- 博客(139)
- 收藏
- 关注
RSS订阅原创 入门转行网络安全,实现自己“黑客梦”,看完这篇劝你再想想
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!网络安全产业就像一个江湖,各色人等聚集。
2025-03-19 10:33:14
852
原创 Kali Linux 安装步骤(非常详细),零基础入门到精通,看这一篇就够了
本期主要学习了Kali的基本信息和Kali安装Kali与CentOS的指令有一点点不同,在使用指令时要注意在进行root用户密码修改时一定要切换到root用户,要注意这里第一次修改密码时用的指令,会要求先输入kali用户的密码,然后再设置root用户的密码,两次,后面切换root用户时用的sudo su指令,会要求输入kali的密码,而不是输入root的密码在用XShell连接Kali时,一定要先设置Kali允许远程连接物理机安装是指开机可以直接启动kali系统。
2025-03-19 10:30:20
746
原创 2025网络安全工程师好就业吗?还能入行吗
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2025-03-19 10:28:33
705
原创 30岁了,想转行网安从头开始,我还有机会吗?
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2025-03-19 10:20:42
619
原创 【网络安全】接私活的4个渠道,年包50w!
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2025-03-14 22:00:21
817
原创 【网安】渗透测试教程(非常详细),0基础从入门到精通,看完这一篇就够了!
渗透测试分为多种类型,包括但不限于黑盒测试、白盒测试和灰盒测试,还可以根据渗透测试过程中人工参与程度的不同,分为传统渗透测试和自动化渗透测试。自动化渗透测试在一定程度上克服了传统渗透测试的弊端。
2025-03-14 21:57:35
624
原创 SRC漏洞挖掘实战指南:掌握这些思路月入过万不是梦
在各大企业安全应急响应中心(SRC)平台上,每天都有白帽子通过提交高危漏洞获得丰厚奖金。本文将揭秘专业安全研究员的实战方法论,教你从"青铜"到"王者"的进阶之路。一、SRC漏洞挖掘黄金法则1. 目标筛选三要素- 优先选择新上线业务系统(上线3个月内)- 关注企业重点业务(支付/会员/核心API)- 深挖历史漏洞关联系统(同域名/子域)2. 漏洞权重金字塔高危漏洞(权重80%):垂直越权、支付逻辑漏洞、SSRF打内网中危漏洞(权重15%):存储型XSS、敏感信息泄露。
2025-03-14 21:51:34
486
原创 学了三个月找到了工作?网络安全(黑客)自学
在当今的数字时代,网络犯罪变得越来越普遍,给个人、企业和政府造成了巨大的经济损失。因此,随着企业寻求保护自己免受这些威胁,网络安全经历了快速增长。不断变化的网络威胁,包括复杂的黑客技术和勒索软件攻击,需要具有最新知识和专业知识的高技能劳动力。网络平台和互联设备的激增扩大了攻击面,企业和个人认识到需要熟练的专业人员来保护敏感信息。学习识别漏洞、实施强大的安全措施,以及制定主动策略来抵御网络攻击的先进技术。
2025-03-14 21:50:26
797
原创 人生苦短,转行程序员要趁早
最近有朋友咨询关于如何自学编程语言的问题,发现要回答这个问题,不是一俩句就可以回答清楚并减少当事人的困惑和迷茫。笔者不知道提问者是问的学习方法还是学习路径,所以特此写一篇文章,斗胆表达一下我对自学编程的一点点看法,希望能帮助到想要学编程,转行学编程,正在学编程的朋友们,包括我自己。
2025-03-12 19:31:26
760
原创 2025最新:网络安全软件大合集,零基础入门到精通,收藏这一篇就够了
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。Total-Uninstall软件卸载管理软件。
2025-03-12 19:11:29
1310
原创 【2025零基础入门学网络安全】基础复盘,看这篇就够了
网络安全指网络系统中的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2025-03-11 10:52:41
809
原创 解答:30岁转行网络安全来得及吗?有发展空间吗?40岁转网络安全专业好吗
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。目前,市场对于网络安全工程师的需求量非常大,有经验的网络安全工程师可谓是一将难求。
2025-03-11 10:38:28
781
原创 MSSQL DBA权限获取WEBSHELL的过程
本文主要通过一个案例来演示一下当MSSQL是DBA权限,且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。我测试的环境是在Win7 64位下,数据库是SQLServer 2000,IIS版本是7.5,程序是采用风讯的CMS。后台登录后有多处注入,因为这里是演示用注入获取WEBSHELL,因此就不考虑后台上传的情况了,只是用注入来实现。这里一共有三个小的知识点:1.sa用户如何开启xp_cmdshell1234,1;//允许修改高级参数,1;
2025-03-11 10:34:44
920
原创 【2025最新】web安全学习指南(红队安全技能栈)网络安全技能技术栈
依照红队的流程分工,选择适合自己的技能栈发展。越接近中心的能力点越贴近web技术栈,反之亦然。可以根据自身情况,选择技术栈的发展方向。
2025-03-11 10:33:06
937
原创 【2025最新】渗透测试零基础入门教程,带你入门到精通(超详细),从看这篇开始!
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-11 10:25:59
1039
原创 记一次简单的微信洗车小程序渗透学习
本次渗透过程中,通过抓包,流量包重放等,分别学习了未授权访问、任意文件上传、任意用户登录伪造漏洞,此次测试的小程序漏洞较多,危害较大。接下来我将给各位同学划分一张学习计划表!
2025-03-10 20:29:30
791
原创 后门函数技术在二进制对抗中的应用
本次题目跟第七届HWS线下的re2有类似的地方,均有后门函数。可以理解为:我们只需要修改某个字节或某个函数,就可以将加密的过程变成解密的过程,大大节省逆向成本。本题先对内置的dll进行解密,然后调用其加密函数对我们的txt进行加密,如果我们将加密的函数nop为解密函数,就可以直接解密,类比与RC4动态解密技术。本题的一大亮点就是有 访问0地址的异常反调试,小伙伴们在做的时候有没有发现调试异常艰难呢故意访问0地址。
2025-03-10 20:26:49
838
原创 大模型隐私泄露攻击技巧分析与复现
大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。此外,模型在推理时有时会无意中回忆起训练数据中的敏感信息,这一点也引发了广泛的关注。隐私泄露的风险主要来源于两个方面:一是数据在传输过程中的安全性,二是模型本身的记忆风险。在数据传输过程中,如果没有采取充分的安全措施,攻击者可能会截获数据,进而窃取敏感信息,给用户和组织带来安全隐患。
2025-03-10 20:22:37
1024
原创 从零起步:30岁转行网络安全的实战指南
当你决定在30岁转行进入网络安全领域,那感觉就像突然跳进了深不见底的大海,既兴奋又有点怕水。但别担心,这条路上并不孤单。下面,咱就聊聊怎么一步步走向成功。
2025-03-10 20:19:53
742
原创 2025版最新黑客最常用的10款黑客工具,零基础入门到精通
以下所有这些工具都是捆绑在一起的Linux发行版,如Kali Linux或BackBox,建议安装一个合适的Linux黑客系统,尤其是因为这些黑客工具可以(自动)更新。
2025-03-08 20:03:22
866
原创 一文读懂网络攻击防御,筑牢安全运维防线
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-08 20:01:08
1010
原创 0基础该如何转行网络安全?值得吗?
只要你是真心想学黑客/网络安全技术,我这份资料就可以无偿共享给你学习,但是想学技术去乱搞的人别来找我,目前全球网络环境日益紧张,我国在这方面的相关人才比较紧缺,网络安全行业确实也需要更多的有志之士加入进来,我也真心希望帮助大家学好这门技术,如果日后有啥学习上的问题,欢迎找我交流。总的来说,大家主要的问题是:0基础真的能学会吗?挖SRC的主要目的是能够更好的检测你的技能是否落到实处,学习网络安全最大的错觉就是觉得自己什么都懂了,但是当你真的挖漏洞的时候,就不知所措了,因此,SRC是一个不错的技能应用机会。
2025-03-08 19:59:34
670
原创 Java开发者转岗网络安全:如何利用编程优势快速入门
巩固Java能力,补足网络安全基础。:利用Java技能进行漏洞挖掘与工具开发。:成为安全研发或红队专家。通过以上路径,你可以充分发挥Java开发者的技术优势,快速切入网络安全领域。。遇到难题时,可参考已公开的Java漏洞利用代码(如GitHub上的Exploit-DB),逐步构建自己的安全知识体系。接下来我将给各位同学划分一张学习计划表!
2025-03-08 19:56:07
461
原创 《普通人如何靠「网络安全」月入过万?这3个关键点,比你想象的简单》
为什么劝你一定要接触网络安全?互联网时代的刚需:数据泄露成常态(某平台用户信息被卖,单条5毛钱),企业每年因安全漏洞损失超百亿。低门槛高回报:不懂代码也能做「渗透测试员」,会用Wireshark就能抢银行安全岗!一线城市薪资普遍1
2025-03-08 19:53:52
766
原创 Hack the Box 靶场练习-INSANE-ArtificialUniversity
admin/xxx时其过程就是firefox以admin的身份访问http://127.0.0.1:1337/admin/xxx.pdf,因为是模拟的浏览器操作再加上#作为片段标识符"…/admin/xxx#"浏览器会截断后面的内容,以此实现admin身份触发http://127.0.0.1:1337/admin/xxx接口的内容。结合前面的/checkout/success接口,可实现访问admin接口的完整利用/checkout/success?请求的pdf,关键payload如下所示。
2025-03-07 21:10:57
819
原创 100多道!网络安全岗位面试题合集(含答案
随着国家对网络安全的重视度,促使这个职业也变得炙手可热,越来越多的年轻人为进入安全领域做准备。数以百计的面试,为何迟迟无法顺利入职?能力无疑是至关重要的,可却有不少能力不比已入职的同事差却应聘失败的人,那到底该如何做呢?为了帮助大家更快地拿到心仪Offer,给大家分享一份,一共有上百道面试真题,望它们能够帮助大家在面试中,少走一些弯路、更快拿到offer!
2025-03-07 21:10:23
577
原创 5个适合初学者的初级网络安全工作
由于网络安全攻击可能在任何地方、任何时间发生,招聘网络安全工作的雇主从大公司到小企业主,涉及各种行业。有兴趣转入网络安全职业吗?继续阅读,了解更多可能适合你的初级网络安全工作类型。
2025-03-07 21:07:02
749
原创 【网络安全】「漏洞原理」二:SQL 注入漏洞之理论讲解
本篇博文是《从0到1学习安全测试》中漏洞原理系列的第二篇博文,主要内容是介绍在 SQL 注入过程中如何进行信息搜集,以及实操基础的入门注入和一些常用绕过注入,往期系列文章请访问博主的安全测试专栏;严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。
2025-03-07 21:01:47
724
原创 【网络安全】「漏洞原理」SQL 注入漏洞之概念介绍
SQL 注入(SQL Injection)是一种常见的网络攻击技术,它利用应用程序对用户输入数据的处理不当,向数据库中注入恶意代码,从而达到攻击数据库的目的。通常情况下,应用程序接收用户输入数据,将其作为参数传递给数据库执行 SQL 查询语句。如果应用程序没有正确地过滤和验证用户的输入,攻击者就可以通过构造恶意输入,将 SQL 代码注入到查询语句中,从而执行恶意操作,比如删除、修改或者泄露数据库中的敏感信息。这个查询语句中的OR 1=1将始终返回True。
2025-03-07 21:00:40
866
原创 springboot如何防止xss攻击,使用mica-xss
跨站脚本攻击(Cross-Site Scripting,简称 XSS)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中执行恶意脚本。这种攻击发生在当一个网站允许攻击者将恶意代码注入到向其他用户展示的页面中时。XSS 攻击的本质是 “注入”:攻击者在网站的页面中注入恶意的 HTML 或 JavaScript 代码,这些代码随后会被受害者的浏览器执行。XSS 攻击的危害包括但不限于:窃取用户的 cookies 和会话令牌、模拟用户进行操作、重定向到恶意网站、插入广告等。
2025-03-06 14:47:21
649
原创 2024最全CTF入门指南(建议收藏)零基础小白如何入门CTF,看这一篇就够了(附学习笔记、靶场、工具包)
*MISC(安全杂项):**全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目,都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
2025-03-06 14:46:21
871
原创 2025年黑客最常用的网络安全热门工具
**1-*CQTools***最新的 Windows 黑客工具包。从嗅探和欺骗活动开始,通过信息搜集、密码提取、自定义外壳程序生成、自定义有效载荷生成、防病毒解决方案、隐藏代码,各种键盘记录程序等等,该工具包可以在基础架构内进行全面的攻击,并利用这些信息进行再攻击。其中一些工具是 CQURE 团队首次向世界公开发布的。用于 Shell 命令执行,可视化和警报的工具(使用简单的 YAML 文件配置)。
2025-03-06 14:44:39
859
原创 【网络安全入门】学习网络安全必须知道的100 个网络基础知识
链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。
2025-03-06 14:41:39
566
原创 【网络安全】浅谈数据库攻击复现及相关安全优化
4、准备数据库服务器为了安全正式环境应该把数据库单独放一台服务器,只允许让应用服务器 IP 来访问数据库服务器,通过独立两者,就算其中一台发生问题,另一台也是好的,进一步降低了危险性。5、定时备份数据库开发定时备份功能,可以使用 Crontab,或者其他框架,设定周期备份数据,哪怕是数据丢失或被删除也可以快速恢复。
2025-03-06 14:40:25
886
原创 sql注入分析+sql注入 脚本开发(基础篇)
简介:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
2025-03-05 10:58:21
1008
原创 谁能比我细---秒懂Http请求走私
首先我们需要了解下http1.1的特性,它是应用层的协议,这个不用多说在http1.1时代,每个http请求都需要打开一个tcp连接,keep-alive可以改善这种状态,提高利用率,即一个长连接,在一次TCP连接后不断开连接。HTTP1.0的时候没有长连接这个概念,后来引入了长连接并通过实现。但HTTP1.1的规则中,所有HTTP报文都必须是持久的,除非特意加上,但实际中很多服务器和浏览器还保留着在1个Tcp连接中发送多个请求HTTP包的一个标头,用来指明发送给接收方的消息的大小传输编码。
2025-03-05 10:56:20
766
原创 sql注入分析+sql注入 脚本开发(基础篇)
简介:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
2025-03-05 10:55:49
870
原创 DedeBIZ系统 审计小结
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-05 10:54:44
730
原创 Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica JDBC 驱动程序根据通过连接属性提供的类名来创建 HTTP 客户端实例;但是在驱动程序实例化之前不会验证该类是否实现了预期的接口,这样一来就会导致可以通过调用任意类来执行代码。执行这个漏洞并造成一定的危害性,还需要两个先决条件:必须拥有控制 JDBC 连接参数的权限类路径中有一个具有 URL 参数和执行代码能力的函数(目前需要自己构造)
2025-03-05 10:53:58
546
原创 【网络安全】浅谈数据库攻击复现及相关安全优化
4、准备数据库服务器为了安全正式环境应该把数据库单独放一台服务器,只允许让应用服务器 IP 来访问数据库服务器,通过独立两者,就算其中一台发生问题,另一台也是好的,进一步降低了危险性。5、定时备份数据库开发定时备份功能,可以使用 Crontab,或者其他框架,设定周期备份数据,哪怕是数据丢失或被删除也可以快速恢复。
2025-03-05 10:52:19
992
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人