- 博客(1257)
- 收藏
- 关注
RSS订阅原创 漏洞挖掘技巧 ,利用缓存配置错误绕过鉴权,从零基础到精通,收藏这篇就够了!
虽然它们用的 Cookie/令牌都一样,但 Autorize 是马不停蹄地调用管理员端点,而我从 Repeater 发出的请求总要磨蹭一会儿。这样一来,每当管理员访问他们的后台,订单和客户信息就会被缓存几秒钟,而我的脚本就能趁虚而入,绕过所有的访问控制,把这些信息一锅端走!到了这个时候,我开始怀疑人生了,这肯定不是 Autorize 的锅,而是我忽略了什么关键的信息。有了这个发现,我写了一个简单的 Bash 脚本,让它一天 24 小时不停地请求!这个公开信息,偷走任何店铺的所有订单和客户信息!
2025-04-03 17:13:55
848
原创 Docker容器5大致命配置错误!从零基础到精通,收藏这篇就够了
构建安全的 Docker 容器,不仅是最佳实践,更是应对网络安全威胁的必要手段。一个精心设计的 Dockerfile,是安全、高效的容器化应用的基础。✅ 使用最小化、经过验证的基础镜像✅锁定依赖包版本,确保环境一致性✅避免使用 root 账户,降低权限提升风险✅使用多阶段构建,减少镜像体积并提升安全性✅密钥管理,避免将敏感信息泄露安全不是一蹴而就的,而是一个持续优化的过程。定期检查你的 Dockerfile,配合自动化安全扫描工具,才能确保你的容器安全无虞,为你的应用保驾护航!
2025-04-03 17:07:27
738
原创 敏感信息泄露漏洞整理,从零基础到精通,收藏这篇就够了!
目标读者:网络安全领域,想更上一层楼的同学。知识点清单(请各位大佬自检):(1)信息泄露案例,整明白了没?(√)(2)五花八门的泄露方式,都了解吗?(√)(3)泄露了会咋样,想过没?(√)(4)如何像老鹰一样,精准挖掘泄露点?(√)(5)用户隐私,保护好了吗?(√)(6)服务器老底,别被人摸清了!(√)一、信息泄露,这可不是闹着玩的!
2025-04-03 15:21:10
523
原创 漏洞复现Zabbix SQL注入漏洞(CVE-2025-42327),从零基础到精通,收藏这篇就够了!
企业级的分布式监控解决方案,监控各种IT资源,从服务器到网络设备,再到应用程序和服务,无所不能!但是,再厉害的管家也有疏忽的时候,这不,Zabbix前端上默认用户或者其他拥有API访问权限的角色,就可能被这个名为CVE-2024-42327的SQL注入漏洞给钻了空子!罪魁祸首就是addRelatedObjects 函数中的 CUser 类,它被 CUser.get 函数调用,而每个拥有 API 访问权限的用户都能访问这个函数,简直是防不胜防!因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
2025-04-03 15:12:59
861
原创 分享几个CVE漏洞复现,从零基础到精通,收藏这篇就够了!
漏洞复现,就像一场刺激的冒险,充满了未知和挑战。希望今天的“开箱”体验,能让你对网络安全有更深入的了解,也希望你能在未来的安全道路上,越走越远,成为真正的安全大佬!
2025-04-03 15:11:27
736
原创 分享云安全浪潮src漏洞挖掘技巧,从零基础到精通,收藏这篇就够了!
各位靓仔靓女们,大家好!最近沉迷于研究云安全漏洞挖掘,发现了不少骚操作。今天就来和大家分享一下,保证干货满满,都是我实战中挖出来的站点漏洞案例!本文将带你了解云安全的崛起以及未来可能遇到的各种问题。从多个角度,用大白话给大家讲讲云安全的优点、缺点,以及最重要的安全问题。毕竟,云安全最大的特点就是方便,但安全问题绝对不能掉以轻心!接下来,我会分享关于。
2025-04-03 13:43:19
643
原创 邮件钓鱼平台搭建以及基础使用场景,从零基础到精通,收藏这篇就够了!
现在红蓝对抗,邮件钓鱼越来越火了,简直是居家旅行、攻城拔寨必备良药!但是,项目周期短,还得统计数据,所以这次咱就玩点实在的,教你如何用和快速搭建邮件钓鱼平台,再来一场实战演练!好了,概念讲完了,咱们开始搭环境吧!
2025-04-02 16:49:16
1002
原创 网络安全界的“钢铁侠”——入侵防御了解一下,从零基础到精通,收藏这篇就够了!
你可以根据自己的网络和业务状况,配置签名过滤器,只对特定的攻击进行防御,避免被海量的攻击日志淹没。IDS只能检测攻击,但不能阻挡攻击,它就像一个“报警器”,只能发出警报,提醒你发生了危险。这种技术就像警察局里的“通缉令”,它会把网络流量跟已知的恶意流量特征进行比对,如果发现匹配的,就立刻发出警报。这种技术就像一个经验丰富的“侦探”,它会分析网络活动的“行为模式”,一旦发现有不正常的行为,就会怀疑是入侵。就像一道坚固的防线,能在漏洞被修复之前,帮你挡住那些“不怀好意”的攻击,保护你的网络安全!
2025-04-02 13:47:36
494
原创 手把手教你白嫖开源网络安全神器,从零基础到精通,收藏这篇就够了!
最近听到不少小伙伴吐槽,说网络安全市场现在是真不好混了,甲方爸爸们一个个精得跟猴似的,光靠卖盒子忽悠人那套已经不好使了。遥想当年,只要政策一响,盒子随便卖,现在呢?用户机房里各种安全设备堆成山,防火墙、终端安全管理,啥也不缺,。而且,更扎心的是,很多甲方爸爸也开始自我觉醒,安全意识蹭蹭往上涨,想忽悠他们,门都没有!之前的那些安全集成项目,效果嘛,呵呵,说多了都是泪,设备买回去就吃灰,运营效果基本为零。所以,我跟朋友说,咱们得换个思路,之前的那些坑,那些浪费,咱们得想办法弥补。
2025-04-02 13:44:07
894
原创 安全运维工程师必备的20种核心设备部署指南 99%的内容要掌握!从零基础到精通,收藏这篇就够了!
各位看官,在这个数字化时代,网络安全已经不是“可选项”,而是“必选项”!别再以为装个杀毒软件就万事大吉了,那是“皇帝的新装”!今天,咱就来聊聊网络安全工程师的20件核心装备,有了它们,才能在网络世界里横着走!
2025-04-02 13:43:03
903
原创 揭秘最为知名的黑客工具之一:Snort,从零基础到精通,收藏这篇就够了!
Snort凭借其强大的功能和灵活的配置,成为了网络安全领域不可或缺的工具。无论你是网络管理员、安全专家,还是渗透测试员,掌握Snort的使用技巧都将大大提升你的网络安全能力。它就像一位时刻在线的“网络安全钢铁侠”,能实时监控你的网络流量,揪出那些偷偷摸摸搞破坏的家伙,并采取措施保护你的网络安全。在开始安装Snort之前,先确保你的系统已经安装了必要的依赖项。,根据预先设定的规则,识别各种潜在的安全威胁,保护你的网络安全。各种配置选项,满足你的个性化需求,打造专属的安全方案。
2025-04-02 13:41:28
806
原创 40个漏洞挖掘实战清单,覆盖90%渗透场景!丛零基础到精通,收藏这篇就够了!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。实战的时候,一定要结合自动化工具(比如Burp Suite、SQLMap)和手动测试,最重要的是,因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。各位靓仔,搞网络安全的都知道,
2025-04-02 13:40:12
754
原创 揭秘最为知名的黑客工具之一:ClamAV,从零基础到精通,收藏这篇就够了!
ClamAV 就像一位默默守护你的“扫地僧”,它免费、开源、强大,能为你的设备提供可靠的安全保护。定期扫描、实时监控,再配合 ClamTk 的简易操作,让你轻松应对各种网络威胁。快来试试吧,让你的系统更安全!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划。
2025-04-02 10:16:37
768
原创 揭秘最为知名的黑客工具之一:Metasploit,从零基础到精通,收藏这篇就够了!
大家好,我是你们的网络安全老司机,今天咱们聊点刺激的!它可以帮助安全专家找出系统里的漏洞,并验证这些漏洞是否真实存在,从而提升系统的安全性。无论你是网络安全从业者,还是对安全感兴趣的小白,了解这些工具的原理和使用方法都非常有帮助。如果成功,你将看到一个 Meterpreter 会话,这意味着你已经成功控制了目标系统!因此,我们每个人都应该提高网络安全意识,保护好自己的系统!因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
2025-04-01 16:45:49
639
原创 揭秘最为知名的黑客工具之一:BeEF,从零基础到精通,收藏这篇就够了!
简单来说,就是通过控制你的浏览器,黑客可以为所欲为,比如偷你的小秘密,或者干脆给你电脑里塞点“惊喜”。BeEF 是一款非常强大的浏览器渗透测试框架,它就像一把瑞士军刀,拥有各种各样的工具,可以帮助你有效地检测和利用浏览器漏洞。点击目标浏览器,就可以查看详细信息,准备开始“宰鱼”。通过控制面板,你可以实时监控“鱼儿”的动向,还可以进行各种操作,比如把它的浏览器重定向到其他页面,或者注入一些“好玩”的脚本。在目标浏览器的详细信息页面,你可以选择各种攻击模块,比如“获取浏览器信息”,看看这条“鱼”都有啥秘密。
2025-04-01 16:44:24
640
原创 揭秘最为知名的黑客工具之一: Netcat,从零基础到精通,收藏这篇就够了!
网络管理员和安全专家都离不开它。无论是实时通信、文件传输,还是端口扫描、反向Shell,Netcat都能轻松搞定。学好Netcat,能让你更深入地理解网络协议和安全性,成为真正的网络高手!
2025-04-01 16:22:08
661
原创 Java之SpringBoot漏洞利用姿势合集总结详细版,从零基础到精通,收藏这篇就够了!
Spring 框架,江湖人称 Java 界的瑞士军刀,功能那是相当强大,目标是提供一个高效且可扩展的开发环境。。,提供了依赖注入(IoC)、面向切面编程(AOP)、数据访问和事务管理等神兵利器。Spring MVC。DispatcherServlet、注解驱动、视图解析,三大特性让你轻松驾驭 Web 开发。,基于 Spring Framework,自动配置、内嵌服务器、快速启动,让你告别繁琐配置。自动配置、内嵌 Tomcat、独立运行、Starter 依赖,四大金刚护体。
2025-04-01 15:25:21
1042
原创 近百条SRC挖掘思路清单,漏洞挖掘思路清单,从零基础到精通,收藏这篇就够了!
哥们儿,还在为SRC漏洞挖掘发愁吗?别慌!今天就给你整一份,保证你看了之后,挖洞就像开了金手指,直接起飞!这可不是随便瞎编的,都是实战经验总结,干货满满,助你成为漏洞猎手!
2025-04-01 15:09:43
472
原创 干货 - Xray POC编写指南,从零基础到精通,收藏这篇就够了!
还在为Xray POC编写头疼?别慌!这篇“食用指南”带你,轻松编写属于你的专属POC!🚀。
2025-03-31 17:28:17
716
原创 XXE外部实体注入:原理、利用与防御全解析,从零基础到精通,收藏这篇就够了!
话说,在网络安全界,有个神秘的漏洞,名叫 XML 外部实体注入(XXE)。它就像一个潜伏在暗处的刺客,一旦得手,就能让你的服务器瞬间“裸奔”,各种敏感文件、内网服务,甚至你的“小秘密”,都可能被一览无余!今天,咱们就来扒一扒 XXE 的底裤,从原理、攻击手法到防御方案,再到实战案例,保证让你看完直呼内行!XML 是一种以树形结构来传输和存储数据的格式,就像一个“变形金刚”,可以根据你的需要,灵活地定义各种数据结构。不信?你看:XML 和 HTML 有啥不一样?DTD(文档类型定义)就像 XML 的“紧
2025-03-31 13:55:28
707
原创 还在苦恼Windows提权?这篇超详细总结,从零基础到精通,收藏这篇就够了!
UAC(User Account Control),用户帐户控制,是Windows Vista及以上版本引入的安全机制,它要求用户在执行可能影响系统安全的操作前,必须提供管理员权限或密码。令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源。令牌最大的特点就是随机性,不可预测。所谓的烂土豆提权就是俗称的MS16-075,其是一个本地提权,是针对本地用户的,不能用于域用户。
2025-03-31 13:52:25
1050
原创 JNDI 注入:从零基础到精通,收藏这篇就够了!
在 Oracle JDK 11.0.1、8u191、7u201、6u211 之后,属性的默认值也被调整为 false,还被分配了一个漏洞编号 CVE-2018-3149。根据的值是否为 true 来进行判断,它的值默认为 false。jdk8u191 之后的版本通过添加trustURLCodebase 的值是否为 true这一判断语句,让我们无法加载 codebase。
2025-03-31 11:30:01
552
原创 盘点网络安全圈的那些神兵利器,从零基础到精通,收藏这篇就够了
它就像一个Kerberos协议的“终结者”,能发起各种Kerberos请求,并将请求的票据导入内存中,模拟针对Kerberos协议各个阶段的攻击。有了它,你可以用Python对SMB1-3,或者IPv4/IPv6上的TCP、UDP、ICMP、IGMP、ARP、IPv4、IPv6、SMB、MSRPC、NTLM、Kerberos、WMI、LDAP等协议进行“为所欲为”的低级编程访问。不过,需要注意的是,巡检是基于基础的域内安全规则,并不能使域内达到完美的安全性,只能作为参考。直接看Kekeo模块的详细介绍吧!
2025-03-29 16:20:49
917
原创 云服务器网站劫持的那些坑和自救指南,从零基础到精通,收藏这篇就够了!
各位老铁,有没有遇到过这样的糟心事儿:明明想打开自己的网站,结果Duang的一下,蹦出来一个莫名其妙的页面?今天,就让咱这网络安全界的“老中医”,来跟大家聊聊云服务器网站劫持的那些事儿,保证让你看完之后,腰不酸了,腿不疼了,网站也安全了!网站劫持,说白了就是黑客大哥们用一些“黑科技”,强行控制你的网站,让你原本的流量跑到他们的地盘上。进入官网,点击首页右上角的【网站监控】,输入你的域名,点击【提交测试】。黑客疯狂生成一堆子域名,全部指向非法网站,搜索引擎一看,这网站不正经啊,直接给你降权!
2025-03-29 15:51:40
1015
原创 网络安全大佬都在偷偷用的黑科技神器,从零基础到精通,收藏这篇就够了!
了解这些黑科技硬件,能让你在网络安全的世界里更加游刃有余。记住,技术是把双刃剑,一定要用在正道上哦!遵守相关法律法规,做个守法好公民。获取必要的授权,不要乱搞事情。确保使用场景合规,不要触碰法律红线。免责声明:本文纯属技术分享,请勿用于非法用途,否则后果自负!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
2025-03-29 11:26:27
1067
原创 数据安全策略10个要点解析,从零基础到精通,收藏这篇就够了!
数据安全不是一蹴而就的事儿, 得持续投入、不断改进。只有把这10个要素都做到位了, 才能真正打造一个坚不可摧的数据安全堡垒!
2025-03-28 17:32:27
1008
原创 网络安全五大“坑”,踩一个就GG!(附避坑指南)从零基础到精通,收藏这篇就够了!
当Web应用需要操作数据库时,如果不对用户输入的参数进行严格过滤,攻击者就可以构造恶意的SQL语句,直接交给数据库执行,从而获取或修改数据库中的数据。攻击者在网页里埋伏恶意脚本(通常是JavaScript),等你用浏览器打开这个网页,恶意脚本就会在你浏览器里“搞事情”,实现跨站攻击。简单来说,就是先给SQL语句“定型”,然后再把用户输入“填进去”,这样无论用户输入什么,都不会改变SQL语句的结构。如果服务器没有对上传的文件进行严格的验证和过滤,攻击者就可以上传恶意的脚本文件,从而获取执行服务端命令的能力。
2025-03-28 17:29:22
1021
原创 网安老司机教你用Wireshark,一键揪出网络“内鬼”从零基础到精通,收藏这篇就够了!
电脑卡成PPT?游戏延迟爆炸?视频加载转圈圈?别再盲猜是服务器的问题啦!今天咱就用。
2025-03-28 17:27:00
796
原创 K8s 安全生存指南:黑客攻防实战 11 式,从零基础到精通,收藏这篇就够了!
云原生应用程序有一组更精细的轻量级安全基元,为工作负载和基础设施确保安全。但安全不是一蹴而就的,需要不断学习和实践。快速迭代安全措施,持续验证,才能确保你的 K8s 集群安全无忧!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图。
2025-03-28 13:47:17
649
原创 超详细的Wireshark的抓包和分析,从零基础到精通,收藏这篇就够了!
还在靠抓包工具吭哧吭哧分析网络问题?OUT啦!今天就来聊聊网络安全界的“显微镜”——。这玩意儿可不是简单的抓包工具,它能把网络世界的数据包扒得底裤都不剩,让你看得明明白白!无论是定位网络故障,还是分析恶意流量,Wireshark 都是你居家旅行、摸鱼必备之良品。。别再对着一堆按钮发呆了,秒懂每个区域的功能!。从入门到入土,啊不,是入门!学会抓包,才能开始分析嘛。。数据包太多?不存在的!用过滤器精准定位你想分析的内容,效率提升 N 倍!包括按照协议、端口、主机名,甚至数据包内容进行过滤。
2025-03-28 11:30:03
770
原创 Windows安全运维工程师私藏的DOS命令,从零基础到精通,收藏这篇就够了!
还在对着黑乎乎的命令行发愁?别慌!今天咱就来扒一扒Windows系统下那些让安全运维工程师爱不释手的DOS命令。这可不是什么过时的玩意儿,关键时刻能帮你快速定位网络安全问题、排查系统风险,简直是居家旅行、安全运维必备良药!
2025-03-27 15:50:03
633
原创 网络安全漏洞分析,从零基础到精通,收藏这篇就够了!
今天,就给大家带来一份“武功秘籍”,系统化拆解无PoC/Exp漏洞的分析方法,尤其针对开源软件,从漏洞挖掘到补丁逆向,再到PoC构造和修复方案设计,手把手教你练成绝世神功!但很多漏洞并没有这样的待遇(主要取决于漏洞发现者的心情),或者漏洞虽然被通报,但产品更新和升级需要很长时间,因此会产生漏洞爆出后的漏洞利用窗口期(平均是1.5年左右)。为了验证漏洞的存在,我们需要编写PoC(PoC的核心是模拟攻击,验证漏洞的可利用性,但并非攻防中实际利用的方式)。任何新的漏洞出现后,都需要能够对其进行初步的分析和复现。
2025-03-27 10:55:39
711
原创 盘点网络安全江湖五大注入攻击类型,从零基础到精通,收藏这篇就够了!
XML注入,就是通过向XML数据中插入恶意内容,来操控XML解析器的行为。攻击者可以插入额外的XML节点,导致数据泄露或系统崩溃。LDAP注入,就是通过向LDAP查询中插入恶意代码,来操控LDAP服务器的行为。温馨提示:LDAP注入的原理类似于SQL注入,都是通过构造恶意的查询语句来达到攻击目的。注入攻击,就像网络安全江湖里的“五毒”,防不胜防。作为开发者,我们必须时刻保持警惕遵循安全编码实践,才能确保应用程序的安全。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍。
2025-03-26 17:27:57
912
原创 5分钟带你解锁云安全管理体系的正确姿势,从零基础到精通,收藏这篇就够了!
各位小伙伴们,还在为云安全架构体系、云安全服务体系、云安全技术体系和云安全支撑体系抓耳挠腮吗?今天,我就用5分钟,带你彻底搞懂云安全的那些事儿,让你在茶余饭后也能轻松hold住这个热门话题!云安全架构模型,就是把云安全需要关注的重点,和云计算的实现框架紧密结合,让你对资源和服务进行更系统、更全面的安全分析。针对SaaS、PaaS和IaaS这三种不同姿势,哦不,不同层次的技术需求,进行精准打击!由于用户缺乏安全管理和举证能力,需要云服务商提供必要的支持,第三方审计也具有重要的参考价值。
2025-03-26 10:01:45
579
原创 2025年,这三大勒索软件巨头要搞事情,从零基础到精通,收藏这篇就够了!
在加密文件之前,还会扫描系统,收集信息,包括系统配置、存储设备、网络共享资源等等,以便更好地进行攻击。3、加密文件之前,它们会扫描你的系统,收集各种信息,然后用一些“合法”的工具(比如rclone)把敏感数据上传到远程服务器。一旦你的系统被感染,桌面壁纸立马变成勒索信,告诉你:我们不仅加密了你的数据,如果你不给钱,我们还要把偷来的数据公布在公共网站和暗网上!感染、勒索、锁屏,三合一!会在数据同步完毕的同时断开数据访问路径,阻断勒索软件在系统内传播的可能,保证备份数据拷贝副本不可加密、不可篡改、不可删除。
2025-03-25 17:53:15
548
原创 DeepSeek 预测:未来十年,这 10 大金饭碗岗位,你准备好了吗?从零基础到精通,收藏这篇就够了!
想知道未来十年哪些行业能让你吗?别再猜了!我直接请教了最近火爆的 DeepSeek 大模型,让它来给大家指点迷津。DeepSeek 可是 AI 界的“预言家”,它推荐的这 10 大高薪潜力股,赶紧码住,早做准备,下一个升职加薪的就是你!
2025-03-25 16:04:42
603
原创 手把手教你用代码演示网络安全界的“葵花点穴手”:XSS攻击,从零基础到精通,收藏这篇就够了!
XSS攻击就像网络世界里的牛皮癣,防不胜防。这是最有效的防御手段,就像给你的网站穿上防弹衣!🛡️就像不要随便吃陌生人给的糖果!🍬就像给你的电脑打疫苗!💉记住:网络安全,人人有责!💪黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图。
2025-03-25 14:53:46
820
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人