- 博客(968)
- 收藏
- 关注
RSS订阅原创 自学网络安全的三个必经阶段(含路线图)
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%。!而且,我们到招聘网站上,搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。!
2024-08-31 10:30:00
1436
原创 浙江省计算机三级网络及安全技术资料(最后有我考完后的想法)
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网,由于交换机端口有两种VLAN属性,其一是VLANID,其二是VLANTAG,分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG(标签)数据包,不同VLANID端口,可以通过相互允许VLANTAG,构建VLAN。
2024-08-31 10:00:00
1806
原创 用“价值”的视角来看安全:《构建新型网络形态下的网络空间安全体系》
经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。因此,需要站在网络空间的高度看待安全与网络的关系,站在安全产业的高度看待安全厂商与客户的关系,站在企业的高度看待安全体系设计与安全体系建设之间的关系。这是对安全行业的一次以网络空间为框架,以思考为刀,以安全产品与技术为刃,以企业安全体系建设为牛的深度解构与重构。如果你是投资人。
2024-08-30 12:00:00
866
原创 一个完整的渗透学习路线是怎样的?如何成为安全渗透工程师?
先想清楚自己对哪个行业更感兴趣,结合自己的兴趣、性格特征、能力强项去寻找适合自己的职业赛道。这个不仅仅是去看网上别人怎么选的,因为每个人的情况毕竟是不一样的,别人的选择不能适用于你。祝大家学有所成!从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-08-30 11:30:00
835
原创 信息系统安全——基于 KALI 和 Metasploit 的渗透测试
实验 2 基于 KALI 和 Metasploit 的渗透测试2.1 实验名称《基于 KALI 和 Metasploit 的渗透测试》2.2 实验目的1 、熟悉渗透测试方法2 、熟悉渗透测试工具 Kali 及 Metasploit 的使用2.3 实验步骤及内容**** 、安装系统**** 、选择**** 中种攻击工具,记录攻击的主要步骤和攻击结果截图。攻击一:使用复现“永恒之蓝”漏洞实验环境:Win7(关闭防火墙,开启 SMB 服务);1 启动 Metasploit。
2024-08-30 11:00:00
1389
原创 信息安全岗位面试要点(上)
网络安全是保护系统、网络和程序免受数字攻击的做法。这些攻击通常旨在访问、更改或销毁敏感信息:从用户那里勒索钱财或中断正常的业务流程,
2024-08-30 10:30:00
975
原创 怎么准备渗透-安全面试最高效?不看后悔系列
回顾我学习的时光里,我觉得最大的困难是没有老司机带带我、没有技术氛围,只能自己独自摸索,甚至花很多时间去搜集各种网络教程、加各种群和社区,积极性很难一直保持,这也是非信安强校或者非信安专业的同学们尴尬之处。。介绍内网渗透中的域、工作组、域控以及活动目录等重要概念及相关知识,同时介绍攻击者视角下的入侵生命周期,细致分解攻击者从外网探测到内网渗透再到攻破的全流程的各个阶段以及对应的常用手段。环境准备与常用工具(第3章)。介绍实战所需的软件环境以及接下来高频使用的各类工具,为实战环节做好准备。内网渗透实战(第4~12章)。这几章为本书的核心内容,将带领读者系统化搭建和攻破9个风格各异的内网环境,涉及30余台目标主机的探测和攻破过程。
2024-08-30 10:00:00
1253
原创 网络爬虫使用指南:安全合理,免责声明
作为一名经验丰富的网络爬虫,我深知在爬取网页数据时可能会遇到一些问题和风险。因此,我特别撰写这篇经验分享来告诉大家如何合理、安全地使用网络爬虫,以及注意事项和免责声明。在开始爬取之前,首先要对目标网站进行仔细的了解。了解网站的结构、页面布局和反爬措施,有助于更好地编写爬虫程序,并避免不必要的麻烦。网络爬虫的使用必须遵守相关法律法规,不得侵犯他人的隐私权、著作权等合法权益。同时,在使用爬虫时要尊重网站的 robots.txt文件中的规定,遵守网站所有者的规则。
2024-08-29 12:00:00
968
原创 网络安全协议(2)
本章将会讲解信息技术安全评估通用标准。CEM还给出了评估判定的定义。判定分为4个层次,即评估行为单元判定、安全保证组件判定、安全保证类判定、评估结果判定。每个层次的判定都是在其上一个层次基础上做出的,如果上一层有一个以上的失败判定,那这一次的判定也为失败。CEM认可三种互斥的判定类型是通过、失败和未决定,CEM对这三种判定给出明确的定义。
2024-08-29 11:30:00
714
原创 网络安全面试题目及详解_wanan-red的博客
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获取到了执行服务器端命令的能力.这种攻击凡是是最为直接和有效的,文件上传本身没有什么问题,有问题的是文件上传后,服务器端如何去处理,解释文件,如果服务器的处理逻辑做的不够安全,则会导致严重的后果免杀大概分为两种情况二进制免杀(无源码),只能通过修改asm代码 二进制数据 其他数据来完成免杀有源码的免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术免杀也可以分为这两种情况。
2024-08-29 11:00:00
814
原创 网络安全经典面试问题汇总
同源策略是检查页面跟本机浏览器是否处于同源,只有跟本机浏览器处于同源的脚本才会被执行,如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
2024-08-29 10:30:00
1003
原创 网络安全工程师面试时候被经常问的几个问题有哪些?
1、常见的有哪些?(什么是SQL攻击?什么是XSS攻击?什么是CSRF攻击?2、OSI是什么?3、GET 和 POST 有什么区别?4、HTTPS和HTTP有什么区别?5、Owasp TOP10有哪些?6、Cookies和session有什么区别?7、针对常见的web攻击你知道哪些防御或者解决手段?8、你理解的流程是什么9、如何防御?10、您使用过哪些安全工具?哪些使用的最熟练?11、您做过哪些项目?期间遇到过哪些问题,您又是如何解决的?12、您有没有挖过什么漏洞?13、您会哪些?
2024-08-29 10:00:00
970
原创 通过一张照片来定位拍摄地点和网站的域名 LA CTF 2023
这次打ctf遇到了一个比较经典的osint类题目,在这里分享一下如何做此类题目题目简介: 你能猜出这个猫天堂的名字吗?答案是此位置的网站域。例如,如果答案是 ucla,则flag将是lactf{ucla.edu}在我们拍摄图片时,exif可以记录数码照片的属性信息和拍摄数据做osint类题目一定要静下心来,从一堆信息中提取有效的信息并整理,还有些题目是找到某人朋友或者不知道谁的的社交账号,这还需要分析人际关系,分析很多细节,遇到打不开的网站,或者别人把flag删掉了,可以用这个网站来查看之前时间的页面。
2024-08-28 12:00:00
2061
原创 使用Socks5代理在Windows上实现更安全的网络连接
作为一名网络工程师,我们经常需要在不同的网络环境下工作,这可能会给我们的计算机安全带来一定的风险。使用Socks5代理是一种简单而有效的方式,可以在Windows操作系统上提高网络安全性,本文将介绍如何在Windows上设置和使用Socks5代理。什么是Socks5代理?Socks5代理是一种网络协议,它可以使计算机连接到远程服务器,通过该服务器中转所有的网络流量。这种代理方式不仅可以隐藏您的真实IP地址,还可以提高安全性和隐私保护。
2024-08-28 11:30:00
1029
原创 史上最全网络安全面试题汇总 ! !_白帽子技术分享的博客
利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。
2024-08-28 11:00:00
984
原创 渗透测试工具Kali Linux安装与使用
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。11是官网下载的镜像文件,在Vmware中安装的时候有图文提示,一路安装正常,也设置了普通用户和root的登录密码,默认安装成功进入了图形化界面,作为专业开发我肯定想让他进入命令行模式,我在图形登录界面试了一下Ctro+Alt+F1-F6试了一下,Ctro+Alt+F3进入命令行,然后切换到root用户。
2024-08-28 10:00:00
1069
原创 软考高项:信息网络安全知识模拟题
620、以下哪个场景属于身份鉴别过程()。A.用户依照提示输入用户名、口令和短信验证码,成功登录该应用。B.用户在网络上共享了的一份加密的pdf文档,以阻止其他人下载查看文档中的内容。C.用户给自己编写的文档加上水印。D.用户在网上下载了一份带水印的文档,去掉了水印。正确答案:A 解析:A选项属于身份鉴别的过程。621、公钥密码的应用不包括()A.数字签名 B.身份认证 C.消息认证码 D.非安全信道的密钥交换正确答案:C 解析:消息认证码不属于公钥密码应用的范畴。
2024-08-27 12:00:00
872
原创 如何利用Kali Linux进行网站渗透测试:最常用工具详解
使用方法只能当做参考,建议您在搜索引擎上输入相关关键词,例如: “Kali Linux 工具名中文教程”,这样可以找到一些比较新的教程,同时您也可以参考官方文档或官方社区里跟相应工具相关的讨论。
2024-08-27 11:30:00
1411
原创 面试官:网络安全了解多少,简单说说?(一)
近年来,随着互联网以及数字化的不断发展,互联网已经成为了我们生活中无处不在的 基建 ,而随着网络相关技术的发展,网络安全也逐渐受到广泛关注,由于数字化程度的不断加深,接入网络的设备丰繁多样,面对各式各样的网络使用者,网络应用的脆弱性逐渐显现出来。对于接入网络的相关应用而已,网络攻击成了大家心头的一个疙瘩,开放式的网络中,无时无刻存在这被恶意攻击者盯上的隐患,因此,如何在应用开发期间主动规避设计缺陷,降低网络攻击风险成了如今产品开发越来越重视的问题。
2024-08-27 11:00:00
946
原创 面试官:网络安全了解多少,简单说说?(三)
就像前面安全系列相关文章提到的一样,永远不要相信用户的任何输入,永远不要,永远不要,对于用户输入的东西,在前端就做好过滤,然后再提交到后端,这才是一个合格的前端需要养成的良好习惯,永远不要将安全责任都推到后端身上,因为我们需要相信,前端+后端,永远是更加安全和稳固的安全开发范式!我们需要相信,前端+后端,永远是更加安全和稳固的安全开发范式!
2024-08-27 10:30:00
1536
原创 面试官:网络安全了解多少,简单说说?(二)
在上一篇文章中介绍了 XSS 相关的攻击原理、攻击步骤以及攻击的防范措施,那么这一篇就来介绍下另外一个前端基础的网络安全攻击漏洞 CSRF。
2024-08-27 10:00:00
991
原创 零信任网络安全
(1)将建立信任的控制平面与传输实际数据的数据平面分离。(2)使用Deny-All防火墙(不是完全拒绝,允许例外)隐藏基础设施(如使服务器变为“不可见”),丢弃所有未授权数据包并将它们用于记录和分析流量。(3)
2024-08-26 12:00:00
645
原创 来自中国黑客发现的0Day漏洞;2023年恶意文件数量每日激增3%- 安全周报2352
Barracuda透露,中国威胁参与者利用其电子邮件安全网关(ES6)设备中的一个新的零日漏洞,在“有限数量”的设备上部署了后门。该问题被追踪为CVE-2023-7102,与位于第三方和开源库中的一个任意代码执行案例有关,该库被网关内的Amavis扫描仪用于筛选Microsoft Excel电子邮件附件中的恶意软件。该公司将这一活动归咎于谷歌旗下的Mandiant追踪的一个威胁参与者UNC4841,该组织今年早些时候曾与Barracuda设备中另一个零日漏洞(CVE。
2024-08-26 11:30:00
1550
原创 几率大的网络安全面试题(含答案)__睶_的博客
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现不管用户名和密码是什么内容,使查询出来的用户列表不为空。如何防范SQL注入攻击使用预编译的PrepareStatement是必须的,但是一般我们会从两个方面同时入手。Web端1)有效性检验。2)限制字符串输入的长度。服务端1)不用拼接SQL字符串。
2024-08-26 11:00:00
597
原创 华为网络设备安全基线配置指南
username编号:01-01-01—|—名称:无效帐户清理实施目的:删除与设备运行、维护等工作无关的账号问题影响:账号混淆,权限不明确,存在用户越权使用的可能。系统当前状态:查看备份的系统配置文件中帐号信息。实施方案:aaa回退方案:还原系统配置文件。判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要等级:★★★实施风险:低重要等级:★★★。
2024-08-26 10:30:00
900
原创 黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
想要成为黑客,却苦于没有方向,不知道从何学起,下面这篇教程可以帮你实现自己的黑客梦想,如果想学,可以继续看下去,文章有点长,希望你可以耐心看到最后1、 Web安全相关概念(2周)·熟悉基本概念(SQL注入、上传、XSS、 、CSRF、一句话木马等)。通过关键字(SOL注入、上传、XSSCSRF、一句话木马等)进行Google/SecWiki;·阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以。
2024-08-26 10:00:00
918
原创 关于网络安全运营工作与安全建设工作的一些思考
网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划,对于那些希望按照行业最佳实践来设计或改进安全策略的组织或个人来说,网络安全框架及模型是不可或缺的指导工具,使用安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024-08-25 12:00:00
611
原创 高级网络安全管理员 - 网络设备和安全配置:标准的ACL配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。它被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。
2024-08-25 11:30:00
892
原创 防火墙USG5500安全实验-网络地址转换实验
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-25 11:00:00
775
原创 从开发转到安全渗透工程师,是我做的最对的决定
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在辞职的一个月里,因为没事干,天天玩手机,打游戏,在某一天有一家游戏公司找到我,说我游戏打的不错(我自己感觉也还可以),可以平台派单,让我接单代打,可能是因为没事干吧,我答应了,但是代打的条件是要交一个。网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
2024-08-25 10:30:00
612
原创 常见网络安全面试题_Ysming88的博客
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现select * from user where name = ‘lianggzone’ and password = ‘’ or ‘1’=‘1’,不管用户名和密码是什么内容,使查询出来的用户列表不为空。
2024-08-25 10:00:00
665
原创 WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
官方介绍如下:WireGuard ® 是一款极其简单但快速且现代的 VPN,采用最先进的加密技术。它的目标是比 IPsec更快、更简单、更精简、更有用,同时避免令人头疼的问题。它的性能远高于 OpenVPN。WireGuard 被设计为通用 VPN,可在嵌入式接口和超级计算机上运行,适合许多不同的情况。它最初针对 Linux内核发布,现在已跨平台(Windows、macOS、BSD、iOS、Android)且可广泛部署。它目前正在大力开发中,但它可能已被视为业内最安全、最易于使用且最简单的。
2024-08-24 11:30:00
774
原创 web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-08-24 11:00:00
571
原创 Web Scraper 网络爬虫零基础详细使用教程,爬取京东商品搜索结果、商品价格、规格参数等,爬取二级网页、滚动加载网页,京东安全验证小技巧
插件的基本使用方式,以及京东弹出安全验证的处理小技巧。研究最近需要用到京东的商品数据。刚开始采用了常规的 request 库的方法直接发送请求,然后解析返回结果的方式,但是京东的反爬太狠了,请求几次直接就给嘎了,多次尝试后还是以失败告终。经推荐,我用上了 Web Scraper 这个插件,发现上手简单,傻瓜式操作,而且最重要的是没有被京东很快地拦截掉,能比较顺利地爬到数据,所以写这篇博客记录一下使用方法,以备后续需要并和大家分享。
2024-08-24 10:30:00
1327
原创 upload-labs靶场的安装搭建
1、首先安装phpstudy的环境,下载进行安装2、然后到GitHub去下载upload-labs的源码!3、将下载的压缩包解压到phpstudy文件,phpstudy/www网站的根目录下。4、本地浏览器访问127.0.0.1/upload-labs/就可以访问靶场了!
2024-08-24 10:00:00
856
原创 Pikachu靶场全级别通关教程详解
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
2024-08-23 16:19:30
709
原创 pikachu 靶场通关(全)
网络安全入门到底是先学编程还是先学计算机基础?第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。//union语句聚合两个查询的内容,由于页面只返回一行,所以在前面的输入一个不存在的id,我这里直接使-号,以返回我们输入的内容,这里页面上将1,2都返回了,得知两个字段都有回显,
2024-08-23 15:48:22
654
原创 KaLi自带的sqlmap更新
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2024-08-23 15:11:18
896
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人