- 博客(1995)
- 收藏
- 关注
RSS订阅原创 信息与网络安全基础知识汇总
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-29 09:38:43
1127
原创 信息系统安全——基于 KALI 和 Metasploit 的渗透测试
实验 2 基于 KALI 和 Metasploit 的渗透测试2.1 实验名称《基于 KALI 和 Metasploit 的渗透测试》2.2 实验目的1 、熟悉渗透测试方法2 、熟悉渗透测试工具 Kali 及 Metasploit 的使用2.3 实验步骤及内容**** 、安装系统**** 、选择**** 中种攻击工具,记录攻击的主要步骤和攻击结果截图。攻击一:使用复现“永恒之蓝”漏洞实验环境:Win7(关闭防火墙,开启 SMB 服务);1 启动 Metasploit。
2024-08-29 09:37:54
979
原创 信息网络安全模拟题----软考高项的走过来
101、通过“计算机管理”来清除时间日志也可以达到清除痕迹的目的,具体操作是()A.禁用“event system”服务 B.禁用“net logon”服务C.禁用“event log”服务 D.禁用“secondary logon”服务正确答案:C 解析:通过“计算机管理”来清除时间日志也可以达到清除痕迹的目的,如果禁用“eventlog”服务,则该主机就不会对任何操作进行日志记录了。因此本题选C.102、把一个文件移动到回收站后发现删除错误,想撤回该文件可使用哪个快捷键()
2024-08-29 09:37:19
1666
原创 信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其中存在的安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。
2024-08-29 09:36:20
769
原创 信息安全岗位面试要点(上)
网络安全是保护系统、网络和程序免受数字攻击的做法。这些攻击通常旨在访问、更改或销毁敏感信息:从用户那里勒索钱财或中断正常的业务流程,
2024-08-29 09:35:40
940
原创 网络安全面试题及答案_孤独冰刃的博客
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现不管用户名和密码是什么内容,使查询出来的用户列表不为空。如何防范SQL注入攻击使用预编译的PrepareStatement是必须的,但是一般我们会从两个方面同时入手。Web端1)有效性检验。2)限制字符串输入的长度。服务端1)不用拼接SQL字符串。
2024-08-28 06:49:35
3210
原创 网络安全面试题_方方方钦qiner的博客
为了防止已失效的连接请求报文段突然又传送到了服务端,因而产生错误第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
2024-08-28 06:47:48
1471
原创 网络安全经典面试问题汇总
同源策略是检查页面跟本机浏览器是否处于同源,只有跟本机浏览器处于同源的脚本才会被执行,如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
2024-08-28 06:46:53
1327
原创 网络安全工程师面试题整理_心动简讯的博客
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p 指定端口扫描-sT tcp扫描-sP ping扫描-Pn 不进行ping扫描-o 操作系统探测。
2024-08-28 06:45:40
866
原创 渗透第四章----Nessus主机安全检测工具安装破解专业版(kali)
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一.从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-08-27 08:04:44
719
原创 渗透测试之sql注入验证安全与攻击性能
🍅文末有免费的配套视频可观看🍅,免费获取软件测试全套资料,资料在手,涨薪更快由于渗透测试牵涉到安全性以及攻击性,为了便于交流分享,本人这里不进行具体网址的透露了。我们可以在网上查找一些公司官方网站如(http://www.XXXXXX.com/xxxx?id=1)
2024-08-27 08:04:08
1004
原创 渗透测试练习靶场汇总
Vulfocus 官网:在线演示:2.BUUCTF在线评测writeup文章:https://github.com/niudaii/my-vulstack-wphttps: //第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
2024-08-27 08:03:37
908
原创 渗透测试工具Kali Linux安装与使用
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。11是官网下载的镜像文件,在Vmware中安装的时候有图文提示,一路安装正常,也设置了普通用户和root的登录密码,默认安装成功进入了图形化界面,作为专业开发我肯定想让他进入命令行模式,我在图形登录界面试了一下Ctro+Alt+F1-F6试了一下,Ctro+Alt+F3进入命令行,然后切换到root用户。
2024-08-27 08:02:48
1026
原创 设计安全高效网络的17个关键策略
随着越来越多的业务流程走向数字化,拥有一个强大可靠的网络能够处理日益增长的日常流量对于维持生产力和服务至关重要。同时,网络攻击者永远不会停滞不前,每家组织都是潜在的目标。技术领导者及其团队比以往任何时候更知道设计一种网络架构的重要性,以便提供可靠的服务,并防御未经授权的访问。《福布斯》杂志技术委员会的17位专家成员在本文中分享并解释了组建和维护安全高效网络的一些关键策略,这是当今数字化工作场所的必备知识。
2024-08-27 08:02:08
1025
原创 面试官:网络安全了解多少,简单说说?(七)
文件上传作为 Web 应用系统中最最常见的功能,因此文件上传漏洞也算是 Web 安全漏洞中最普遍存在的漏洞了,而由于文件上传涉及到服务器文件系统,因此具有非常大的安全风险,作为开发人员,在对待文件上传相关功能的时候,应该对常见漏洞做好梳理,在开发期间一一“排雷”,对待文件上传相关功能的时候,应该对常见漏洞做好梳理,在开发期间一一“排雷”,
2024-08-26 08:48:07
295
原创 面试官:网络安全了解多少,简单说说?(六)
上一篇讲解了越权中的一个类型“垂直越权”,那么这篇就把剩下的另外一个“水平越权”也讲解一下吧,在日常的项目中,越权的出现可以说是非常常见的,而与上一篇我们所讲解的“垂直越权”相比,“水平越权”出现的范围更加广泛,涉及到的系统也也更广,危害丝毫不比“垂直越权”低。
2024-08-26 08:47:03
1042
原创 面试官:网络安全了解多少,简单说说?(二)
在上一篇文章中介绍了 XSS 相关的攻击原理、攻击步骤以及攻击的防范措施,那么这一篇就来介绍下另外一个前端基础的网络安全攻击漏洞 CSRF。
2024-08-26 08:46:08
637
原创 面试官:网络安全了解多少,简单说说?(八)
顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作命令。webshell就是以 asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。而正是由于其便利性和功能强大,被特别修改后的 webshell 也被部分人当作网站后门工具使用,以达到控制网站服务器的目的。
2024-08-26 08:45:32
839
原创 美国防部网络发布的安全成熟度模型认证 (CMMC) 计划拟议规则的要点整合
美国防部2023年12月26日发布网络安全成熟度模型认证(CMMC)计划拟议规则,该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构,将对美国防工业基础超过20万家公司的网络安全合规性产生重大影响。
2024-08-26 08:44:45
929
原创 黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
想要成为黑客,却苦于没有方向,不知道从何学起,下面这篇教程可以帮你实现自己的黑客梦想,如果想学,可以继续看下去,文章有点长,希望你可以耐心看到最后1、 Web安全相关概念(2周)·熟悉基本概念(SQL注入、上传、XSS、 、CSRF、一句话木马等)。通过关键字(SOL注入、上传、XSSCSRF、一句话木马等)进行Google/SecWiki;·阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以。
2024-08-25 15:10:39
890
原创 黑客工具之sqlmap安装教程,超详细使用教程(附工具安装包)
这些选项可以用来创建用户自定义函数--udf-inject 注入用户自定义函数--shared-lib=SHLIB 共享库的本地路径。
2024-08-25 15:09:35
584
原创 国营单位工作 4 年转行网络安全,成功上岸安全开发!
我是去年 9 月 22 日才正式学习网络安全的,因为在国营单位工作了 4 年,在天津一个月工资只有 5000块,而且看不到任何晋升的希望,如果想要往上走,那背后就一定要有关系才行。而且国营单位的气氛是你干的多了,领导觉得你有野心,你干的不多,领导却觉得你这个人不错。我才 26周岁,实在的受不了这种工作氛围,情绪已经压制了很多久,一心想着要跳出来,却一直找不到合适的机会。因为身边的朋友有在北京做安全研发的,他工作了四五年的时间,可以在北京拿到。
2024-08-25 15:08:53
949
原创 关于网络安全运营工作与安全建设工作的一些思考
网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划,对于那些希望按照行业最佳实践来设计或改进安全策略的组织或个人来说,网络安全框架及模型是不可或缺的指导工具,使用安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-08-25 15:07:28
772
原创 构建安全高效的传感器网络:探索双属性索引与矩阵布隆过滤器
安全双属性索引是一个先进的技术,旨在高效管理传感器网络中的敏感数据。这种索引技术的核心在于它能够同时考虑两种不同的数据属性进行索引,这一点在处理大规模和多维度数据时尤其重要。它不仅确保了数据的安全性,而且提高了检索效率。此技术特别适合于那些数据量大且需求多样化的应用场景,例如环境监控系统、智能城市基础设施管理、交通流量监测,以及其他需要精准和快速数据访问的领域。通过这种方法,可以在保护数据隐私和安全的前提下,实现对复杂数据环境的有效管理和应用。
2024-08-25 15:06:35
794
原创 爆肝3个月整理的一套网络安全工程师面试题_网络安全-无涯的博客
事务是一组原子性的SQL语句或者说是一个独立的工作单元,如果数据库引擎能够成功对数据库应用这组SQL语句,那么就执行,如果其中有任何一条语句因为崩溃或其它原因无法执行,那么所有的语句都不会执行。也就是说,事务内的语句,要么全部执行成功,要么全部执行失败。举个银行应用的典型例子:假设银行的数据库有两张表:支票表和储蓄表,现在某个客户A要从其支票账户转移2000元到其储蓄账户,那么至少需求三个步骤:a.检查A的支票账户余额高于2000元;b.从A的支票账户余额中减去2000元;
2024-08-24 20:15:07
889
原创 安全通信网络(设备和技术注解)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-24 20:14:00
540
原创 安全渗透工程师入门最快需要多久?提供具体路线和学习框架
网络渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。最快达到入门也要半年理清网络渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。网络安全好混,但不容易混得好。其实任何行业都是这样,想混得好,必须不断学习提升。那么提高自身渗透水平需要着重于哪些方面学习?下面会有一个详细的叙述!且可广泛部署。它目前正在大力开发中,但它可能已被视为业内最安全、最易于使用且最简单的。
2024-08-24 20:10:57
731
原创 Pikachu靶场全级别通关教程详解
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
2024-08-23 13:55:09
841
原创 Pikachu靶场全关攻略(超详细!)
文件包含是一个功能, 在各种开发语言都提供了内置的文件包含函数, 这使得开发人员可在一个代码文件中引用另外一个文件的代码,如php中就提供了include()require()虽然文件包含函数中包含的文件代码是固定的, 但是有些时候文件包含的代码文件被写成了一个变量, 且该变量由前端传入, 若该变量没有做安全防护,则可能引发文件包含漏洞文件包含漏洞又分为本地文件包含和远程文件包含。
2024-08-23 13:53:53
794
原创 pikachu 靶场通关(全)
网络安全入门到底是先学编程还是先学计算机基础?第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。//union语句聚合两个查询的内容,由于页面只返回一行,所以在前面的输入一个不存在的id,我这里直接使-号,以返回我们输入的内容,这里页面上将1,2都返回了,得知两个字段都有回显,
2024-08-23 13:52:35
705
原创 OWASP安全练习靶场juice shop-更新中
Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在。该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。找到这个记分牌实际上是(简单的)挑战之一!除了黑客和意识培训用例外,渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对JavaScript 密集型应用程序前端和 REST API。
2024-08-23 13:51:01
988
原创 ouc 网络安全实验 格式化字符串漏洞
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
2024-08-23 13:50:31
830
原创 kali linux网络安全弱口令爆破常用命令(二)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-22 22:16:07
721
原创 KALI LINUX网络安全监控工具
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…该工具具有广泛的应用,例如在大型企业、政府机构、金融机构和运营商等组织中,Bro可用于监控网络流量,检测网络入侵,并提供关键的安全情报。
2024-08-22 22:15:10
680
原创 kali linux渗透测试之漏洞扫描
进行渗透测试需要进行漏洞扫描,今天就分享给大家几款漏洞扫描软件用法。Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。。。这是一款kaliLinux自带的软件。其对服务器扫描具有优势。强调:nikto更多针对主机!!!!!!系统漏洞扫描与分析软件Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。
2024-08-22 22:14:37
755
原创 Kali Linux:网络与安全专家的终极武器
Kali Linux 是一款基于 Debian的发行版,这意味着它拥有强大的社区支持和丰富的软件资源。它被设计为具有快速、轻量级的特性,特别适合在虚拟机和闪存驱动器上运行。Kali Linux的目标是成为网络和安全专业人士的首选工具,它提供了广泛的网络安全工具和技术,帮助用户在各种环境中发现和防御漏洞。本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能:通过实验室集成到云服务,从而了解在渗透测试中通常被忽略的一个开发维度;探索在虚拟机和容器化环境中安装和运行Kali。
2024-08-22 22:14:06
958
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人