网络安全
文章平均质量分 85
网络安全-生
为数不多的野生安全生
展开
-
网络安全漏洞分析与漏洞复现
如此高频的出洞速率,吸引了笔者注意。但在 com.vmware.endusercatalog.ui.UiApplication,使用 @ComponentScan 注解声明自动将 com.vmware.endusercatalog.auth 包的类装配进 bean 容器。寻找/ui/view/error 的其他调用,位于 com.vmware.endusercatalog.ui.web.UiApplicationExceptionResolver#resolveException 函数。原创 2023-04-15 14:06:05 · 789 阅读 · 0 评论 -
小白学网络安全要学些什么?
虽然网上已经有非常多的学习路线了,但是仍然有很多零基础的小白还是不懂网络安全到底应该要怎么去学习,我也经常会在后台收到这样的问题“我想学网络安全,需要先学编程语言吗?”、“学渗透就业会不会很难?”等等类似的问题原创 2023-04-08 14:01:23 · 850 阅读 · 0 评论 -
2023最全面网络安全面试题1000道附答案
2023最全面网络安全面试题1000道附答案原创 2023-04-07 13:50:29 · 1733 阅读 · 0 评论 -
一些常见网络安全术语
一些常见网络安全术语原创 2023-04-06 14:10:19 · 778 阅读 · 0 评论 -
网络安全书籍推荐+网络安全面试题合集
网络安全书籍推荐+网络安全面试题合集原创 2023-04-05 14:18:55 · 1298 阅读 · 0 评论 -
基于网络安全的 Docker 逃逸
基于网络安全的 Docker 逃逸原创 2023-04-04 13:52:41 · 337 阅读 · 0 评论 -
网络安全 hw 蓝队实战之溯源
网络安全 hw 蓝队实战之溯源原创 2023-04-03 14:37:25 · 911 阅读 · 0 评论 -
网络安全岗位面试题+学习路线
前言介绍了网络安全岗位常见的面试题,仅供参考!原创 2023-03-31 14:43:15 · 396 阅读 · 0 评论 -
【网络安全必备知识】本地提权漏洞分析
【网络安全必备知识】本地提权漏洞分析原创 2023-03-30 13:51:29 · 291 阅读 · 0 评论 -
网络安全之 SQL 注入深入分析
网络安全之 SQL 注入深入分析原创 2023-03-28 14:14:35 · 580 阅读 · 0 评论 -
网络安全 2023 年为什么如此吃香?事实原来是这样....
网络安全 2023 年为什么如此吃香?事实原来是这样....原创 2023-03-25 14:20:09 · 3712 阅读 · 0 评论 -
当下的网络安全行业前景到底怎么样?还能否入行?
当下的网络安全行业前景到底怎么样?还能否入行?原创 2023-03-24 14:07:22 · 2333 阅读 · 0 评论 -
网络安全 CTF 之最新网鼎杯解题思路
PEID 查不出来,用了 die,显示是 UPX3.96 的壳,用了脱壳机,脱不了,只能手动脱壳,拖入 x64dbg,F9 运行到程序领空,很明显的特征,push:无脑使用 ESP 定律大法,对 ESP 下硬件访问断点:F9 运行,在 pop 处停下:F4 运行到下面第一个 jmp,F8,进去又是一个 jmp,继续 F8,到达 OEP:使用 x64dbg 插件 dump:第一步先 dump 保存,然后第二步,第三步,第四步选择刚才 dump 保存的程序:脱壳成功,但是运行一闪而过,这是动态基址搞的鬼,手法很原创 2023-01-11 15:14:42 · 267 阅读 · 0 评论 -
【网络安全】如何在 Apache 安装开源 WAF
WAF 全称 Web Application Firewall,即 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品,跟网络防火墙的作用不同。WAF 的使用场景:例如服务器中有些安全性比较差的应用程序,比如旧版的 wordpress、discuz、phpwind 等,审计和修改全部代码比较麻烦,这时候最好的办法就是通过部署 WAF 来实现安全防护。原创 2023-01-08 17:07:11 · 367 阅读 · 0 评论 -
【网络安全】渗透工程师面试题总结大全
总结了一些面试题,大家看看吧!原创 2022-12-31 20:12:41 · 216 阅读 · 0 评论 -
网络安全实战之靶场渗透技术
靶机主要是从信息收集开始,发现是 flask 搭建的,然后使用 flask unsign 进行解密,暴力破解。接着使用枚举出的用户进行 FTP 登录,FTP 登录之后,下载 pdf 文件,发现管理员账号和密码规则,然后登录 FTP 管理员,接着下载压缩包,进行文件分析,发现可以使用 CVE-2021-23639 历史漏洞可以获取权限,在文件中发现存在 mysql 服务,接着进行权限提升,获取到了 root 文件。原创 2022-12-26 16:14:39 · 448 阅读 · 0 评论 -
【网络安全】SQL 注入新思维之 webshell 提权
大量的 hr 面试官都喜欢从 SQL 注入开始询问,所以留心了一下关于 SQL 注入的问题的频率。结果非常惊讶!不出意外的是--os-shell 名列榜首。比如这道题:SQL 注入 getshell 的方式?答:getshell 是指攻击者通过利用 SQL 注入获取系统权限的方法,Webshell 提权分两种:一是利用outfile 函数,另外一种是利用**--os-shell**;UDF 提权通过堆叠注入实现;MOF 提权通过"条件竞争"实现。原创 2022-12-24 20:33:11 · 843 阅读 · 0 评论 -
「网络安全入门」什么是网络安全
如今,组织的信息系统和数据面临着许多威胁。而人们了解网络安全的所有基本要素是应对这些威胁的第一步。网络安全是确保信息完整性、机密性和可用性(ICA)的做法。它代表了应对硬盘故障、断电事故,以及来自黑客或竞争对手攻击等防御和恢复能力。而后者包括从编程人员到能够执行高级持续威胁(APT)的黑客和犯罪集团的所有人,并且它们对企业的信息安全和业务构成严重威胁。因此,企业的业务连续性和灾难恢复规划对于网络安全至关重要,例如应用程序和网络安全。安全应该成为企业的头等大事,并得到高级管理层的授权。原创 2022-12-23 19:41:00 · 142 阅读 · 0 评论 -
网络安全必学 SQL 注入
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。原创 2022-12-17 16:29:13 · 603 阅读 · 0 评论 -
网络安全之从原理看懂 XSS
跨站脚本攻击 XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为 XSS,恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页面时,嵌入 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的,XSS 攻击针对的是用户层面的攻击;XSS 分为:存储型,反射型,DOM 型 XSS。原创 2022-12-16 15:48:50 · 235 阅读 · 0 评论 -
实战邮件攻击简要分析【网络安全】
再分配一段内存,大小为 0x136c(正是 kcblmjjlps 文件长度),调用 fread 读取文件内容到缓冲区 0xD00000,如下图所示,读取的正是 kcblmjjlps 实际内容。我们直接静态看: 0x841c,也可以看出 word.exe 真实的 EXE 长度其实就到这边了,后续带的都是附加的内容。CVE-2017-11882 漏洞由于稳定、效果好等特点,经久不衰,CVE-2017-11882 漏洞变异样本层出不穷。并运行,word.exe 运行后又释放 lvjudowop.exe 运行。原创 2022-12-15 17:02:16 · 202 阅读 · 0 评论 -
网络安全之 ARP 欺骗防护
MAC 地址是固化在网卡上的网络标识,由 Ieee802 标准规定。向同一个网段内的设备,发送数据包,广播 IP 地址是同网段最后一个 IP 地址。原创 2022-12-14 20:12:33 · 1646 阅读 · 0 评论 -
【网络安全必看】如何提升自身 WEB 渗透能力?
web 渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清 web 渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫 35 岁危机,,意思就是说 35 岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是 5-10 年,这没有 30、40 岁能有 10 年经验?网络安全好混,但不容易混得好。原创 2022-12-12 21:29:59 · 168 阅读 · 0 评论 -
网络安全之反序列化漏洞分析
条件一、方法名需要长于 4 条件二、不是静态方法条件三、以 get 字符串开头,且第四个字符需要是大写字母条件四、方法不能有参数传条件五、继承自 Collection || Map || AtomicBoolean || AtomicInteger ||AtomicLong 条件六、此 getter 不能有 setter 方法(程序会先将目标类中所有的 setter 加入 fieldList 列表,因此可以通过读取 fieldList 列表来判断此类中的 getter 方法有没有 setter)原创 2022-12-11 20:25:16 · 295 阅读 · 1 评论 -
零基础入门网络安全,收藏这篇不迷茫【2022 最新】
近收到不少关注朋友的私信和留言,大多数都是零基础小友入门网络安全,·需要相关资源学习。其实看过的铁粉都知道,之前的文里是有过推荐过的。新来的小友可能不太清楚,这里就系统地叙述一遍。原创 2022-12-11 20:14:56 · 140 阅读 · 0 评论 -
请问将来做网络安全工作还是先学习web安全还是二进制安全?(零基础~)?
二进制安全对学历要求稍微高一些,技术难度大,对高端人才需求量大,因此岗位会少一点。但是二进制安全的职业天花板也很高,随着年龄增长积累经验会有更好的发展。如果您是零基础的话,还是从web安全学起,先入门再提升技术毕竟web 对学历要求不是特别高,二进制的话可以往后学,两个方向精通是比较吃香的。Web安全对学历的要求不高,技术达到就可以,人才需求量大。原创 2022-12-08 15:43:06 · 506 阅读 · 0 评论 -
在网络世界中如何才能保护好自己的安全?
五彩斑斓的建筑,初三,人,地点,单车,从这些我们就知道博主当时是在广州塔附近,初三的样子,我们大概就能猜到博主当时的年龄在16左右,人没换,地点换了,就说明博主的家不在广州,可能是在广州上学或者来广州旅游,三辆单车,像这种发朋友圈的照片一般人都是齐了的,所以我们大胆猜测这里加上博主有三个人,当然确实是三个人,另外两个是我其中俩好兄弟,一条朋友圈就能知道这个人大概的一个信息,你说可不可怕?)女孩子同样,保护好自己信息安全。俗话说的好:知己知彼,百战百胜,知道了别人的进攻手法,你才能懂得该如何防范。原创 2022-12-08 15:36:03 · 251 阅读 · 0 评论 -
网络安全心得体会
在21世纪,网络已经成为人们日常生活的一部分,很多人甚至已经离不开网络。有了网络,人们足不出户便可衣食无忧。前些天刚从电视上看到关于年底网购火爆,快递公司也在“春运”的新闻。以前人们找东西得找人帮忙,现在人们找东西找网帮忙。记得有一次钥匙不知道放到了什么地方,就百度了一下“钥匙丢在那里了”,结果按照网友们提示的方案还真给找到原创 2022-12-07 15:55:54 · 1105 阅读 · 0 评论 -
c‘t‘f
CTF比赛介绍CTF(Capture The Flag,中文:夺旗赛)是网络安全领域中一种信息安全竞赛形式,起源于1996年。DEFCON全球黑给主办方,从而夺得分数。CTF竞赛模式具体分为以下三类:一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。二、攻防模式原创 2022-12-07 15:49:11 · 697 阅读 · 0 评论 -
2022最新版网络安全保姆级指南,手把手带你从0基础进阶网安工程师
网络空间安全真的这么火吗?零基础又该如何学习呢?已经在业内了,想要进阶又需要加强那些方向的能力?本篇内容我将为大家一一展开叙述。随着近几年我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地,网络安全行业地位、薪资随之水涨船高。根据中国网络安全产业联盟(CCIA)预计,网络安全市场未来三年将保持15%+增速,到2024年市场规模预计将超过1000亿元,由此可见行业未来将持续高速增张,人才缺口将进一步扩大。但是我们作为一个小白想转行网络安全岗位,或者是有一定基原创 2022-12-06 20:46:43 · 211 阅读 · 0 评论 -
网络安全面试题
以下为网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作)原创 2022-12-05 15:41:28 · 259 阅读 · 0 评论 -
黑客常用的10大工具
从事网络安全工作,手上自然离不开一些重要的网络安全工具。今天,分享10大网络安全工具。 Kali 是一个基于 Debian 的 Linux 发行版。它的目标就是为了简单:在一个实用的工具包里尽可能多的包含渗透和审计工具。Kali 实现了这个目标。大多数做安全测试的开源工具都被囊括在内。这个工具上手不算太难,因此他是很多入门网络安全的新人的最佳选择。 它是全球专业人士都喜欢使用的强大网络安全工具,通过扫描网络和识别关键漏洞来确保网络安全。超过15000个企业使用它来改进网络安全和软件交付。Burp Suite原创 2022-12-04 16:55:53 · 2671 阅读 · 0 评论 -
1000道网络安全面试题集锦
受限于文章篇幅,剩余的面试题,我以图片形式展示,需要的小伙伴可以评论区告诉我!原创 2022-11-27 22:18:31 · 702 阅读 · 0 评论 -
网络安全的基本概念
(1)网络安全网络安全指网络系统中的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包括:网络设备安全、网络软件安全和网络信息安全。凡是涉及到网络上信息保密性、完整性、可用性、可认证性、可控性和可审查性的相关理论和技术都是网络安全研究的范畴。那么这“6个特性”是什么意思呢?保密性:确保信息不被泄露或呈现给非授权的人。完整性:信息在传输和存储的过程中不丢失、不被修改和破坏。原创 2022-11-27 16:25:28 · 732 阅读 · 0 评论 -
网络安全的基础知识
缓冲区溢出攻击是一种系统的攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每个应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。从人的角度,威胁网络安全的因素有哪些?原创 2022-11-27 16:06:06 · 150 阅读 · 0 评论 -
零基础网络安全学习线路图
其实网络安全本身的知识点并不算难,但需要学的东西比较多,如果想要从事网络安全领域,肯定是需要系统、全面地掌握清楚需要用到的技能的。自学的方式基本是通过看视频或者相关的书籍,不论是什么方法,都是很难的,特别是对于一个刚准备进入这个领域的人来说,枯燥乏味的书籍和视频很难帮助我们持之以恒地学习下去,出现“三天打鱼两天晒网”的现象(如果你自控力OK,当我没说)原创 2022-11-26 16:18:33 · 271 阅读 · 2 评论 -
学网络安全的建议
忌钻牛角尖,特别是刚入门的什么都不了解的情况下,可能你花好几天研究的一个东西,人10分钟就能搞定,一定不要做,有问题多问,遇到问题不可怕,可怕的是你避而远之。如果可以,加入一个安全团队,多看看技术大佬们都在学什么、看什么,即使看不懂也能在面试时装个X。哪怕你不学网络安全,也请记住,学习过程中一定要勤动手,多敲敲代码,多练习,多做笔记,人的记忆力都是有限的,正所谓好记性不如烂笔头,别说什么你肯定能记住。记笔记是为了加深学习印象,日后复习也能更迅速、方便。原创 2022-11-26 15:07:02 · 476 阅读 · 0 评论 -
零基础如何学网络安全?
这些只是最基本的,毕竟列出来的这些都是基础知识点,还没有涉及到系统内部结构、网络编程、漏洞研发等。我大部分都看过,内容还算不错,留着也是占空间,就无偿分享了。5、熟悉Windows/Kali Linux(3周)1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)6、服务器安全配置(3周)3、渗透实战操作(5周)原创 2022-11-25 16:39:17 · 887 阅读 · 0 评论 -
这才是最系统的网络安全学习路线(建议收藏)
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,常见的技能需要学习:外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。脱离了这个基础,就很容易变成纸上谈兵,变成“知其然,不知其所以然”,在安全的职业道路上也很难走远。原创 2022-11-25 16:32:15 · 227 阅读 · 0 评论 -
新手如何学习网络安全?
除了这个方向,还有个未列出来的方向—安全管理方向,放心少年,这个方向你一时半会用不到,哪个公司傻乎乎的上来就让一个萌新去做安全管理?这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个Web安全路线图对新人是非常友好的,除此之外,我还给团队小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以在评论区告诉我!这个就跟当年高中文理分科一样,问啥要分,因为内容太多,不同的人擅长点不一样,学习的内容那么多,时间那么少,要么压缩内容,要么拉长时间。原创 2022-11-24 16:19:57 · 3321 阅读 · 0 评论