- 博客(679)
- 收藏
- 关注
RSS订阅原创 SQL注入之sqlmap入门教程_sqlmap注入
原来sql注入如此简单以SQL注入靶场sqli-labs第一关为例,进行sqlmap工具的使用分享。
2024-05-23 09:59:15
325
原创 网络安全是什么?怎么入门网络安全_网络安全
学习网络安全是一路探索的,无论选择何种方式入行,工作里还有太多知识与领域,是我们学习中接触不到的(无论你是培训还是自学),我所罗列或者机构罗列的知识点的深度,不过是让你能勉强胜任工作,大片大片的工作空白,无论广度和深度,都需要我们来体验。
2024-05-21 10:54:35
392
原创 SQL注入漏洞利用
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。
2024-05-20 14:55:27
735
原创 打造全自动漏洞赏金扫描工具_nuclei扫描器联动xray
建议在 Digital Ocean 或 vultr 等 VPS 系统上运行这些程序,启一个后台线程即可,建议使用tmux的后台功能这样扫描到重复漏洞会非常少的,也会更加容易获取赏金,将更多的关注新资产漏洞资产侦察 资产收集、端口扫描,去重检测,存活探测,漏洞扫描,全自动化,结果通知,全部自动化了,即使睡觉也在挖洞。
2024-05-18 09:41:59
874
原创 运维的本质是什么?阿里“无人化”智能运维平台的演进
差不多在两年前,阿里内部出现了很多运维中台、研发中台等等,那有没有后台呢?不好意思,我们只有中台,没有后台,会在中台上构建与业务相关的各个前台。目前阿里的业务几乎覆盖了所有行业,有着很多业务线,如果业务线的前台到中台全部都是我们自己去建设,会造成一个巨大的浪费。我们需要去构建整个集团、或是阿里巴巴经济体所需要的统一的平台,避免重复性的建设。最近我们在思考运维的本质到底是什么,就突然联想到一部名叫《太空旅客》的电影。
2024-05-17 10:56:35
528
原创 DDOS 攻击的防范教程
一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。
2024-05-15 11:08:27
219
原创 2024自学网络安全的三个必经阶段(含路线图)_网络安全自学路线
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%。而且,我们到招聘网站上,搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
2024-05-14 17:07:35
649
原创 Kali Linux安装教程
根据自己需求调内存和处理器(内存不能超过自己真机,处理器最后分别选择2*2,太低影响虚拟机体验),选择之前下载好的iso镜像,点击完成。命名虚拟机名称,并选择磁盘安装(尽量选择D盘或E盘,可以新建一个文件夹,多个虚拟机系统不建议安装在同个文件夹 ),点击下一步。等待安装软件,这段时间较长,可以去干点别的事。默认后确定,若有修改可根据自身需求,点击继续。视情况而定,选择给予合适空间,点击下一步。点击稍后安装操作系统,并点击下一步。新手一般选择第一项即可,点击继续。选择安装的软件,一般默认即可。
2024-05-13 17:44:11
295
原创 计算机网络:网络应用服务_网络服务器从硬件角度来看,服务器通常指那些具有较高计算能力,不能够同时被多个用
WWW是World Wide Web 的缩写,中文名称为“万维网”,简称Web,是Internet 的多媒体信息查询工具。WWW允许浏览器等Web客户端以交互方式访问Web服务器上的页面并进行查询。Web上的信息资源包括文本、多媒体、数据库和可执行程序等,这些资源可以通过超链接连接起来,在逻辑上形成一个遍布全球的“信息网络”,用户可以通过超链接方便地在各个页面之间进行切换。WWW内容丰富,浏览方便,目前已经成为互联网上发展最快和应用最广泛的服务。
2024-05-11 15:32:26
858
原创 DDOS 攻击的防范教程 —— 阮一峰
一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。
2024-05-11 14:56:21
894
原创 Nacos漏洞总结复现
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2024-05-11 14:13:31
553
原创 黑客入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。我为啥说自学黑客,一般人我还是劝你算了吧!因为我就是那个不一般的人。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2024-05-10 14:19:20
870
原创 SQL注入漏洞利用
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。
2024-05-08 10:15:52
764
原创 【XSS漏洞-01】XSS漏洞简介、危害与分类及验证
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
2024-05-07 17:41:30
896
原创 什么是永恒之蓝病毒 如何防范永恒之蓝勒索病毒
什么是永恒之蓝病毒?如何防范永恒之蓝勒索病毒?2017年5月12日晚上20时左右,全球爆发大规模蠕虫勒索病毒入侵事件,短短数小时之内,该病毒已攻击英国、美国、俄罗斯、中国、德国、意大利等多个国家,并且攻击还在蔓延。据了解,只要电脑是开机并且可以上网的状态下就有可能能被入侵,被入侵的用户需支付高额的赎金(或比特币)才能解密文件,目前攻击已造成多处教学系统、医院系统瘫痪。什么是永恒之蓝病毒 如何防范永恒之蓝勒索病毒什么是永恒之蓝病毒?
2024-05-06 14:10:07
964
原创 0基础成功转行网络安全工程师,年薪25W+,经验总结都在这(建议收藏
我曾经是一名普通的销售人员,工作了三年,每天重复着相同的工作内容,感觉自己的职业生涯停滞不前,毫无发展前景。我开始思考,如何才能让自己的职业生涯更有意义,更具有挑战性。经过一番调研,我决定转行网络安全工程师。工作了越久,越觉得当初转行网络安全的决定还是非常正确的。目前的收入还比较满意,月入2W+(仅代表个人收入),13薪,年薪有25W。这不是我的目标,会继续努力提升自己的技能,争取有更高的收入。
2024-05-05 14:27:09
812
原创 30岁转行网络安全来得及吗?有发展空间吗?
现阶段,很多30岁左右的人群都面临就业难的问题,尤其是对于年龄已过30.没有一技之长的人。现阶段,网络安全行业已成了风口行业,也有很多30岁人群也想转行学习网络安全,但又担心30岁了怕来不及,学了企业也不一定要。那么,30岁转行网络安全来得及吗?有发展空间吗?如果,你想学想网络安全技术从事网络安全工程师方向是来得及的,因为这门技术只要有能力水平是不存在35岁被淘汰的风险。发展空间也是非常大的。为什么这么说呢?因为,按照目前工信部发布的《网络安全产业人才报告》,30岁以上的人占比还是很高的。
2024-05-05 13:58:47
497
原创 Xcode安装与配置(非常详细)从零基础入门到精通,看完这一篇就够了
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
2024-05-04 16:15:00
741
原创 要想成为黑客,离不开这十大基础知识,这一篇保证你学得明明白白
是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。与Scheme、Ruby、Perl、Tcl等动态语言一样,Python具备垃圾回收功能,能够自动管理内存使用。它经常被当作脚本语言用于处理系统管理任务和网络程序编写,然而它也非常适合完成各种高级任务。Python虚拟机本身几乎可以在所有的作业系统中运行。
2024-05-03 12:45:00
1673
原创 黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了_黑客技术自学教程
这篇文章没有什么套路。就是一套自学理论和方向,具体的需要配合网络黑白去学习。毕竟是有网络才会有黑白!有自学也有培训!1.打死也不要相信什么分分钟钟教你成为大黑阔的,各种包教包会的教程,就算打不死也不要去购买那些所谓的盗号软件之类的东西。2,我之前让你们在没有目的的时候学习linux,在学习LINUX的同时你第一个遇到的问题就是命令。作为一个黑客入门着来说你必须要懂什么是命令化系统,什么是图形化系统。3.在你学习黑客之前你的pc肯定是windows操作系统。你需要对windows系统进行初步的了解。
2024-05-02 15:15:00
730
原创 一般人自学黑客,我劝你还是算了吧
而我进大厂主要是靠自学内推进来是,当时我才20岁,基于对脚本小子的热爱,我每次工作做完了,就天天抱着本书看,甚至不会计较和主动研究各个技术和包揽一些任务(和大多数躺平族不一样),可能还是觉得自己不足,我又把tcp/ip协议大全,路由交换°这些基础啃了一遍,c++都学了一阵子。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2024-05-01 13:45:00
538
原创 计算机网络:网络安全(网络安全概述)_网络安全概论
由于计算机网络多样的连接形式、不均匀的终端分布,以及网络的开放性和互联性等特征,使通过互联网传输的数据较易受到监听、截获和攻击。伴随着虚拟化、大数据和云计算技术等各种网络新技术广泛而深入的应用,如今网络安全问题已经和几乎所有传统的安全问题相关联。银行、证券、交通、电力和城市运行等,都离不开新一代网络技术,同样也都面临着网络安全问题。由图5-1可知,2013年各类网络安全事件频频发生,各种各样的网络攻击使网络安全问题日益突出。图5-1 2013年网络安全事件网络安全的内涵与特性。
2024-04-30 09:15:00
1019
原创 一文读懂HW护网行动(附零基础学习教程)
随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。“HW行动”是国家应对网络安全问题所做的重要布局之一。
2024-04-29 13:38:38
563
原创 Web安全之跨站脚本攻击(XSS)
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
2024-04-29 10:22:34
695
原创 2024自学网络安全的三个必经阶段(含路线图)_网络安全自学路线
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%。而且,我们到招聘网站上,搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
2024-04-28 11:48:43
677
原创 Nacos漏洞总结复现
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2024-04-27 12:15:00
1685
原创 Nacos漏洞总结复现
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2024-04-26 13:50:11
755
原创 30岁转行网络安全来得及吗?有发展空间吗?
30岁转行网络安全来得及吗?有发展空间吗?现阶段,很多30岁左右的人群都面临就业难的问题,尤其是对于年龄已过30.没有一技之长的人。现阶段,网络安全行业已成了风口行业,也有很多30岁人群也想转行学习网络安全,但又担心30岁了怕来不及,学了企业也不一定要。那么,30岁转行网络安全来得及吗?有发展空间吗?如果,你想学想网络安全技术从事网络安全工程师方向是来得及的,因为这门技术只要有能力水平是不存在35岁被淘汰的风险。发展空间也是非常大的。为什么这么说呢?
2024-04-26 11:14:12
711
原创 WAF是什么?一篇文章带你全面了解WAF
硬件WAF适用于高流量的Web应用程序,软件WAF具有灵活性和易于配置的优点,适用于多种Web应用程序,而云WAF则适用于高可用性和高性能的Web应用程序。WAF可以通过对Web应用程序的流量进行过滤和监控,识别并阻止潜在的安全威胁。WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。您需要确保WAF能够与您的Web服务器和应用程序框架集成,并确保WAF能够对您的Web应用程序进行全面的保护。
2024-04-25 15:02:33
542
原创 XP连接高版本SQLServer提示:ConnectionOpen(SECDoClientHandShake())SSL安全错误解决方案
使用VB6等古董开发连接高版本SQLServer数据库(我这里是SqlServer2019)的程序时,使用向导配置会提示ConnectionOpen(SECDoClientHandShake())SSL安全错误,而无法正常读写连接SQLServer是通过调用本地ODBC Sql。
2024-04-24 09:37:00
710
原创 把手教你如何进行内网渗透
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024-04-23 13:55:08
863
原创 【网络安全】——区块链安全和共识机制
区块链技术作为一种分布式去中心化的技术,在无需第三方的情况下,使得未建立信任的交易双方可以达成交易。因此,区块链技术近年来也在金融,医疗,能源等多个行业得到了快速发展。然而,区块链为无信任的网络提供保障的同时,也面临着一些安全隐患。本文就从区块链共识层面,分析了区块链存在的攻击问题。并且我们还分析总结了未来共识算法可能的发展方向。关键字:区块链;共识算法;共识攻击;分布式安全。
2024-04-23 10:20:03
791
原创 【网络安全】2.3 安全的网络设计
一、网络架构网络设计是网络安全的基础,一个好的网络设计可以有效的防止攻击者的入侵。在本篇文章中,我们将详细介绍如何设计一个安全的网络,包括网络架构,网络设备,网络策略,以及如何处理网络安全事件。
2024-04-23 10:16:10
961
原创 使用MSF进行提权(windows提权、linux提权、wesng使用
MSF Windows提权反弹shell提权END推荐阅读MSF Linux提权反弹shell补充wesng用法Metasploit 是一个渗透框架,kali 内安装了,安装位置如下选定需要使用的攻击模块之后,你只需要使用简单的命令配置一些参数就能完成针对一个漏洞的测试和利用,将渗透的过程自动化、简单化主要作用:漏洞验证、漏洞利用、内网渗透等。
2024-04-22 18:53:31
459
原创 图文详解_安全设备的几种部署方式
顾名思义,在这种工作模式下,安全设备是串联在网络链路中的,所有的网络流量都会经过安全设备过滤,再转发出去。串联模式又分为两种,一是,二是。如图所示,左侧是未接入安全设备的网络配置和拓扑图,交换机上联端口G1/1配置IP地址为192.168.1.1/30,路由器下联端口G1/1配置IP地址为192.168.1.2/30,交换机与路由器之间只需配置路由相互指向即可。
2024-04-21 15:15:00
700
原创 前端开发转行做渗透测试容易吗?通过挖漏洞来赚钱靠谱吗?
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
2024-04-20 12:45:00
660
原创 前端开发转行做渗透测试容易吗?通过挖漏洞来赚钱靠谱吗?
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
2024-04-19 16:57:55
975
原创 【网络安全】记一次杀猪盘渗透实战
看起来非常假的网站,这个网站是没有 cdn 的用的是 thinkphpk 框架搭建的。先打一波 poc 没有效果访问一下后台直接在 url 后面加/admin。一个开源的 cms 还没有验证码尝试用 burp 进行爆破,首先在火狐上设置代理 ip 为 127.0.0.1 代理端口为 8081。Burp 上也要设置端口为 8081,将 Intercept 设置为 on 输入账号密码点击登录就能拦截到数据包。在爆破之前先发送到 Repeater 模块发送看看反应。
2024-04-19 16:57:19
741
原创 【网络安全】记一次杀猪盘渗透实战
看起来非常假的网站,这个网站是没有 cdn 的用的是 thinkphpk 框架搭建的。先打一波 poc 没有效果访问一下后台直接在 url 后面加/admin。一个开源的 cms 还没有验证码尝试用 burp 进行爆破,首先在火狐上设置代理 ip 为 127.0.0.1 代理端口为 8081。Burp 上也要设置端口为 8081,将 Intercept 设置为 on 输入账号密码点击登录就能拦截到数据包。在爆破之前先发送到 Repeater 模块发送看看反应。
2024-04-18 17:32:06
471
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人