![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
计算机
文章平均质量分 87
网络安全-生
为数不多的野生安全生
展开
-
(黑客)自学笔记
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。原创 2023-08-10 15:33:55 · 382 阅读 · 0 评论 -
网络安全(黑客)自学误区
网络安全是当今社会中至关重要的议题。随着科技的迅猛发展,网络已经渗透到我们生活的方方面面,给我们带来了巨大的便利和机遇。原创 2023-07-28 15:08:40 · 1214 阅读 · 0 评论 -
黑客(自学笔记)
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。原创 2023-07-25 14:56:41 · 108 阅读 · 0 评论 -
Redis未授权访问漏洞
传统数据库都是持久化存储到硬盘中,所以执行某些业务时传统数据库并不是很理想。redis等数据存储在内存中的数据库就应允而生了。原创 2023-07-24 14:07:13 · 370 阅读 · 0 评论 -
黑客(自学路线)
1、了解并介绍《网络安全法》2、《全国人大常委会关于维护互联网安全的决定》3、《中华人民共和国计算机信息系统安全保护条例(2011 年修正)》4、《中华人民共和国计算机信息网络国际联网管理暂行规定》5、《计算机信息网络国际联网安全保护管理办法》6、《互联网信息服务管理办法》7、《计算机信息系统安全专用产品检测和销售许可证管理办法》8、《通信网络安全防护管理办法》9、《国家安全法》原创 2023-07-20 14:05:55 · 76 阅读 · 0 评论 -
第一次内网渗透详细过程
学习渗透测试三个多月了总结了下经验进行了一次内网渗透环境是模拟的目标IP192.168.31.102 该web主机下 有两台虚拟机渗透目标: 拿到虚拟机的shell先信息收集、目标绑定jy.test.com访问192.168.31.196存在探针Nmap端口扫描192.168.31.196开放135、 3306 、 445 、 139、 80 端口御剑扫描后台发现后台地址并且存在info页面一阶段:拿主站访问目标网站对主站进行测试的时候发现存在明显的SQL注入。原创 2023-07-11 14:04:14 · 447 阅读 · 0 评论 -
网络安全系统教程+学习路线
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。原创 2023-07-10 15:23:13 · 773 阅读 · 0 评论 -
HTML 基础篇
对表单数据进行编码,默认都是要编码的。文档打开时要显示的目标位置,属性值一般有:_blank(新窗口中打开)、_self(默认,在超链接所在的容器中打开)、_parent(在超链接的父容器中打开)、_top(整个容器中打开)、name(框架名称)。常用的属性值有:top(与图片的顶部对齐)、middle(与图片的中部对齐)、bottom(默认,与图片的底部对齐)。表单要提交的地址,用于处理表单的内容(一般是提交字典到后台的一个接口,这个接口是java写成的,提交到这个接口后后台就知道如何处理这些数据了)。原创 2023-07-08 13:49:56 · 520 阅读 · 0 评论 -
网络安全零基础学习路线
了解网络安全相关法律法规熟悉基本概念(SQL 注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)进行 Google;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以 Google(渗透笔记、渗透过程、入侵过程等);原创 2023-06-28 13:46:54 · 646 阅读 · 0 评论 -
文件上传漏洞详解
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果.原创 2023-06-27 14:10:47 · 855 阅读 · 0 评论 -
网络安全、Web安全、渗透测试之笔经面经总结含答案
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的─种命令执行环境,也可以将其称做为─种网页后门。黑客在入侵了─个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在─起,然后就可以使用浏览器来访问这些asp或者php后门,得到─个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等。原创 2023-06-26 13:49:38 · 320 阅读 · 0 评论 -
ms17_010(永恒之蓝)漏洞复现详细教程
set payload windows/x64/meterpreter/reverse_tcp //设置攻击载体(简单来说就是,如果不使用这个模块,攻击成功之后,就是一个简单的shell,使用这个载体,攻击成功之后可以使用这个模块自带的各种攻击模块(强大到想流泪的功能模块))。首先使用 nmap 命令扫描局域网内的所有主机(因为ms17_010漏洞的最基本要求是需要开启445端口),这里使用nmap的最基本的扫描,直接命令后跟ip,nmap 192.168.1.1/24(扫描整个局域网的意思)。原创 2023-06-25 14:30:16 · 576 阅读 · 0 评论 -
XXE漏洞复现步骤
另外,一般来说,服务器解析XML有两种方式,一种是一次性将整个XML加载进内存中,进行解析;如果我们递归地调用XML定义,一次性调用巨量的定义,那么服务器的内存就会被消耗完,造成了拒绝服务攻击。既然XML可以从外部读取DTD文件,那我们就自然地想到了如果将路径换成另一个文件的路径,那么服务器在解析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中,只要我们在XML中让前面的根元素的内容显示出来,不就可以读取那个文件的内容了。3.检查所使用的底层xml解析库,默认禁止外部实体的解析。原创 2023-06-24 15:14:37 · 987 阅读 · 0 评论 -
网络安全自学秘籍
想学网络安全但是无从下手的小白看过来,非常系统的学习资料,无数小白看了这份资料都已经成功入门,涵盖多个网络安全知识点,我愿称之为网络安全自学宝典。原创 2023-06-20 14:08:28 · 2102 阅读 · 0 评论 -
利用SQL注入漏洞登录后台
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令原创 2023-06-19 15:15:10 · 13754 阅读 · 3 评论 -
web安全自学笔记
Web 安全方面的基本知识是有很必要的,未必就要深入理解。本文主要介绍常见的网络攻击类型,不作深入探讨。原创 2023-06-17 14:04:02 · 1409 阅读 · 0 评论 -
网络安全大厂面试题合集
本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。原创 2023-06-16 16:02:08 · 1317 阅读 · 0 评论 -
网络安全系统教程+渗透测试+学习路线(自学笔记)
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。原创 2023-06-15 16:55:26 · 3263 阅读 · 1 评论 -
网络安全红队资源合集
红队的整个攻击流程信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。原创 2023-06-14 14:04:30 · 2904 阅读 · 1 评论 -
网络安全的学习建议!
忌钻牛角尖,特别是刚入门的什么都不了解的情况下,可能你花好几天研究的一个东西,人10分钟就能搞定,一定不要做闷葫芦,有问题多问,遇到问题不可怕,可怕的是你避而远之。如果可以,加入一个安全团队,多看看技术大佬们都在学什么、看什么,即使看不懂也能在面试时装个X。哪怕你不学网络安全,也请记住,学习过程中一定要勤动手,多敲敲代码,多练习,多做笔记,人的记忆力都是有限的,正所谓好记性不如烂笔头,别说什么你肯定能记住。记笔记是为了加深学习印象,日后复习也能更迅速、方便。原创 2023-06-13 15:48:43 · 713 阅读 · 0 评论 -
网络安全如何6个月成功上岸?
为了上岸,我也是下了血本了,花费8280元报的网络安全选薪课,现已上岸,我全部整理成干货内容了,免费分享给需要的小伙伴们。原创 2023-06-10 17:06:09 · 2176 阅读 · 0 评论 -
【网络安全】web渗透漏洞靶场收集
最近将自己遇到过或者知道的web靶场链接奉上,有链接打不开可以后台私我原创 2023-06-10 14:26:33 · 569 阅读 · 0 评论 -
为什么网络安全缺口大,招聘却很少?
2023 年我国网络空间安全人才数量缺口超过了 140 万,就业人数却只有 10 多万,缺口高达了 93%。这里就有人会问了:原创 2023-06-09 19:48:30 · 338 阅读 · 0 评论 -
网络安全怎么学?学习路线资料分享
再说说渗透,又细分为技术型和策略型两个方向。技术型很简单,就是挖漏洞,找0day,再通俗点说,就是霸王硬上弓。策略型,偏社会工程方面,找的是人性,以及业务逻辑方面的漏洞,展开攻击。原创 2023-06-08 14:40:31 · 286 阅读 · 0 评论 -
网络安全必学 SQL 注入
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。原创 2023-06-06 15:26:26 · 193 阅读 · 0 评论 -
自学网络安全, 一般人我劝你还是算了吧
自学我劝你还是算了,我为什么要劝你放弃我自己却不放弃呢?因为我不是一般人。。。原创 2023-05-31 14:22:02 · 1731 阅读 · 2 评论 -
网络安全盲目自学只会成为脚本小子?
一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少原创 2023-05-22 14:13:24 · 1183 阅读 · 0 评论 -
网络安全里的主要岗位有哪些?小白如何快速入门?
入门 Web 安全、安卓安全、二进制安全、工控安全还是智能硬件安全等等,每个不同的领域要掌握的技能也不同。原创 2023-05-20 14:40:14 · 678 阅读 · 0 评论 -
网络安全基础--dns劫持及IP信息收集
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。原创 2023-05-19 14:41:11 · 1348 阅读 · 0 评论 -
网络安全自学误区
很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。学习讲究这方法,需要一步一步的来,由浅至深,慢慢的加大难度,很多人刚开始就猛学,很容易到后面的时候乏力,越学可能就越学得枯燥,到最后就很容易放弃了。观看学习近十年所有挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。原创 2023-05-13 13:32:16 · 1020 阅读 · 2 评论 -
新手开始学【网络安全】要怎么入门?
这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个 Web 安全路线图对新人是非常友好的,除此之外,我还给小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以点击蓝色字获取。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了 2 个月,入不了门这种感受。建立自己的安全体系,对公司安全有自己的一些认识和见解;原创 2023-05-08 13:47:57 · 2283 阅读 · 0 评论 -
Burp_suite安装使用
工具运行需要Java环境,请自行安装,此处不赘述。解压完成后右击burp-loader-keygen.jar,以Java(TM) Platform SE binary的方式打开keygen原创 2023-05-06 15:04:09 · 1204 阅读 · 2 评论 -
网络安全大厂面试题合集
以下为网络安全各个方向涉及的面试题合集,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。原创 2023-05-05 14:04:51 · 639 阅读 · 0 评论 -
网络安全怎么学,才不会成为脚本小子?
在这个阶段,你已经对网络安全有了基本的了解。如果你认真学习完第一步,什么是 sql 注入,什么是 xss 攻击这些已经都明白了,对 burp、cs 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!所谓的“打地基”其实就是系统化的学习计算机基础知识原创 2023-05-04 15:32:51 · 668 阅读 · 0 评论 -
网络安全之黄金票据,白银票据
Kerberos认证#在学习黄金白银票据前,首先先了解一下什么是Kerberos认证原创 2023-05-03 14:39:10 · 1931 阅读 · 0 评论 -
【网络安全】文件包含漏洞总结
文件包含漏洞属于代码注入漏洞,为了减少重复代码的编写,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码;简单来说就是一个文件里面包含另外一个或多个文件。原创 2023-04-28 13:53:39 · 784 阅读 · 0 评论 -
网络安全自学宝典
想学网络安全但是无从下手的小白看过来,非常系统的学习资料,无数小白看了这份资料都已经成功入门,涵盖多个网络安全知识点,我愿称之为网络安全自学宝典。原创 2023-04-27 14:14:57 · 85 阅读 · 0 评论 -
网络安全必学 SQL 注入
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。原创 2023-04-24 13:49:30 · 227 阅读 · 0 评论 -
网络安全必学渗透测试流程
这个靶场是一个对渗透新手很友好的靶场。而且,该靶场包含了渗透测试的信息收集,漏洞利用和权限提升的全过程,对新手理解渗透测试的流程有很好的帮助。原创 2023-04-21 14:25:44 · 317 阅读 · 0 评论 -
【网络安全】本地提权漏洞分析
根据官方信息,该漏洞是 Windows Backup Service 中的权限提升漏洞,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。成功利用此漏洞需要攻击者赢得竞争条件。原创 2023-04-20 14:01:37 · 1093 阅读 · 0 评论