本博客将专注于网络安全技术的学习。主要分享漏洞分析、渗透测试、逆向分析、应急取证系列文章。初期尝试认真写博客分享原创知识,只是觉得好记性不如烂笔头,也只是想取悦自己。后来工作忙碌发的文章就断篇了。我是个比较会反思自己的人,喜欢参考比自己优秀的同龄人博客,阅读他们的文章和工作成果,学习他们的学习方式和工作成果。让自己变强融入更强的圈子接触更多优秀的人,不是因为他们能够手把手带着学习,而是因为一句话或者做事的态度就能让自己从中获益良多。
安全领域得掌握的知识很多、涉及面很广。对漏洞、渗透、取证方向的学习持续中,努力把自己的知识写成笔记整理成体系分享出来,目的是与安全人共同进步。反对利用教学方法进行犯罪,一切犯罪行为必将收到惩戒。
一、软件工程基础专题导航
二、系统安全基础专题导航
三、网络安全
渗透测试
渗透测试未授权是违法的。早先学习入侵多个网站期望遇到不同环境,经验增长很快。但是随着国家对网络安全的重视管控越来越严格,已经不可能随意去搞渗透了。考个证书、参加CTF、参加SRC活动挖漏洞可能对白帽子们更友好。
相关证书
考证书能够系统化掌握安全框架,所学都是前人高度总结后的,考成了公司立项投标的时候也可以作为投标资质使用。推荐考CISSP、OSCP、CISP-PTE。
CISP-PTE笔记1-渗透测试基础
CISP-PTE笔记2-信息收集
CISP-PTE笔记3-Web安全(SQL注入、XXS、代码注入、命令执行、变量覆盖、XSS)
CISP-PTE笔记4-Web安全(文件处理、会话管理、访问控制、SSRF、反序列化漏洞)
CISP-PTE笔记5-SQL Server、MySQL提权
漏洞分析&复现
1.越权漏洞反打钓鱼网站
2.文件上传反制跳板站点
3.PHPStudy后门事件分析
4.rConfig v3.9.2 授权认证与未授权RCE (CVE-2019-16663) 、(CVE-2019-16662)
5.在Apache Struts中利用OGNL注入
6.Memcached服务器UDP反射放大攻击
7.U-Boot NFS RCE漏洞(CVE-2019-14192)
8.IIS6远程代码执行漏洞复现CVE-2017-7269
9.CVE-2019-16278-Nostromo Web Server远程代码执行
10.Redis未授权访问漏洞