自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(40)
  • 收藏
  • 关注

原创 网络安全 CTF 之最新网鼎杯解题思路

PEID 查不出来,用了 die,显示是 UPX3.96 的壳,用了脱壳机,脱不了,只能手动脱壳,拖入 x64dbg,F9 运行到程序领空,很明显的特征,push:无脑使用 ESP 定律大法,对 ESP 下硬件访问断点:F9 运行,在 pop 处停下:F4 运行到下面第一个 jmp,F8,进去又是一个 jmp,继续 F8,到达 OEP:使用 x64dbg 插件 dump:第一步先 dump 保存,然后第二步,第三步,第四步选择刚才 dump 保存的程序:脱壳成功,但是运行一闪而过,这是动态基址搞的鬼,手法很

2023-01-11 15:14:42 9

原创 【网络安全】如何在 Apache 安装开源 WAF

WAF 全称 Web Application Firewall,即 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品,跟网络防火墙的作用不同。WAF 的使用场景:例如服务器中有些安全性比较差的应用程序,比如旧版的 wordpress、discuz、phpwind 等,审计和修改全部代码比较麻烦,这时候最好的办法就是通过部署 WAF 来实现安全防护。

2023-01-08 17:07:11 7

原创 【网络安全】渗透工程师面试题总结大全

总结了一些面试题,大家看看吧!

2022-12-31 20:12:41 13

原创 网络安全实战之靶场渗透技术

靶机主要是从信息收集开始,发现是 flask 搭建的,然后使用 flask unsign 进行解密,暴力破解。接着使用枚举出的用户进行 FTP 登录,FTP 登录之后,下载 pdf 文件,发现管理员账号和密码规则,然后登录 FTP 管理员,接着下载压缩包,进行文件分析,发现可以使用 CVE-2021-23639 历史漏洞可以获取权限,在文件中发现存在 mysql 服务,接着进行权限提升,获取到了 root 文件。

2022-12-26 16:14:39 26

原创 【网络安全】SQL 注入新思维之 webshell 提权

大量的 hr 面试官都喜欢从 SQL 注入开始询问,所以留心了一下关于 SQL 注入的问题的频率。结果非常惊讶!不出意外的是--os-shell 名列榜首。比如这道题:SQL 注入 getshell 的方式?答:getshell 是指攻击者通过利用 SQL 注入获取系统权限的方法,Webshell 提权分两种:一是利用outfile 函数,另外一种是利用**--os-shell**;UDF 提权通过堆叠注入实现;MOF 提权通过"条件竞争"实现。

2022-12-24 20:33:11 126

原创 「网络安全入门」什么是网络安全

如今,组织的信息系统和数据面临着许多威胁。而人们了解网络安全的所有基本要素是应对这些威胁的第一步。网络安全是确保信息完整性、机密性和可用性(ICA)的做法。它代表了应对硬盘故障、断电事故,以及来自黑客或竞争对手攻击等防御和恢复能力。而后者包括从编程人员到能够执行高级持续威胁(APT)的黑客和犯罪集团的所有人,并且它们对企业的信息安全和业务构成严重威胁。因此,企业的业务连续性和灾难恢复规划对于网络安全至关重要,例如应用程序和网络安全。安全应该成为企业的头等大事,并得到高级管理层的授权。

2022-12-23 19:41:00 23

原创 网络安全必学 SQL 注入

当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。

2022-12-17 16:29:13 10

原创 网络安全之从原理看懂 XSS

跨站脚本攻击 XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为 XSS,恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页面时,嵌入 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的,XSS 攻击针对的是用户层面的攻击;XSS 分为:存储型,反射型,DOM 型 XSS。

2022-12-16 15:48:50 31

原创 实战邮件攻击简要分析【网络安全】

再分配一段内存,大小为 0x136c(正是 kcblmjjlps 文件长度),调用 fread 读取文件内容到缓冲区 0xD00000,如下图所示,读取的正是 kcblmjjlps 实际内容。我们直接静态看: 0x841c,也可以看出 word.exe 真实的 EXE 长度其实就到这边了,后续带的都是附加的内容。CVE-2017-11882 漏洞由于稳定、效果好等特点,经久不衰,CVE-2017-11882 漏洞变异样本层出不穷。并运行,word.exe 运行后又释放 lvjudowop.exe 运行。

2022-12-15 17:02:16 9

原创 网络安全之 ARP 欺骗防护

MAC 地址是固化在网卡上的网络标识,由 Ieee802 标准规定。向同一个网段内的设备,发送数据包,广播 IP 地址是同网段最后一个 IP 地址。

2022-12-14 20:12:33 44

原创 【网络安全必看】如何提升自身 WEB 渗透能力?

web 渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清 web 渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫 35 岁危机,,意思就是说 35 岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是 5-10 年,这没有 30、40 岁能有 10 年经验?网络安全好混,但不容易混得好。

2022-12-12 21:29:59 41

原创 网络安全之反序列化漏洞分析

条件一、方法名需要长于 4 条件二、不是静态方法条件三、以 get 字符串开头,且第四个字符需要是大写字母条件四、方法不能有参数传条件五、继承自 Collection || Map || AtomicBoolean || AtomicInteger ||AtomicLong 条件六、此 getter 不能有 setter 方法(程序会先将目标类中所有的 setter 加入 fieldList 列表,因此可以通过读取 fieldList 列表来判断此类中的 getter 方法有没有 setter)

2022-12-11 20:25:16 98 1

原创 零基础入门网络安全,收藏这篇不迷茫【2022 最新】

近收到不少关注朋友的私信和留言,大多数都是零基础小友入门网络安全,·需要相关资源学习。其实看过的铁粉都知道,之前的文里是有过推荐过的。新来的小友可能不太清楚,这里就系统地叙述一遍。

2022-12-11 20:14:56 17

原创 请问将来做网络安全工作还是先学习web安全还是二进制安全?(零基础~)?

二进制安全对学历要求稍微高一些,技术难度大,对高端人才需求量大,因此岗位会少一点。但是二进制安全的职业天花板也很高,随着年龄增长积累经验会有更好的发展。如果您是零基础的话,还是从web安全学起,先入门再提升技术毕竟web 对学历要求不是特别高,二进制的话可以往后学,两个方向精通是比较吃香的。Web安全对学历的要求不高,技术达到就可以,人才需求量大。

2022-12-08 15:43:06 135

原创 在网络世界中如何才能保护好自己的安全?

五彩斑斓的建筑,初三,人,地点,单车,从这些我们就知道博主当时是在广州塔附近,初三的样子,我们大概就能猜到博主当时的年龄在16左右,人没换,地点换了,就说明博主的家不在广州,可能是在广州上学或者来广州旅游,三辆单车,像这种发朋友圈的照片一般人都是齐了的,所以我们大胆猜测这里加上博主有三个人,当然确实是三个人,另外两个是我其中俩好兄弟,一条朋友圈就能知道这个人大概的一个信息,你说可不可怕?)女孩子同样,保护好自己信息安全。俗话说的好:知己知彼,百战百胜,知道了别人的进攻手法,你才能懂得该如何防范。

2022-12-08 15:36:03 74

原创 网络安全心得体会

作者:黄小姐链接:https://zhuanlan.zhihu.com/p/545778144来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。   在21世纪,网络已经成为人们日常生活的一部分,很多人甚至已经离不开网络。有了网络,人们足不出户便可衣食无忧。前些天刚从电视上看到关于年底网购火爆,快递公司也在“春运”的新闻。以前人们找东西得找人帮忙,现在人们找东西找网帮忙。记得有一次钥匙不知道放到了什么地方,就百度了一下“钥匙丢在那里了”,结果按照网友们提示的方案还真给找到

2022-12-07 15:55:54 519

原创 c‘t‘f

CTF比赛介绍CTF(Capture The Flag,中文:夺旗赛)是网络安全领域中一种信息安全竞赛形式,起源于1996年。DEFCON全球黑给主办方,从而夺得分数。CTF竞赛模式具体分为以下三类:一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。二、攻防模式

2022-12-07 15:49:11 423

原创 2022最新版网络安全保姆级指南,手把手带你从0基础进阶网安工程师

网络空间安全真的这么火吗?零基础又该如何学习呢?已经在业内了,想要进阶又需要加强那些方向的能力?本篇内容我将为大家一一展开叙述。随着近几年我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地,网络安全行业地位、薪资随之水涨船高。根据中国网络安全产业联盟(CCIA)预计,网络安全市场未来三年将保持15%+增速,到2024年市场规模预计将超过1000亿元,由此可见行业未来将持续高速增张,人才缺口将进一步扩大。但是我们作为一个小白想转行网络安全岗位,或者是有一定基

2022-12-06 20:46:43 17

原创 网络安全面试题

以下为网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作) ​​今天的分享到这里就结束了,希望对大家的面试有帮助,如果大家有需要补充的地方,也可以在评论区告诉我!​

2022-12-05 15:41:28 38

原创 黑客常用的10大工具

从事网络安全工作,手上自然离不开一些重要的网络安全工具。今天,分享10大网络安全工具。 Kali 是一个基于 Debian 的 Linux 发行版。它的目标就是为了简单:在一个实用的工具包里尽可能多的包含渗透和审计工具。Kali 实现了这个目标。大多数做安全测试的开源工具都被囊括在内。这个工具上手不算太难,因此他是很多入门网络安全的新人的最佳选择。 它是全球专业人士都喜欢使用的强大网络安全工具,通过扫描网络和识别关键漏洞来确保网络安全。超过15000个企业使用它来改进网络安全和软件交付。Burp Suite

2022-12-04 16:55:53 208

原创 网络安全会被淘汰吗?网络安全如何学?

我目前就是做的安全研究,工资确实高,实习两个月了,这个月刚转正,整个组目前只碰到过一次加班,还是同事加班,同事负责规则的,有次和研发撕B,研发非说是规则问题,撕到了7点多,老大直接下场,叫他们好好看看代码,我当时在家里看。其中安全工程师大多和设备打交道,类似于网安工程师,过去调试设备,根据需求调试好,然后撤退,这种岗位大多会招一些持有网络工程师证书的,如HCIE,HCIP等。就像看电视剧,还挺有意思的,目前我是每天都比较闲,说闲也不闲,因为要学java,php,等语言,老大说搞安全,你要比开发更懂开发。

2022-11-29 16:54:32 25

原创 1000道网络安全面试题集锦

受限于文章篇幅,剩余的面试题,我以图片形式展示,需要的小伙伴可以评论区告诉我!

2022-11-27 22:18:31 278

原创 网络安全的基本概念

(1)网络安全网络安全指网络系统中的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包括:网络设备安全、网络软件安全和网络信息安全。凡是涉及到网络上信息保密性、完整性、可用性、可认证性、可控性和可审查性的相关理论和技术都是网络安全研究的范畴。那么这“6个特性”是什么意思呢?保密性:确保信息不被泄露或呈现给非授权的人。完整性:信息在传输和存储的过程中不丢失、不被修改和破坏。

2022-11-27 16:25:28 46

原创 网络安全的基础知识

缓冲区溢出攻击是一种系统的攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每个应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。从人的角度,威胁网络安全的因素有哪些?

2022-11-27 16:06:06 34

原创 零基础网络安全学习线路图

其实网络安全本身的知识点并不算难,但需要学的东西比较多,如果想要从事网络安全领域,肯定是需要系统、全面地掌握清楚需要用到的技能的。自学的方式基本是通过看视频或者相关的书籍,不论是什么方法,都是很难的,特别是对于一个刚准备进入这个领域的人来说,枯燥乏味的书籍和视频很难帮助我们持之以恒地学习下去,出现“三天打鱼两天晒网”的现象(如果你自控力OK,当我没说)

2022-11-26 16:18:33 59

原创 学网络安全的建议

忌钻牛角尖,特别是刚入门的什么都不了解的情况下,可能你花好几天研究的一个东西,人10分钟就能搞定,一定不要做,有问题多问,遇到问题不可怕,可怕的是你避而远之。如果可以,加入一个安全团队,多看看技术大佬们都在学什么、看什么,即使看不懂也能在面试时装个X。哪怕你不学网络安全,也请记住,学习过程中一定要勤动手,多敲敲代码,多练习,多做笔记,人的记忆力都是有限的,正所谓好记性不如烂笔头,别说什么你肯定能记住。记笔记是为了加深学习印象,日后复习也能更迅速、方便。

2022-11-26 15:07:02 150

原创 零基础如何学网络安全?

这些只是最基本的,毕竟列出来的这些都是基础知识点,还没有涉及到系统内部结构、网络编程、漏洞研发等。我大部分都看过,内容还算不错,留着也是占空间,就无偿分享了。5、熟悉Windows/Kali Linux(3周)1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)6、服务器安全配置(3周)3、渗透实战操作(5周)

2022-11-25 16:39:17 718

原创 这才是最系统的网络安全学习路线(建议收藏)

主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,常见的技能需要学习:外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。脱离了这个基础,就很容易变成纸上谈兵,变成“知其然,不知其所以然”,在安全的职业道路上也很难走远。

2022-11-25 16:32:15 38

原创 新手如何学习网络安全?

除了这个方向,还有个未列出来的方向—安全管理方向,放心少年,这个方向你一时半会用不到,哪个公司傻乎乎的上来就让一个萌新去做安全管理?这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个Web安全路线图对新人是非常友好的,除此之外,我还给团队小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以在评论区告诉我!这个就跟当年高中文理分科一样,问啥要分,因为内容太多,不同的人擅长点不一样,学习的内容那么多,时间那么少,要么压缩内容,要么拉长时间。

2022-11-24 16:19:57 2521

原创 零基础如何学习web安全?

我也是从零基础这样过来的。但又不想新入行的人走弯路,所以今天随手写写关于网络安全的内容,希望对初次遇到web安全问题的同学提供帮助!今天我们来说说web安全如何学习。Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,社交网络、聊天工具、网络购物等一系列新型产品也先后诞生,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注。

2022-11-23 16:14:42 26

原创 如何自学入门网络安全?

3、面试会遇到的问题,只要我们技术扎实且到了这一步,我们已经非常接近成功了,面试遇到的问题一种是围绕技术问,一种是围绕项目问,一种是围绕你的个人发展问,一般来说大公司围绕底层技术比较多,中小公司多围绕项目问,这个多去各大平台,比如知乎、掘金找一些面试经历与面试题来看看。我找的所有教程都是B站上的,比较基础适合小白,这部分一定要多练,知识点多,就去练,还要多回头看,我敢说这部分你学了一周,等周六日在回头看,你发现有些东西就不好写出来,所以要周六日回头看下,在练好的基础上做总结。网上有很多网络安全的学习资料。

2022-11-22 16:22:40 81 2

原创 学网络安全可以干什么?

但从安全角度来看,这也意味着安全态势变得更加复杂,安全的范畴也变得更加广泛,漏洞存在于每个地方、攻击可以由世界任何一个地方发起,对于网络安全的准确预测成为保障安全的关键前提。学网络安全可以挖矿,当网络安全工程师,红客,黑客,这类和网络安全你有关的工作 再者就是网络安全这方面薪资高就对了,就目前来说网络安全在技术性人才缺口大,国家也在大力扶持。而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。

2022-11-21 16:46:40 361

原创 网络安全的学习路线是什么样的?

网络安全目前已经上升到了国家战略级别,这个领域产生了大量的安全技术岗位需求,就连普通二、三线城市的安全工程师都达到了10-20万的年薪,更别提北、上、广、深这样的一线大城市。实践是检验理论的唯一方式,根据你在学习期间掌握的理论知识,进行实践操作,这样才能了解你的真实能力,才能知道 自己在学习中,有哪些知识掌握不够。、渗透测试、应急响应、自动化运维、代码审计等这些领域,你对哪个感兴趣,就往哪方面去深耕,只有用心钻研,才能获得与这个领域相匹配的能力!,结果你走进了耐克的店里,这肯定是买不到你想要的优质国货嘛!

2022-11-20 15:30:01 26

原创 怎样学习网络安全知识?

很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的客户或者急于找到工作的客户,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。学习讲究这方法,需要一步一步的来,由浅至深,慢慢的加大难度,很多人刚开始就猛学,很容易到后面的时候乏力,越学可能就越学得枯燥,到最后就很容易放弃了。观看学习近十年所有挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的。

2022-11-20 15:28:02 16

原创 如何零基础学网络安全?

如何学习网络安全,零基础,学习路线

2022-11-18 20:08:16 52

转载 网络安全怎么样?

网络安全专业如何和就业前景

2022-11-16 15:15:46 15

转载 网络安全如何系统的学习?

讲讲网络安全要如何系统的学习

2022-11-11 15:32:57 40

转载 做网络安全怎么样?

给大家说说网络安全的现状和是否适合自己往这个方向发展

2022-11-11 15:29:03 16

原创 网络安全做红队攻防 35 岁以后可以干嘛

当然是不被淘汰的有真才实干经验的技术工程师,不是只会点皮毛的脚本小子。35岁之后大概率转蓝队防守,做企业需求度高的工作。不会,单渗透测试来说,到后期更多是经验的积累。同一个事情,经验老道师傅的可能用更少的命令,发更少的请求完成这个事情,更隐蔽,更高效。中年危机针对的大多其实是多年一直重复做基础的事情,没有匠心,安于现状,随波逐流的人。因为资深项目经理,售前,商务这块。尽量不要继续在基层做执行工作,其实任何行业都这样,不止是it行业。从业很多年的老师傅踩过的坑和经验都是无比宝贵的。

2022-10-12 19:39:34 1120

转载 网络安全行业如何?

好,这个时候来看看你要学啥,php,java,读代码,数据库,网络,加解密,这还没说什么稀奇古怪的堆栈溢出啥的,总之,要想人前显贵,必然,脑壳遭罪。好,先说1,漏洞有个种各样的,有网页的,有软件的,像什么工控芯片漏洞啥的就别了吧,我自己都缕不清了,其中涉及的有php写的,有java写的,还有逻辑漏洞,有数据库的,以及网络传输的,加解密的等等。就像看电视剧,还挺有意思的,目前我是每天都比较闲,说闲也不闲,因为要学java,php,等语言,老大说搞安全,你要比开发更懂开发。当然,可能还有些没补充到位的请见谅。.

2022-07-18 14:59:00 82

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除