- 博客(66)
- 收藏
- 关注
RSS订阅原创 CTF选手的黄金年龄只有六年
一个CTF选手最好的黄金年龄只有六年,这个不是我说的,这是电视剧大佬说的。学CTF还得从电视剧里面学习,你还在学Web、逆向这些,都落伍了!命令很炫酷,解题秒解,做题这块还得是大佬,你还在用工具做题?也就纯属一乐,做题权威这块还得是我们的选手。为什么CTF比赛要戴耳机,这是玩电竞吗?你为什么打CTF不行,因为你没有比赛的时候没有戴耳机。虽然有些夸张,好歹也宣传了一波网络安全。CTF职业选手六年后只能退役了,哈哈!看背景图片,我还以为是在打CSGO比赛呢。
2026-02-08 20:28:15
124
原创 第二次终于通过了信息安全工程师考试
下半年报名缴费之后,因为工作关系,我一直没有看书和学习,直到打印准考证的那周,我才想起来还没看书,于是3个晚上赶紧做了几套卷子。学习时间是从8月-11月,因为时间太长容易疲惫,加上自身的网安基础,我规划了3个月时间进行学习。针对第二门的弱项,我专门进行了学习和针对性练习,11月从考场出来,我的整体做题感觉比第一次顺畅了很多,不知道是因为题目难度降低还是自身水平提高了。因为现在都是机考,所以考试之前你要测试一下输入法的切换、键盘的按键,鼠标的移动和点击是否正常,如果无法正常使用,要让监考老师给你处理。
2026-01-28 21:09:13
368
原创 聊一聊网络安全公司的内部争斗
免责声明:本文内容纯属一本正经地“瞎聊”,仅为基于常见职场现象的观察与戏说,不构成任何专业管理建议、职业指导或真实事件映射。1. 本文所有情节如有雷同,大概率是江湖套路相似,请勿自行代入或对号入座。2. 文中提及的“手段”与“策略”仅为分析样本,请勿在实际职场中随意模仿,否则后果可能包括但不限于:同事侧目、领导约谈、人力部找你喝茶。3. 作者不鼓励也不支持任何形式的办公室政治斗争,提倡“好好工作,天天向上”。
2026-01-24 16:38:21
516
原创 网络安全带徒弟是什么套路
从当前情况来看,只能算起步,因为还没形成聚集效应,没什么议价能力,只能给大家我这边力所能及的优惠,拓展了一些证书渠道,因为我觉得证书只要报价就行了,大家有需要、能接受价格就报名,不行就问问其他家。你以为进了群是师徒围坐论道网安攻防,结果刚通过好友验证,就被拉进一个两百人的大群,群公告第一条就是 “本周免费直播课表”,第二条是 “进阶精品课限时优惠”,第三条干脆直接甩了个几千块的培训课链接,备注着 “师徒专属内部价”。最后,大家记住一句话,天下没有免费的午餐,提高分辨能力,对自己劳动所得负责。
2026-01-10 20:57:20
335
原创 网络安全转行的人都去了哪(搞笑版)
所以啊,网安人从来不用愁 出路,只愁 选哪个出路,是守着防火墙当技术大佬,还是守着烧烤摊当夜宵一哥?不多说了,搬砖去了!2、转行去开个烧烤摊的,以前研究防火墙策略,现在研究烧烤火候策略。4、转行做小区保安的,坚持对业主进行人脸识别+动态口令双重认证。5、转行去送外卖的,毕竟以前追踪网络漏洞,现在追踪最佳送餐路线。了解完大家转行都去了哪,我一点都不焦虑了,又能早早睡觉了!3、转行去做绿色陪玩的,虽然笔者也不知道这是干嘛的。7、转行去踩缝纫机的,这个大家不要模仿。1、转行去做餐饮的,比如去搞个大排档。
2026-01-08 21:04:31
177
原创 计算机软考高级介绍
在电信运营商、政企 IT 部门中,负责大型网络设计、网络优化的岗位对该证书认可度高,也适合有网络运维经验、想向网络规划设计方向晋升的从业者。:偏管理类,核心考察项目整合、范围、时间、成本等全流程管理知识,搭配少量 IT 技术常识。:技术与管理衔接的科目,不考底层编码,核心是将业务需求转化为技术方案,涵盖计算机架构、数据库、软件工程等多领域技术知识。考试难度偏难,技术覆盖面广。:网络领域专属的技术类科目,聚焦大型网络架构规划、部署与优化,核心考点包括网络安全防护、云网络架构等,技术针对性强,考试难度较高。
2026-01-04 21:09:12
498
原创 网络安全笑话
队长摇摇头:“不,我在想,怎么把报告写得既显得我们很厉害,又不至于让对面的安全团队全被开除。毕竟,他们要是被换了,下次我们可能就没这么容易进来了。大佬沉默片刻,严肃地说:“那就给对方的信息部打个电话,说‘我是管理员,密码忘了’,这招叫社会工程学。“看到那家咖啡馆了吗。“我们的秘诀是,”队长平静地说,“在行动开始前,拔掉了所有服务器的网线。“我们挂了一个静态页面,上面写着:‘系统升级中,敬请期待’他深吸一口气,默默打开手机,向亲戚展示了某SRC的积分商城:!亲戚拍拍他肩膀:“孩子,实在不行,跟叔去工地干吧。
2025-12-29 21:43:44
1056
原创 网络安全售前工程师是做什么的?
在网络安全公司里,有两个大家比较熟悉的角色:一个是销售,负责谈合同、签单子;另一个是售后工程师,负责产品卖出后的安装和维护。那么,售前工程师(解决方案工程师)是干嘛的呢?简单来说,他们就是在“销售之前”工作的工程师。他们是销售团队里的技术担当,是连接公司和客户之间的那座“技术桥梁”。一、具体做什么工作可以把他们想象成“技术销售”或者“方案设计师”。销售负责讲商务、谈价格,售前工程师负责讲技术。当客户问“你们的产品是怎么防黑客的?”“这个功能具体怎么实现?”时,就轮到售前工程师出场了。
2025-12-03 20:26:51
453
1
原创 密探(mitan)安装介绍
密探是一款功能强大的网络安全工具,集资产收集、端口扫描、子域名爆破、指纹识别、敏感信息探测等功能于一体。支持多平台安装,Windows用户需注意JDK11+需配置JavaFX-SDK才能正常运行。工具提供丰富的搜索引擎语法自动生成和多种资产测绘平台支持,适用于全面的渗透测试需求。安装过程简单,Linux/Mac通过sh脚本启动,Windows用户需修改bat文件配置JavaFX路径后即可使用。该工具界面友好,是网络安全从业人员的实用助手。
2025-11-17 18:51:03
522
原创 网络安全学习困扰及解决建议
但在真正的技术面试官眼里,他更关心你亲手做过什么项目,挖过什么有质量的漏洞,GitHub上有什么代码,对某个漏洞原理的理解深度。首先大家要对网络安全行业就业有一个基本认识,现在没那么好就业而且要求也不低,如果你的行业比网络安全行业还差可以转行,但要做好心理准备和持续学习吃苦的准备。很多人太容易受外界干扰,看到别人挖了个漏洞,想要赶超,几天库库学习,过几天又去水群了,水平原地踏步。
2025-11-14 08:45:46
836
原创 SRC培训的那些“坑”
“这个问题不是三言两语就能给你讲会的” 总之,你花钱买的,是一个薛定谔的专家,在课程结束前,他既是大佬也是菜鸟。真正能在这一行站稳脚跟的,靠的是你静下心来看懂每一行代码的耐心,是你解决一个又一个问题的韧劲儿。真正的漏洞,不在那些过时的培训教材里,而是在一行行代码的审阅中,在一次次失败的复现里,在持续学习、独立思考的漫长道路上。至于那些天花乱坠的培训,不妨把它们当作一个“人性的漏洞”来欣赏——毕竟,能同时利用“逻辑漏洞”和“社会工程学”来“收割”的,这些培训主办方,才是真正的“黑”氪啊。
2025-11-11 19:48:01
433
原创 为什么我不建议你进入网络安全行业
在决定进入这个行业之前,请务必进行深刻的自我评估。不要只看媒体的鼓吹和培训机构画的大饼,去和一线从业者聊一聊,听听他们每天的抱怨和成就。问自己三个问题:· 我是否有持续燃烧的热情,来支撑终身学习?· 我是否能接受高投入与潜在回报不匹配的现实?· 我是否有强大的身心,来应对长期的压力和可能的倦怠?那么,什么样的人“仍然适合”从事网络安全?
2025-11-03 18:36:01
633
原创 “前首席女黑客”直播翻车记
各位观众朋友,请想象这样一幕:一位自称是“某大型科技公司前首席女技术黑客”的大神,坐在电脑前,每天直播八小时,结果直播间冷清得“连弹幕都比代码少”。真正的技术大牛,网上通常能找到他实实在在的技术贡献痕迹,而不是只有一堆“感人”的短视频。然而,经长沙市场监管部门和公安局的联合“查岗”,发现这位姐的“黑客”经历,跟她直播间的观众一样——他们深谙互联网流量密码——在这个时代,纯粹的优秀无人问津,但“优秀的凄惨”却能引爆话题。而这群骗子,偏偏用一个唯一可能是“真”的现象,来佐证一个完全“假”的人设。
2025-10-28 21:28:32
391
原创 这些国产商业化漏洞扫描工具你用过吗
一款漏洞扫描工具究竟好不好,一般可以从扫描引擎(扫描速度快)、漏洞库(数量多、更新频次高)、准确率(误报率低)和报告模板等方面进行综合评判。所以你用过最好用的扫描工具是哪一款呢,可以在评论区留言!
2025-10-26 20:46:13
623
原创 如何学好网络安全技术
自学网络安全需要明确目标与坚持。建议从培训机构课程目录构建知识框架,利用免费开源资源学习,关注技术论坛了解前沿动态,并通过CTF比赛等实践巩固理论。可寻求良师指导但需甄别,选择三观正、技术好的导师。学习中要注重笔记积累,打好理论基础,同时通过比赛成绩等积累实践经验。关键是要保持持续学习的毅力,在拥挤的赛道上坚持到终点。
2025-10-23 16:17:40
346
原创 Sqli-labs靶场搭建及报错处理
1、下载Sql-labs靶场源文件2、解压源文件,放到phpStudy的WWW目录下3、查看phpStudy的数据库用户名,密码我这里设置的是root,1234564、修改sql-connections文件夹的db-creds.inc修改dbuser和dbpass为上一步查询的用户名,所以我改成了root,1234565、在网站中点击创建网站,设置参数域名可以自己定义,端口写一个没被占用的端口根目录选择sqli-libs-master目录PHP版本选择php5.5。
2025-08-14 14:50:39
514
原创 商用密码基础知识介绍(上)
1、密码分类根据《中华人民共和国密码法》,国家对密码实行分类管理,分为密码分为核心密码、普通密码和商用密码。(1)核心密码、普通密码核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。(2)商用密码商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。2、商用密码的应用场景(1)金融领域银行支付(U盾、移动支付加密)区块链与数字货币(保障交易安全)
2025-06-14 19:31:54
833
原创 网络安全攻防领域证书
OSCP 是 Offensive Security(OffSec)推出的实战型渗透测试认证,被誉为渗透测试领域的“黄金标准”。它注重 实际动手能力,要求考生在真实环境中攻击漏洞、提权并编写报告,而非仅通过选择题考试。1.核心技能:基础渗透测试流程、缓冲区溢出、漏洞利用(Exploit Development)、权限提升(Privilege Escalation)、网络服务攻击、客户端攻击等。工具学习:Kali Linux、Metasploit、Nmap、Burp Suite 等。
2025-06-12 22:16:03
1756
原创 等保系列(三):等保测评的那些事
1、测评准备阶段(1)确定测评对象与范围明确被测系统的边界、功能模块、网络架构及承载的业务。确认系统的安全保护等级(如二级、三级)。(2)签订测评合同选择具备资质的测评机构(需公安部认可的等保测评资质)。签订合同并明确测评目标、时间、费用等。(3)资料收集与沟通收集系统资料:网络拓扑图、资产清单、安全策略、管理制度、以往测评报告等。与客户沟通系统现状、特殊需求及安全建设情况。2、测评方案编制(1)制定测评计划确定测评人员分工、工具使用(如漏洞扫描器、渗透测试工具等)。
2025-05-09 21:49:55
1276
原创 等保系列(二):等保建设的具体要求
1、定级明确系统的安全保护等级。2、备案向公安机关提交系统定级信息,完成备案。3、建设整改对标等保要求,补齐安全短板。差距分析:依据等保2.0的安全通用要求和扩展要求,评估现有防护措施差距。制定方案:技术整改:部署防火墙、入侵检测系统(IDS)、日志审计等安全设备。管理整改:建立安全管理制度。实施整改:完成设备部署、策略配置、漏洞修复及制度落地。4、等级测评通过第三方测评验证系统合规性。技术测评:渗透测试、漏洞扫描、配置核查(如身份鉴别策略、访问控制)。
2025-05-07 18:16:58
1173
原创 等保系列(一):网络安全等级保护介绍
网络安全等级保护(以下简称:等保)是根据《中华人民共和国网络安全法》及配套规定(如《信息安全技术 网络安全等级保护基本要求》等)建立的系统性安全防护机制,要求网络运营者根据信息系统的重要性及受破坏后的影响程度,实施不同等级的安全防护。
2025-05-01 16:43:01
1631
原创 网络安全法律法规简介
1、《网络安全法》施行日期:2017年6月1日明确网络空间主权原则,规定网络运营者的安全义务(如等级保护制度)、关键信息基础设施保护要求、个人信息处理规则等。2、《数据安全法》施行日期:2021年9月1日建立数据分类分级保护制度,规范数据交易和跨境流动,要求重要数据出境需安全评估。3、《个人信息保护法》施行日期:2021年11月1日为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益4、《密码法》
2025-03-27 09:00:09
928
原创 网络安全可以去哪些单位工作
每年都有大批网络安全公司成立,也有大量公司倒闭关门,网络安全行业已经进入大浪淘沙的阶段,只有竞争力足够的公司能够坚持到最后。培训机构这里我分为两类,一是主要做网络安全认证培训,比如CISP、CISAW等认证培训,二是卖课的培训公司,主要是通过课程盈利。很多体制内的单位都会招录计算机相关的岗位,比如很多信息中心、信息科等都需要计算机、网络安全人才,进入体制内工作也许是个不错的选择。每个省份都有几个不错本土集成商,集成商也是网络安全厂商销售的重要渠道,所以好的集成商待遇也不错。二、网络安全测评机构。
2025-03-27 08:57:05
476
1
原创 网络空间安全专业培养方案及学习建议
随着网络安全人才培养,网络安全行业必将趋于专业化,今后无论甲方还是乙方都会有更多专业人员担任网络安全相关职务。专业化趋势也对从业人员提出了更高的要求,更全面的理论基础,更好的技术素养,更强的探索学习能力。可以预见,未来会有一批价值产出低的人员会被逐渐淘汰,无论是科班还是非科班出身,都有可能面临这个挑战。
2025-03-20 09:15:21
477
原创 网络空间安全专业发展历程及开设院校
1. 早期探索阶段(1990年代末—2000年代初)(1)背景:1990年代互联网进入中国,计算机病毒、黑客攻击等问题逐渐显现,社会对信息安全人才的需求开始萌芽。(2)高校尝试1997年,西安电子科技大学在密码学领域积累深厚,率先开设与信息安全相关的选修课程和研究方向。1998年,武汉大学依托其计算机学院和数学学科优势,开始探索信息安全方向的本科教育。2. 正式设立本科专业(2001年)2001年,武汉大学获批设立中国首个“信息安全”本科专业。
2025-03-19 17:19:52
1233
原创 网络安全证书培训机构有哪些
记得刚入行的时候,想考一个证书来装装门面,结果发现费用太高了,比当时一个月的工资都高,感叹网络安全这帮人真舍得花钱,遂放弃。后来入职网络安全公司,考了一个CISP,在工作中逐渐发现,证书这个东西还是要根据自身需求来,并非越多越好。当前笔者的主要任务还是通过学习来增强自己的能力,后续看看是否有机会既能让读者享受物美价廉的考试认证服务,又能让培训机构及时找到生源,实现双赢。如果找到合适的培训机构,我会及时告知大家。
2025-03-17 19:10:56
1644
1
原创 同源策略漏洞学习
同源策略是浏览器的一个安全功能,它规定了来自一个源的脚本在没有特殊授权的情况下,不能访问或操作来自其他源的文档、对象或脚本等资源。这里的 “源” 由协议、域名和端口号共同决定,只有当这三个部分都完全相同时,才被认为是同源。
2025-02-24 08:39:27
989
原创 JWT漏洞学习
用于在网络应用环境间安全传递声明。通常用于身份验证和信息交换,因其紧凑、自包含且易于传输的特性而被广泛使用。JWT 由三部分组成,用点号.分隔:Header(头部)、Payload(负载)、Signature(签名)
2025-02-10 14:44:36
461
原创 XXE漏洞学习
XML 指可扩展标记语言(EXtensible Markup Language)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML 被设计为传输和存储数据,其焦点是数据的内容。HTML 被设计用来显示数据,其焦点是数据的外观。
2025-02-06 15:29:41
1305
原创 服务端请求伪造SSRF漏洞简单练习
SSRF(Server - Side Request Forgery),服务器端请求伪造漏洞,攻击者利用该漏洞,通过目标服务器发起对其他服务器或服务的恶意请求。
2025-01-23 16:04:28
909
原创 聊一聊网络安全证书的那些事
如果你很迷茫,想提升自己,请反复阅读本文并思考,相信能给你一些启发。以下内容仅属于笔者个人观点,请大家理性批判地阅读。
2025-01-21 10:59:37
1649
原创 跨站请求伪造CSRF漏洞介绍
CSRF概念CSRF(Cross - Site Request Forgery),跨站请求伪造。它是一种网络安全漏洞,攻击者通过诱导用户访问恶意网站,利用用户当前已登录的身份在被攻击的网站(目标网站)执行非用户本意的操作。
2025-01-15 08:50:29
1288
原创 文件包含漏洞等你来看
文件包含漏洞是指由于应用程序在包含文件时,没有对包含文件的路径和内容进行严格的验证和过滤,导致攻击者可以利用这个机制,让服务器包含并执行非预期的文件。
2025-01-14 10:12:54
559
原创 一起通关XSS-Labs(Level 1-18)
练习xss-labs靶场就像做题目一样,知道有答案,所以心里压力会小很多,如果多次尝试还没有思路的时候,可以参考一下本文的内容。Level 14靶场引用的链接失效,无法完成实验,Level 17-20需要使用到Flash插件,因为Flash已经停用,了解一下即可!
2025-01-06 09:13:02
990
原创 XSS跨站脚本攻击漏洞练习
XSS 是跨站脚本攻击(Cross-Site Scripting)的缩写,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。XSS 漏洞主要是因为 Web 应用程序没有对用户输入的数据进行充分的验证和过滤,或者没有正确地对输出内容进行编码,从而导致攻击者可以将恶意脚本注入到网页中,这些恶意脚本能够在受害者的浏览器中执行。
2024-12-24 09:30:18
1580
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人