- 博客(691)
- 收藏
- 关注
RSS订阅原创 Web安全漏洞扫描神器-AWVS下载、安装及使用教程
AWVS我是装在Docker上的,在VPS中部署好Docker后,敲入以下命令访问https://VPS的IP:8443默认账号密码:登录进来是这样一个页面在目标中添加新的目标填入扫描目的地址,保存下面是我们的目标信息网站登录,如果扫描网站需要测试登录表单,则填入账号密码后面基本默认,当然有需要的话可以自行调整,点击右上角扫描开始扫描扫描完成漏洞的严重性主要有高 中 低 信息这四个组成点击漏洞,则可以看到漏洞的详细信息跨越90%企业的招聘硬门槛增加70%就业机会。
2024-07-23 18:14:49
354
原创 今年这情况,千万别选计算机了..._现在计算机都是996吗
在知乎上看到一个有意思的问题,是劝退计算机的。主要观点:计算机从业人员众多加班,甚至需要99635岁危机秃头综上所属,计算机不仅卷,而且还是一个高危职业呀,可别来干了。
2024-07-23 13:50:52
428
原创 什么样的人适合学习网络安全?_学信息安全的人特征
有很多想要转行网络安全或者选择网络安全专业的人在进行决定之前一定会有的问题:什么样的人适合学习网络安全?我适不适合学习网络安全?会产生这样的疑惑并不奇怪,毕竟网络安全这个专业在2017年才调整为国家一级学科,而且大众对于网络安全的认知度不高,了解最多的可能就是个人信息泄露或者社区经常宣传的国家反诈APP。正是因为知之甚少,所以会产生这一系列的疑问。到底什么人适合学习网络安全呢?
2024-07-22 14:55:53
556
原创 超详细NMAP安装保姆级教程,Nmap的介绍、功能并进行网络扫描,2023年收藏这一篇就够了 (1)
什么是缓冲区?它是指程序运行期间,在内存中分配的一个连续的区域,用于保存包括字符数组在内的各种数据类型。所谓溢出,其实就是所填充的数据超出了原有的缓冲区边界,并非法占据了另一段内存区域。两者结合进来,所谓缓冲区溢出,就是由于填充数据越界而导致原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获取控制权。
2024-07-17 16:41:10
999
原创 NISP一级备考知识总结之信息安全概述、信息安全基础
信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或者无法处理等,这样可以使得我们在最大限度地利用信息为我们服务的同时不招致损失或损失最小信息安全问题已经涉及到人们日常生活的各个方面建立在网络基础之.上的现代信息系统,信息安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
2024-07-17 11:05:26
724
原创 NISP一级备考知识总结之信息安全概述、信息安全基础
信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或者无法处理等,这样可以使得我们在最大限度地利用信息为我们服务的同时不招致损失或损失最小信息安全问题已经涉及到人们日常生活的各个方面建立在网络基础之.上的现代信息系统,信息安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
2024-07-17 11:00:14
801
原创 网络安全实战攻防演练应急处置预案_网络安全技术攻防演练方案
(1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。(2) 收到钓鱼邮件。(3) 短网址替换真实网址,欺骗用户访问。(4) 防恶意软件,防火墙,入侵检测系统告警。
2024-07-11 11:00:28
456
原创 Linux零基础学习——第一篇_Linux常见指令_linux find -type d什么意思
Linux是一种自由和开放源代码的类UNIX操作系统,该操作系统的内核由林纳斯托瓦兹在1991年首次发布,之后,在加上用户空间的应用程序之后,就成为了Linux操作系统。严格来讲, Linux只是操作系统内核本身,但通常采用“Linux内核”来表达该意思。而Linux则常用来指基于Linux内核的完整操作系统,它包括GUI组件和许多其他实用工具。以上就是今天要讲的内容,本文仅仅简单介绍了Linux中一些简单的指令的使用,而这些指令提供了大量能使我们快速便捷地处理数据,我们务必掌握。
2024-07-10 18:23:26
1035
原创 计算机网络:网络安全(网络安全概述)_网络安全概论
由于计算机网络多样的连接形式、不均匀的终端分布,以及网络的开放性和互联性等特征,使通过互联网传输的数据较易受到监听、截获和攻击。伴随着虚拟化、大数据和云计算技术等各种网络新技术广泛而深入的应用,如今网络安全问题已经和几乎所有传统的安全问题相关联。银行、证券、交通、电力和城市运行等,都离不开新一代网络技术,同样也都面临着网络安全问题。由图5-1可知,2013年各类网络安全事件频频发生,各种各样的网络攻击使网络安全问题日益突出。图5-1 2013年网络安全事件网络安全的内涵与特性。
2024-07-08 10:42:37
1043
原创 常见 Web 安全攻防总结
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
2024-07-02 13:52:01
1035
原创 30岁零基础想转行网络安全,有转行成功的朋友能给点建议吗?
返乡过年,平日一个不是很熟的表亲问我:“弟啊,我听说你现在待的网络安全行业很舒服啊,钱多事少,哥现在这份工作干的是一点意思都没有,但是哥已经30了,你说我能不能试着转行啊?作为一个原先学的是金融专业,毕业2年后成功转行网络安全的人,我觉得我是最有发言权的人。首先,所谓的网络安全行业钱多事少只能说是相对于别的岗位而言,但是殊不知的是网络安全需要掌握的知识体系之庞大。再者就是问:30岁转行网络安全还有机会么?我的建议是:30岁正处于事业上升期,还是很适合网络安全这个行业的,但是需要尽快学习。
2024-07-01 13:58:34
362
原创 Nacos漏洞总结复现
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2024-06-29 14:11:59
980
原创 转行要趁早?2024网络安全热门岗位大盘点
欢迎来到数字世界的前沿,这里充满了未知和挑战,但也孕育着无限可能和机遇!在这个由数据构建的虚拟世界里,网络安全专业人员像是在 0 和 1 之间的侠客,用代码编织企业的护盾,用智慧破解每一个谜题,用专业的知识和技能,守护着网络世界的和平与秩序。企业比以往更需要保护其数据、网络及其他 IT 和信息化资产。企业也有责任拥有一支灵活且有能力的网络安全团队,对其客户、服务提供商和股东负责。这意味着 2024 年将为寻求各种网络安全职位的求职者带来众多工作机会。
2024-06-28 14:00:39
639
原创 【计算机网络】网络安全 _ 计算机网络安全威胁
蠕虫主要以消耗系统资源为主 , 启动后开始占用 CPU , 内存 , 直至完全占满 , 导致设备宕机;操作 : 攻击者 只 观察 , 分析 某一协议对应的协议数据单元 PDU , 窃取其中的数据信息 , 但不干扰信息传输;① 病毒 : 可以传染其它程序 , 通过将自身 ( 病毒 ) 复制到其它程序中 , 破坏目标程序;篡改 : 修改网络上的报文信息 , 又称为 更改 报文流;恶意程序 : 病毒 , 蠕虫 , 木马 , 逻辑炸弹 等;③ 篡改 : 篡改 网络上传输的 报文 , 分组 信息;
2024-06-26 17:17:32
593
原创 SQL注入漏洞利用
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。
2024-06-25 10:00:31
389
原创 XXE注入攻击与防御_
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
2024-06-20 10:23:54
314
原创 XXE注入攻击与防御_
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
2024-06-18 13:53:46
799
原创 灌醉阿里P8大佬!获取内部二进制网络安全学习路线(建议收藏)
1.踏实的基础。基础是很重要的,可以通过计算机体系结构来学习,当然肯定不只是计算机体系结构,还有很多的知识。计算机科学系统基础知识的积累和沉淀,提升自己的计算机科学素养,理解计算机的工作原理。2.过语言关–反汇编能力,将对应的反汇编代码推出对应的C语言结构。C、ASM、Python依然是必学的语言,在学的过程中,对逆向工程有利的就是将C和ASM结合起来学,写完C代码,立即调试看对应的反汇编代码,脑海中浮现对应的C结构。还可以试着自己重新用汇编代码写出来。
2024-06-15 09:48:00
609
原创 灌醉阿里P8大佬!获取内部二进制网络安全学习路线(建议收藏)
1.踏实的基础。基础是很重要的,可以通过计算机体系结构来学习,当然肯定不只是计算机体系结构,还有很多的知识。计算机科学系统基础知识的积累和沉淀,提升自己的计算机科学素养,理解计算机的工作原理。2.过语言关–反汇编能力,将对应的反汇编代码推出对应的C语言结构。C、ASM、Python依然是必学的语言,在学的过程中,对逆向工程有利的就是将C和ASM结合起来学,写完C代码,立即调试看对应的反汇编代码,脑海中浮现对应的C结构。还可以试着自己重新用汇编代码写出来。
2024-06-14 10:00:11
383
原创 网络安全考证推荐
网络安全考证从事网络安全,避免少不了一些网络安全相关的证书了说到CISP,安全从业者基本上都有所耳闻,算是国内权威认证,毕竟有政府背景给认证做背书,如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。CISP在你参加考试的时候,培训机构都会问你是选择CISO/CISE,不要担心,这两个只是考试方向,证书都是测评中心颁发的,认证详细情况请看后续推送….【报名条件】满足 CISP 注册资质的教育和工作经验要求:(1)教育和工作经历要求;
2024-06-12 14:15:33
744
原创 wireshark实战_抓包样机能抓mdns报文吗
wireshark只能抓取本机通过本机的数据,比如现在有三台机器第一台装wireshark,其他为同一局域网中的两台移动设备,现给出语句 ip.addr eq 192.168.0.102 对其中一台进行抓包,手机进行如下操作,1.访问 www.baidu.com这里抓取到的报文 Destination 都是D类地址,用于组播多播,从 IGMP SSDP MDNS这些协议名也可以看出,这些报文会通过局域网中的所有设施,但并不是我们需要的报文。2.访问本地网站 192.168.0.2:8082。
2024-06-11 14:12:15
731
原创 一文读懂HW护网行动(附零基础学习教程)
随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。“HW行动”是国家应对网络安全问题所做的重要布局之一。
2024-06-10 11:15:00
619
原创 一文读懂HW护网行动(附零基础学习教程)
随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。“HW行动”是国家应对网络安全问题所做的重要布局之一。
2024-06-09 11:15:00
699
原创 黑客入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。我为啥说自学黑客,一般人我还是劝你算了吧!因为我就是那个不一般的人。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2024-06-08 10:45:00
888
原创 黑客入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。我为啥说自学黑客,一般人我还是劝你算了吧!因为我就是那个不一般的人。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2024-06-07 16:22:10
712
原创 Android 9 Pie 现已面向全球正式发布!
作者:Dave Burke, 工程部副总裁经历一年多的开发和数月以来早期用户的反复测试,最新 Android 平台 —— Android 9 Pie 终于正式面向全球发布!Android 9 利用人工智能技术,让您的手机更加智能、简洁与人性化。请通过本文了解 Android 9 的所有新特性,同时也希望各位开发者能够借助 Android 9,全面提升应用性能,打造出色体验,让您的应用与用户走得更近!
2024-06-07 16:21:22
734
原创 Android 9 Pie 现已面向全球正式发布!
作者:Dave Burke, 工程部副总裁经历一年多的开发和数月以来早期用户的反复测试,最新 Android 平台 —— Android 9 Pie 终于正式面向全球发布!Android 9 利用人工智能技术,让您的手机更加智能、简洁与人性化。请通过本文了解 Android 9 的所有新特性,同时也希望各位开发者能够借助 Android 9,全面提升应用性能,打造出色体验,让您的应用与用户走得更近!
2024-06-03 17:17:26
397
原创 听说网络安全行业是IT行业最后的红利?
XSS(跨站脚本攻击)是一种常见的网络攻击,攻击者利用漏洞在网站中注入恶意代码,以获取用户的敏感信息或执行任意操作。
2024-05-31 10:00:37
394
原创 渗透测试常用工具(非常详细)从零基础入门到精通,看完这一篇就够了。
对于白帽子来说,在进行渗透测试、代码审计、逆向工程等一系列工作中,都离不开安全工具的支撑,这些工具像一把把利剑,可以大大提高渗透效率。在本篇中,我总结了超多网络安全工具,涉及等工具,并在文末提供获取方式。*郑重声明:本篇文章涉及工具仅为了学习交流,请勿将其中技术用于违法途径文中资源整合自网络,部分非最新版且在此仅展示部分内容,侵删。
2024-05-29 10:12:44
370
原创 网络安全考证推荐
网络安全考证从事网络安全,避免少不了一些网络安全相关的证书了说到CISP,安全从业者基本上都有所耳闻,算是国内权威认证,毕竟有政府背景给认证做背书,如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。CISP在你参加考试的时候,培训机构都会问你是选择CISO/CISE,不要担心,这两个只是考试方向,证书都是测评中心颁发的,认证详细情况请看后续推送….【报名条件】满足 CISP 注册资质的教育和工作经验要求:(1)教育和工作经历要求;
2024-05-28 10:03:13
598
原创 前端开发转行做渗透测试容易吗?通过挖漏洞来赚钱靠谱吗?
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
2024-05-27 16:50:54
576
原创 NISP一级备考知识总结之信息安全概述、信息安全基础 (1)
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
2024-05-25 10:25:35
511
原创 29岁转行网络安全靠谱吗?
本人金融数学专业本科统招,现在在银行工作,升职加薪基本不可能,想学门技术换行业可行么。有房贷显示全部 好问题很多人在学习网络安全时,都会有一个焦虑的心态,认为网络安全行业会像IT技术人员一样,存在35岁的问题。其实,按照目前工信部发布的《网络安全产业人才报告》,30岁以上的人占比还是很高的。从》数据可知,40岁以上网络安全从业者占比也达到了12.76%,仅次于25—30岁人群。而网络安全发展至今,也只有20年左右,刚好覆盖了这批人的从业时长。
2024-05-24 18:14:03
681
原创 29岁转行网络安全靠谱吗?
本人金融数学专业本科统招,现在在银行工作,升职加薪基本不可能,想学门技术换行业可行么。有房贷显示全部 好问题很多人在学习网络安全时,都会有一个焦虑的心态,认为网络安全行业会像IT技术人员一样,存在35岁的问题。其实,按照目前工信部发布的《网络安全产业人才报告》,30岁以上的人占比还是很高的。从》数据可知,40岁以上网络安全从业者占比也达到了12.76%,仅次于25—30岁人群。而网络安全发展至今,也只有20年左右,刚好覆盖了这批人的从业时长。
2024-05-23 10:04:40
755
原创 VMware虚拟机安装详细教程
VMware下载安装好后,下载好我们要安装的操作系统的镜像文件后,此处安装的为centos7版本,就可以开始安装了。1点击下一步image2、勾选【我接受条件款协议中的条款】,然后点击【下一步】。image3、取消勾选,然后点击【下一步】。image4、点击下一步。image5、点击安装。image6、安装中。image7、点击【许可证】image8、在框中输入“FC502-8AD82-08D4P-4FQEE-ZC8D0”然后点击【输入】。image9、完成image。
2024-05-21 10:55:34
423
原创 windows上的docker登录docker私有仓库_docker accepts at most 1 arg(s), received 2
双击打开docker的desktop程序,进入到设置选择 docker 引擎(Docker Engine)添加 设置 私有仓库地址 registry-mirrors 和 insecure-registries我的私有仓库地址为 192.168.100.48(我的端口默认为80,有些私有仓库在搭建时设置的是5000,注意端口)记得要重启docker(点下那个 “Allpy&Restart”按钮)
2024-05-20 14:55:52
635
原创 Web安全之跨站脚本攻击(XSS)
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
2024-05-18 09:49:33
284
原创 Web安全之跨站脚本攻击(XSS)
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
2024-05-17 11:58:34
981
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人