- 博客(239)
- 收藏
- 关注
RSS订阅原创 男子上演现实版“黑客帝国”,远程操控电脑硬盘!
他以为可以像《黑客帝国》里躲在虚拟世界背后无痕操控一切殊不知早已留下了蛛丝马迹近日,四川省泸州市公安机关网安部门成功侦破了一起涉民营企业黑客攻击案。罗某斐,理工精英、电脑高手,就职于XX科技公司,负责向全国多家摄影公司提供软件及维护服务。本可以凭技术致富的理工男,却利用自身掌握的专业知识,在服务对象的工具上上演“无间道”。
2024-05-23 11:06:53
411
原创 Linux 常用压缩命令全解,一次搞懂通关!
一、tarLinux中的tar命令是文件管理中最重要的命令之一。它是Tape Archive的缩写,用于创建和解压缩归档文件。存档文件是一种压缩文件,其中包含一个或多个捆绑在一起的文件,以便更易于访问存储和可移植性。tar只负责打包,打包是指将一大堆文件或目录捆绑成一个文件;压缩则是将一个大的文件通过一些压缩算法变成一个小文件,需要用到zip、gzip、bzip2、xz等。常用选项-c :创建打包文件,会递归目录中的每个文件,如果想改变此行为,可以指定 --no-recursion。
2024-05-23 10:55:42
160
原创 Windows-安全加固安全基线(非常详细)零基础入门到精通,收藏这一篇就够了
安全基线/安全加固第二期,本期以Windows系统为例,主要以2012及2016的版本为主,2012以前的版本由于安全性问题,日常使用率较少,所以这里并未进行编写。此外,加固前请对系统业务运行的服务、端口等信息进行摸查及评估,并在测试机先行测试,。《Redis-安全加固/安全基线》《MongoDB-安全加固/安全基线》《Oracle-安全加固/安全基线》《MySQL-安全加固/安全基线》《Sql-Server-安全加固/安全基线》《IIS-安全加固/安全基线》
2024-05-22 10:53:43
626
原创 一个准高中生,想向大家问问关于网络安全的事情
我是一名准高中生,目前面临选科,我选了理科,然后未来打算去做网络安全,但是我了解的不多,希望大家能帮帮我。在空闲之余,我也想从零开始慢慢学,但是我看网络上的资料眼花缭乱不知道怎么下手,而且内容也是乱七八糟的,网络安全是我非常喜欢的职业,并且我也非常乐意去做去钻研,我想做一名渗透测试工程师差不多这个意思吧,大家有什么合理的建议吗?我在空闲之余该做做什么呢?这是一位网友的提问,努力学习,考个好学校。愚以为,在一所好的大学,大概率上能够获得更宽广的眼界、好的学习氛围、给力的队友。
2024-05-22 10:52:46
323
原创 Python写表情包搜索工具(非常详细)零基础入门到精通,收藏这一篇就够了
首先,我们导入了一些必要的库。requests库用于发送HTTP请求,json库用于处理JSON数据,tkinter库用于创建GUI界面,PIL库用于处理图像,io库用于在内存中读写数据。然后,我们定义了一个常量ITEMS_PER_PAGE,表示每页显示的图片和链接数量。接下来,我们定义了一个名为search_emoji的函数。这个函数用于执行表情包搜索操作。它接受一个可选的page参数,默认为1,表示要搜索的页码。在函数内部,我们首先从搜索框中获取用户输入的关键字。
2024-05-22 10:50:39
329
原创 自学黑客的12个步骤
黑客攻防是一个极具魅力的技术领域,但成为一名黑客毫无疑问也并不容易。你必须拥有对新技术的好奇心和积极的学习态度,具备很深的计算机系统、编程语言和操作系统知识,并乐意不断地去学习和进步。我们生活中用到的网站、软件等,都是由程序员编写的代码构成的。这些代码在设计的过程中,都是基于一种正向的逻辑进行的,为了实现某个目的,完成某个操作的流程或数据传输逻辑。
2024-05-21 11:09:07
1225
原创 黑客技术难不难?要怎么学?
去年大火的反诈电影孤注一掷中,男主是一名有着高超计算机技术的工程师。因此他也是主管非常看中的重点“优待”人员。在影片中,你可以发现,电诈份子越来越重视能够从事“黑客技术”的人员,因此这些年,计算机相关专业的大学生也成为他们诱骗的重点对象。如今,网络犯罪呈现出规模化和“产业化”的特点,全球网络犯罪组织越来越专业,并且像企业那样“运营业务”,他们通常在暗网上招聘人才,并且为开发人员和黑客提供非常有竞争力的月薪和福利,包括带薪休假和病假。**,。。有非常严重的。**
2024-05-21 11:06:43
478
原创 这才是2024最系统的网络安全学习路线(建议收藏)
要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。接下来我将给各位同学划分一张学习计划表!
2024-05-20 17:23:08
1055
原创 注册安全工程师安全管理攻略
注册安全工程师安全管理攻略注册安全工程师考试是安全工程领域的一项重要考试,其中安全管理是考试的核心科目之一。下面将为大家介绍一些备考安全管理科目的攻略。首先,备…
2024-05-20 11:17:41
636
原创 安全工程师考试试题及答案
安全工程师考试试题及答案安全工程师是指负责企业安全管理、风险评估和安全控制的专业人员。在安全工程师的职业发展中,参加安全工程师考试是必不可少的一步。下面是一些常…
2024-05-20 11:14:43
759
原创 网络安全在2024好入行吗?
🎈4.经典漏洞原理的学习:学习一些经典的工具,看一些攻击靶场的wp,尝试去玩一些攻击靶场,然后学着去追一些新的漏洞成型原理,尝试写一些POC然后就是学习信息收集,横向,提权,免杀,痕迹清理,代码审计就看自己的了,其实安全的教程网络中很多,安全的基础大同小异,但是我是真的认为网络基础和开发基础真的很重要,所以写了这么一篇,安全是一个需要积累的过程。学习建议:学习常见的10%左右的命令适用于90%的工作场景,和office软件一样,掌握最常用的10%的功能,基本日常使用没什么问题,遇到不会的,再去找度娘;
2024-05-18 11:50:40
1088
原创 服务器端漏洞篇之身份验证专题
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。burp官方说他们建议初学者先看服务器漏洞篇,因为初学者只需要了解服务器端发生了什么就可以了。
2024-05-18 11:48:44
628
原创 基于springboot架构项目的白盒审计经验分享
Spring是Java企业版的轻量级代替品,通过依赖注入和面向切面编程,用简单的Java对象实现了EJB的功能。但是Spring用到了很多xml配置,这种重量级配置也是spring的一个重大缺点。springboot是一个构建在Spring框架顶部的项目。在springboot框架中已经嵌入了tomcat,jetty,Undertow等web容器,因此在使用springboot开发时不需要部署WAR文件,只需要通过自己的启动器(Starter)来,简化项目的构建配置。
2024-05-17 12:00:06
674
原创 JWT的认证bypass
Spring是Java企业版的轻量级代替品,通过依赖注入和面向切面编程,用简单的Java对象实现了EJB的功能。但是Spring用到了很多xml配置,这种重量级配置也是spring的一个重大缺点。springboot是一个构建在Spring框架顶部的项目。在springboot框架中已经嵌入了tomcat,jetty,Undertow等web容器,因此在使用springboot开发时不需要部署WAR文件,只需要通过自己的启动器(Starter)来,简化项目的构建配置。
2024-05-17 11:54:18
660
原创 【网络安全入门】新手如何参加护网行动?一篇带你零基础入门到精通
没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。每年的护网行动都会招募大量网络安全技术人才,还是有偿的,待遇普遍在1.5K/天-3K/天,15天下来,收入也可达到2W至5W。而且护网行动也招募未毕业的学生实习,只要有web渗透测试能力,以及靠谱的内推都可以参加。对于在校未毕业的同学来说,是一个非常宝贵的机会,既能获得一份极具含金量的实习经历,又能挣到一笔不小的收入。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
2024-05-16 14:31:03
1396
原创 (网络安全)web登录通杀渗透测试
在渗透测试过程中,碰见的web登录页面特别多,那么我们应该用什么样的思路去进行一个测试呢,下面看看我的一些测试师思路ba当看见一个这样的web登录框时,会怎么样进行一个渗透呢我们可以看见 这个登录时并没有存在一个验证码,就会存在一个爆破问题 那么一般爆破的用户名又会存在那些呢1.admin2.test3.root这里也可以去查找对应系统的的操作手测,收集管理账号,增加爆破机率在这里进行了爆破,并没有结果我们可以去扫描目录 可能一些被扫描出来的目录未做鉴权 可直接访问。
2024-05-16 14:29:09
650
原创 2024年入职转行网络安全行业,该如何规划学习?
前段时间,知名机构麦可思研究院发布了**《2022年中国本科生就业报告》**,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
2024-05-15 15:50:01
871
原创 渗透实战:内网域渗透_内网渗透实例
本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
2024-05-15 15:31:34
1011
原创 CTF如何学习?
作和项目会带来影响,毕竟你不可能打一辈子的CTF,而CTF和实战还是有区别,过度沉浸于CTF的模式当中会让你在实战中却无从下手**
2024-05-14 16:20:39
929
原创 渗透神器:burpsuit教程
BP使用教程一》发布后,后台收到了许多小伙伴的私信问BP是怎么汉化的,在这里统一为大家解答一下。效果如下:使用这种方法每次启动的时候都需要额外开启一个DOS窗口,万一不小心关了直接GG,特别是当多个类似应用同时开启时,黑框框简直要命,鉴于此为大家提供一种方案可以隐藏DOS窗口将内容保存为xxx.vbs双击就可以了,但是要注意路径不能有空格否则会报错注意:先正常安装后再用脚本一键启动完整的BP12.1版本已为各位备好。
2024-05-14 15:07:43
777
原创 CTF网络安全大赛_网安战队简历
CTF(Capture The Flag,中文:夺旗赛)是网络安全领域中一种信息安全竞赛形式,起源于1996年。DEFCON全球黑客大会,代替了之前黑客们通过互相发起真实攻击进行技术比拼的方式。参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。
2024-05-14 14:46:46
823
原创 勒索软件漏洞?在不支付赎金的情况下解密文件
在上一篇文章中,笔者对BianLian勒索软件进行了研究剖析,并且尝试模拟构建了一款针对BianLian勒索软件的解密工具,研究分析过程中,笔者感觉构建勒索软件的解密工具还挺有成就感,因此,笔者准备再找一款新兴勒索软件研究一下。
2024-05-13 11:45:52
1100
原创 黑客学习路线,入门到入坟,史上最全网络安全学习路线整理
建立自己的安全体系,对公司安全有自己的一-些 认识和见解;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要 看完;这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个We安全路线图、渗透测试路线图对新人是非常友好的,除此之外,我还给团队小伙伴整理了相对应的学习资料。想要成为黑客,却苦于没有方向,不知道从何学起,下面这篇黑客入门教程可以帮你实现自己的黑客梦想,如果想学,可以继续看下去,文章有点长,希望你可以耐心看到最后。
2024-05-13 11:43:13
720
原创 Thinkpad VMware 安装虚拟机出现此主机支持 Intel VT-x,但 Intel VT-x 处于禁用状态(问题解决方法)
这篇文章主要介绍了Thinkpad VMware 安装虚拟机出现此主机支持 Intel VT-x,但 Intel VT-x 处于禁用状态,本文给大家介绍问题原因及解决方法,感兴趣的朋友一起看看吧此主机支持 Intel VT-x,但 Intel VT-x 处于禁用状态。如果已在 BIOS/固件设置中禁用 Intel VT-x,或主机自更改此设置后从未重新启动,则 Intel VT-x 可能被禁用。(1) 确认 BIOS/固件设置中启用了 Intel VT-x 并禁用了“可信执行”。
2024-05-11 13:54:41
1176
原创 黑客赚钱渠道,别说兄弟们发财不带你了
每天靠兼职赚钱,去漏洞盒子网或者补天网等网站扫描漏洞提交赚取赏金,有时候也参加一些奖金高的比赛,实力强的月入上万也不是问题。
2024-05-11 11:08:46
553
1
原创 安全工程师问题大全及答案
安全工程师问题大全及答案作为一名安全工程师,你可能会遇到各种各样的问题。在这里,我们整理了一些常见的安全工程师问题以及解决方案,希望能够帮助到你。问题1:如何评…
2024-05-11 11:01:47
764
原创 WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
官方介绍如下:WireGuard ® 是一款极其简单但快速且现代的 VPN,采用最先进的加密技术。它的目标是比 IPsec更快、更简单、更精简、更有用,同时避免令人头疼的问题。它的性能远高于 OpenVPN。WireGuard 被设计为通用 VPN,可在嵌入式接口和超级计算机上运行,适合许多不同的情况。它最初针对 Linux内核发布,现在已跨平台(Windows、macOS、BSD、iOS、Android)且可广泛部署。它目前正在大力开发中,但它可能已被视为业内最安全、最易于使用且最简单的。
2024-05-10 10:45:09
710
原创 是否为网络设备实施了统一的安全网络安全事件响应计划?
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。一个行之有效的、适用于网络环境和网络设备的信息安全应急管理计划对于保护企业的关键信息资产和维护业务的稳定运行具有十分重要的意义。通过遵循上述设计原则和采取相应的方法可以提高预案的全面性与适应性,要安装的服务器或虚拟机能够连接互联网的情况下可以通过以下命令自动安装,服务器或虚拟机不能连接互联网的请见下方的离线安装说明。
2024-05-10 10:43:25
910
原创 使用安全洋葱分析 Windows 事件日志
是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。接下来我将给各位同学划分一张学习计划表!
2024-05-10 10:41:59
961
原创 细说黑客入侵步骤?
这只能针对已知的漏洞,0day这种在没有被公布的漏洞是无法防护的,(因为这种防护是基于黑名单的)所以又衍生出RASP(简单总结就是hook每一种容器运行时,可以理解为jvm虚拟机、php解释器这种做了一些埋点API采集吧)。开源方案基本可以满足,少量定制开发,同样可以达到商业软件的水准。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
2024-05-09 14:00:23
374
2
原创 黑客是如何攻破一个网站的?
尝试上传php webshell到服务器,以方便运行一些linux命令.在插件页面寻找任何可以编辑的插件.我们选择Textile这款插件,编辑插入我们的php webshell,点击更新文件,然后访问我们的phpwebshell.本文将从最开始的信息收集开始讲述黑客是如何一步步的攻破你的网站和服务器的。173.236.138.113上有26个网站,很多黑客为了攻破你的网站可能会检查同服务器上的其它网站,但是本次是以研究为目标,我们将抛开服务器上的其它网站,只针对你的网站来进行入侵检测。
2024-05-09 13:58:41
695
原创 iOS抓包工具——Stream
Stream是一款在iOS端的网络抓包工具,该工具可以直接独立运行在iOS设备,无需依赖PC环境。Stream面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户。
2024-05-08 11:09:12
633
原创 Charles抓包工具
Charles是一个HTTP代理工具,使开发人员能够查看客服端和服务器之间的所有网络请求。Charles是在PC环境下常用的网络抓包截取工具,在做移动开发时,我们为了调试客户端与服务端的网络通讯协议,常常需要截取网络请求来分析。Charles通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络抓包的截取和分析。除了在做移动开发中调试接口外,Charles也可以用于分析第三方应用的通讯协议。配合Charles的SSL功能,还可以分析Https协议。
2024-05-08 11:06:51
690
原创 Mitmproxy 抓包工具安装使用
Mitmproxy是一个使用python编写的中间人代理工具,跟等等的抓包工具是差不多的,同样可以用于拦截、修改、保存http/https请求。比起有一个最大的特点是支持python自定义脚本。
2024-05-08 11:04:44
1038
3
原创 有哪些属于做网络安全的人才有的习惯?
一个ID混江湖,不安装任何杀毒软件…开机必先挂vpn,不挂没安全感;不顺眼的程序都放虚拟机运行;习惯性打开burp、代理、跳板机。看到low一点的网站就忍不住在地址栏加个admin;看到熟悉的框架、CMS会根据经验测测漏洞或进入管理后台简单试一试弱口令;看见URL后面带参数的就想加单引号,看见后台地址就想试弱口令。填写手机号都是13333333333,身份证全是网上搜的;浏览任何网站都习惯性地看看域名是否符合社会主义核心价值观;看到钓鱼站就会想去撸一波。
2024-05-08 11:01:39
838
原创 在网络安全领域,比较牛的中国黑客有哪些?
第一个呆萌的黑客,被称为移动安全领域的“赏金猎人”,今年1月22日,谷歌官方发文向他致谢,并颁发了总额为112500美金的奖金,这是安卓漏洞奖励计划史上最高金额的奖金。恩,人家提交了两个漏洞,就拿了70多万RMB。这人专门跟谷歌找茬,经常找找系统漏洞,破破手机什么的,反正看上去轻轻松松就拿到各种奖金了。哦,还有一点不得不提,谷歌对于安卓漏洞奖励计划的奖金本来没有很高,一次偶然的机会,这个黑客给谷歌相关负责人发了个邮件,建议提高奖金额度,因为漏洞提报难度加大了,大家都觉得奖金有点低。
2024-05-08 10:56:25
1016
3
原创 为什么白帽大佬热衷挖逻辑漏洞?(附案例解析)
如果看见bagid使用md5等加密就差不多可以下一个了,这个组合最后发现获取不了太多信息,也可以获取记录下来,对进一步操作也会有帮助,毕竟真实的信息总比法制的更真实,跟内网一样不断获取信息,利用已知信息进行攻击。4.这里点击修改咨询,发现了提交的咨询信息,再观察URL发现了咨询信息唯一标识(如果URL没有返回唯一标识,那需要抓包看一下整个流程的处理逻辑,这个咨询信息是从哪里返回,不可能凭空出现吧)。发现数字0-7是存在的,后面可能还没有人提交信息所以可能(8-9)不存在,暂时可以判断是连续的、有规律的。
2024-05-07 14:16:36
727
原创 2024网络安全现状,一个(黑客)真实的收入
外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客分为白帽黑客和黑帽黑客,处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。===
2024-05-07 14:12:45
350
原创 黑客养成计划-熟悉MSF并拿下一部android
本文仅用于学习和技术探讨,不作为任何恶意行为能力传播,本质上,只是想让大家学习了解MSF。Metasploit Framework (MSF)是目前所能接触到的软件渗透测试工具中最知名的工具,包括数千个工具和模块,可用于探索和利用漏洞、执行调查、测试和工具/有效负载创建等,对攻击者、防御者来说都是爱恨交加。三个版本.
2024-05-06 10:37:59
491
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人