作步骤以及数学模型公式详细讲解具体代码实例和详细解释说明未来发展趋势与挑战附录常见问题与解答多租户系统的核心特点是在同一个系统中支持多个租户(即客户或用户)共享资源,从而实现资源的共享和复用。
2024-08-17 17:19:51
579
原创 如何在kali系统打开22端口
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-17 17:19:18
576
原创 如何选择一款安全稳定的跨境浏览器?
选择适合自己的跨境浏览器是进行跨境电商和跨境交流的关键一步。本文将为您介绍如何客观地选择一款安全稳定的跨境浏览器,以便更好地进行跨境业务。
2024-08-17 17:18:39
639
原创 如何通过管理层和领导层的积极参与和支持,展示安全的重要性?
本文将探讨企业应如何在管理和领导力层面积极支持和参与网络安全工作以提升整个组织对于网络安全的认识和实践水平。
2024-08-17 17:18:07
944
原创 如何查看电脑使用记录?保障个人隐私和安全
查看电脑使用记录是了解电脑活动的一种重要方式,可以帮助用户追踪应用程序的使用情况、登录和关机时间、文件的访问记录等。在本文中,我们将介绍如何查看电脑使用记录的三个方法,以分步骤详细说明如何查看电脑使用记录,帮助用户更全面地了解电脑的操作历史。!x-oss-
2024-08-15 17:28:20
724
原创 如何保证接口安全,做到防篡改防重放?
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口。
2024-08-15 17:27:32
696
原创 如何保护linux服务器远程使用的安全
服务器安全是一个非常敏感的问题,因服务器远程入侵导致数据丢失的安全问题频频出现,一旦服务器入侵就会对个人和企业造成巨大的损失。因此,在日常使用服务器的时候,我们需要采取一些安全措施来保障服务器的安全性。目前服务器系统使用到比较多的就是Linux,大多数服务器都在 Linux 基础架构上运行,而我们远程时候,多数也是会使用默认设置的 SSH连接来连接到远程服务器。但是,不安全的默认配置是会带来一些安全风险。今天我们就来分享一些方案可以保护Linux服务器远程连接的安全。!
2024-08-15 17:26:56
558
原创 冗余规则:存在过多冗余规则,影响效率和安全
冗余规则是指在防火墙上设置的多个相同的规则和条件。这些规则可能是针对不同的协议(如TCP/IP),不同的端口或服务的不同设置等。其目的是防止单一故障点并提供额外的安全保障。然而在实践中可能会出现一些问题,例如以下两种情况:1.过度的冗余规则这种情况下会有过多的规则被添加进来,以至于消耗了大量的网络带宽资源和管理精力;同时还会增加误报率,从而给企业带来不必要的成本压力与安全威胁隐患。2.不恰当或不完整的冗余规则。
2024-08-15 17:26:13
648
原创 日志数据未与其他安全系统集成:未能将日志数据与其他安全系统(如IDS、IPS)集成分析
针对目前存在的日志数据未与其他安全系统集成问题,我们提出了以下几点建议和解决办法:(一) 建立统一的数据标准和接口规范;(二)采用云服务平台或其他技术手段来完成数据和资源的交互式访问与管理等工作;(三)积极寻找合作伙伴和供应商共同努力推动整个行业向更加智能化和高效化的方向发展。只有不断追求进步和提升才能更好地应对未来日益复杂多变的互联网安全风险环境为企业的发展保驾护航。
2024-08-15 17:25:38
650
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人