- 博客(3520)
- 收藏
- 关注
RSS订阅原创 XSS插入绕过一些方式总结,零基础入门到精通,收藏这篇就够了
我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。
2025-11-25 11:15:00
1172
原创 网络安全合规-数据安全风险评估,零基础入门到精通,收藏这篇就够了
全国信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》,该《实践指南》给出了网络数据安全风险评估的评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息 保护等方面评估安全风险。数据安全应急响应评估:评估企业的数据安全应急响应能力,包括应急预案、应急响应流程、应急人员、应急设备等方面的评估。数据安全管理评估:评估企业的数据安全管理体系是否健全,包括数据安全政策、流程、人员、技术等方面的评估。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
2025-11-25 09:38:07
241
原创 服务器常见的网络攻击以及防御方法,零基础入门到精通,收藏这篇就够了
网络内部的威胁,网络的滥用,没有安全意识的员工,黑客,骇客。C/S 架构,服务器端被植入目标主机,服务器端通过反弹连接和客户端连接。从而客户端对其进行控制。一些恶意的计算机程序,具有传播性,破坏性,隐蔽性的特点。**侦查攻击:**搜集网络存在的弱点,以进一步攻击网络。分为扫描攻击和网络监听:扫描攻击有端口扫描,主机扫描,漏洞扫描。**:**主要指只通过软件将使用者计算机网卡的模式置为混杂模式,从而查看通过此网络的重要明文信息。
2025-11-25 09:37:04
300
原创 工业控制系统网络安全防护指南,零基础入门到精通,收藏这篇就够了
14.严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。13.应用第五代移动通信技术(5G)、无线局域网技术(Wi-Fi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。
2025-11-25 09:35:12
150
原创 物联网网络安全详解,零基础入门到精通,收藏这篇就够了
物联网()指通过互联网将物理设备(如传感器、终端设备、嵌入式系统等)连接起来,实现数据采集、传输、处理及智能控制的网络体系。其核心是物物互联与数据驱动感知层:通过传感器/RFID等获取物理世界数据。网络层:利用无线/有线协议(如Wi-Fi、LoRa、5G)传输数据。应用层:数据分析、云计算、AI决策等。设备身份认证(Device Identity Authentication)是网络安全中用于验证设备身份合法性的过程,确保只有授权设备能够访问网络或资源。
2025-11-25 09:32:58
365
原创 互联网安全笔记,零基础入门到精通,收藏这篇就够了
假设我们可以为网络节点分配层次结构,使得核心节点具有最低级别,边缘节点具有最高级别,无谷流量流以非递增的级别顺序遍历节点,直到到达最内层节点,从那一点开始以非递减级别的顺序遍历节点。将自治系统之间的链接编号为(+1,0,-1)(provider, peer, customer)。无谷路径具有一系列 +1,后跟最多一个 0,然后是一系列 -1。Step路由属性优说明1WEIGHT高本地权重配置2LOCAL_PREF高iBGP间交换,确定本AS内出口点3本路由器起源的路径优先4低。
2025-11-25 09:31:18
311
原创 网络空间安全学习路线,零基础入门到精通,收藏这篇就够了
网络协议:学习OSI七层模型、TCP/IP协议栈、HTTP/HTTPS、DNS、ARP等协议。· 操作系统:掌握Windows和Linux系统管理,包括文件系统、权限机制、Shell命令等。· 编程语言:选择Python、C/C++或JavaScript,用于自动化脚本、漏洞分析和Web安全研究。· Web安全:学习OWASP Top 10漏洞,使用Burp Suite、SQLMap等工具进行漏洞挖掘。1.Web安全:深入研究RCE、SSRF等高级漏洞,学习Spring、Django等框架漏洞。
2025-11-25 09:29:35
501
原创 信息安全数学基础知识汇总,零基础入门到精通,收藏这篇就够了
黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,需要点击下方
2025-11-25 09:26:16
317
原创 SQL注入基本原理&&靶场实现,零基础入门到精通,收藏这篇就够了
SQL注入漏洞(SQL injection)是WEB层面高危的漏洞之一,也是常见的攻击方式。
2025-11-25 06:00:00
430
原创 web服务器攻击的八种方式,零基础入门到精通,收藏这篇就够了
这种技术是利用一些论坛存在的安全漏洞来进行服务器攻击,上传ASP木马获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马,获得网站的WEBSHELL。这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站进行服务器攻击,拿到权限之后转而控制服务器的其它网站。大家最喜欢也是最关心的。
2025-11-25 03:15:00
641
原创 一文剖析SRC漏洞挖掘,零基础入门到精通,收藏这篇就够了
指在安全应急响应中心框架下公开披露的系统安全缺陷。想象一位数字空间的猎人,持续追踪系统防线中的薄弱环节。
2025-11-24 15:23:19
927
原创 常用渗透测试工具使用tips,零基础入门到精通,收藏这篇就够了
(6)beef (抓了包,从包上看是带有beef指纹的,但是内容是加密的,具体的原理要看代码才能知道了https://github.com/beefproject/beef)前几日,对常用的渗透测试工具摸了一把,主要是针对sql注入和XSS,抓了些包,现在把常用渗透测试工具使用时候的应该注意的东东记录了下来,年纪大了,不写容易忘~(这个配置也非常的恶心,尤其是表单认证内容,拿DVWA做测试,web.spider爬取的内容有问题,全站爬取,不会从指定起始页码爬起)
2025-11-24 15:17:58
609
原创 推荐好用的XSS漏洞扫描利用工具,零基础入门到精通,收藏这篇就够了
toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。
2025-11-24 15:07:28
557
原创 服务器病毒木马通用排查处理应急响应流程,零基础入门到精通,收藏这篇就够了
如果发现大量统一后缀的文件;发现勒索信在Linux/home、/usr等目录,在Windows 桌面或者是被加密文件的文件夹下。如果存在以上特征情况,证明感染了勒索病毒并且已经发作。此时禁止插入U盘或者是硬盘等移动设备,因为部分勒索病毒可能会感染移动存储设备,盲目插入U盘或硬盘会使数据被加密,进一步扩大感染的范围。(一)当在确定感染勒索病毒后,我们首先要对感染的服务器或终端进行断网隔离处理。采取以下措施:1.已感染的用户,禁用网卡,同时拔掉机器的物理网线。(Linux中。
2025-11-24 11:34:23
801
原创 勒索病毒应急响应,零基础入门到精通,收藏这篇就够了
勒索病毒,是一种伴随数字货币兴起的病毒木马,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒,被感染者是无法解密的,必须拿到解密的私钥才有可能破解。勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。
2025-11-24 09:53:39
824
原创 网站web入侵思路(详细篇),零基础入门到精通,收藏这篇就够了
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。不过自己要明确的是一点 也就是说要明确的知道自己的建站目的也用途,比如门户站点程序 就可以选择 phpcms、织梦、帝国 等比较知名的网站程序 然后自己在做一些简单的修改就可以了。这里个人就对注入漏洞的防御做一下简单的描述。
2025-11-24 09:45:08
594
原创 网络攻击 —— WEB脚本入侵攻击,零基础入门到精通,收藏这篇就够了
数据库弱口令连接人侵,攻击者通过扫推得到的弱口令,利用数据库连接工具直接连接到目标主机的数据库上,并依靠数据库的存储过程扩展等方式,添加后门账号、执行特殊命令。但由于上传功能限制不严,导致了漏洞的出现。跨站攻击,即ecosssitescriptexecution(通常简写为xss, 因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显不在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
2025-11-24 09:39:38
233
原创 应急响应实战,零基础入门到精通,收藏这篇就够了
随着护网越来越近,要了解的知识技能也越来越多,护网很多情况下是对发现的攻击事件进行判断、应急、溯源、取证等。首先面对各种各样的安全事件,该如何处理??应急响应是指一个组织为了应付各种意外事件的发生所做的准备以及在事件发生之后所采取的措施。用大白话说就是别人攻击你了,你如何把这个攻击还原,如何去处理等,这就是应急响应。但是别人攻击你,你如何发现的呢?
2025-11-24 09:36:05
539
原创 XSS漏洞及其原理(详解)零基础入门到精通,收藏这篇就够了
XSS被称为跨站脚本攻击(Cross Site Scripting),由于和层叠样式表(Cascading Style Sheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
2025-11-24 06:45:00
1186
原创 自动化测试知识超详细整理,零基础入门到精通,收藏这篇就够了
性能自动化测试是通过测试工具模拟高并发负载进行压力测试,以发现软件系统在高负载情况下运行瓶颈,这里系统瓶颈包含多个部分,应用程序本身的性能瓶颈、网络瓶颈,服务器硬件资源瓶颈(CPU,MEM,DISK),数据存储服务器等,这一测试活动通常唯有借助自动化测试工具来完成,常见的性能测试工具有Loadrunner,Jmeter,Mgrinder,Gatling等,不管哪一款测试工具,基本有三大部分组成:测试脚本管理,测试场景配置,监控结果。脚本的编写和运行要符合管理规范,以便同一管理和维护。
2025-11-23 10:00:00
574
原创 XSS漏洞初步学习深度利用,零基础入门到精通,收藏这篇就够了
XSS 跨站脚本攻击,是将 JavaScript 代码插入web页面中,之后当用户浏览页面时,会执行嵌套在web页面里面的 JavaScript 代码,从而达到攻击用户的目的。为了跟 HTML 里面的层叠样式(CSS)作区分,所以叫做 XSS。注入攻击的本质,是把用户输入的数据当作代码执行。
2025-11-23 08:45:00
1347
原创 Windows CMD常用命令大全(非常详细)零基础入门到精通,收藏这篇就够了
cmd是command的缩写.即命令行。虽然随着计算机产业的发展,Windows操作系统的应用越来越广泛,DOS面临着被淘汰的命运,但是因为它运行安全、稳定,有的用户还在使用,所以一般Windows 的各种版本都与其兼容,用户可以在Windows系统下运行DOS,中文版Windows XP中的命令提示符进一步提高了与DOS下操作命令的兼容性,用户可以在命令提示符直接输入中文调用文件。作为一个开发者,我们用的最多的就是windows,但是对于cmd,我不知道大家熟不熟,反正我是一直不怎么熟悉。平时操作。
2025-11-23 07:15:00
1310
原创 【Osek网络管理测试】知识点解读,零基础入门到精通,收藏这篇就够了
下面对报文格式举例:解析Ring报文用于声明自己地址或声明自己被跳过,向其它ECU声明需要加入到网络管理的逻辑环中。在该阶段, 网络上的II类ECU需要根据其它ECU发送的Alive报文不断的动态调整配置表, 进而确定自身的前继节点和后继节点。Alive报文的目标地址等于发送Alive报文节点自身的地址——ECU上电或唤醒发送Alive报文声明自身在线、请求其他节点与自己建环——建环过程被跳过则发送 Alive 报文以重新加入并建立逻辑环1.ECU上电第一帧为NM报文。
2025-11-23 06:00:00
521
原创 SQL注入进阶,零基础入门到精通,收藏这篇就够了
承接上一篇SQL初级篇,进行SQL注入的进阶学习。欢迎伙伴们多多交流,多多补充哈~进阶篇主要聊了聊七种类型的注入方式,多练习练习,加深印象。还是那句话,大家有其他的也可以补充哈~黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图。
2025-11-23 06:00:00
784
原创 SQL注入基础注入,零基础入门到精通,收藏这篇就够了
后边再次查询,还是有不一样的,那么又会重复上边的操作,这样举例的说就只能是名义上插入0实际插入1(因为上边实际插入的是1,0没有被插入进去,所以再次检索的时候0还是不存在),但是插入1的时候,1是已经插入过的,会产生碰撞,引发报错,此时报错信息会把引发碰撞的值显示出来。然后就是寻找注入点,这一步是最关键的一步,我们要确定好哪一个地方是我们可以利用的,这一步我们可以做一下简单的闭合,比如输入引号或者括号,看运行结果。有延迟就说明这里的盲注是正确的,我们可以进行下一个位置的盲注,直到完全出来。
2025-11-22 07:00:00
1437
原创 车载以太网通讯测试(深度解锁),零基础入门到精通,收藏这篇就够了
和传统车载总线CAN/LIN/FlexRay相比,全新的车载以太网(AutomotiveEthernet)不仅拥有更高的传输速率(e.g.100Mb/s),更因其点对点的网络拓扑结构,从而对开发和测试工作,提出了全新的技术需求。本篇文章,将基于Vector最新的车载以太网接口卡(VN5640),系统地描述车载以太网络开发、测试环节中,所面临的一系列特有技术难点。同时,通过搭建合理的软硬件平台,在车载以太网技术约束条件下,最大程度优化开发、仿真、测试各个环节。
2025-11-22 06:45:00
742
原创 CSRF跨站请求伪造,零基础入门到精通,收藏这篇就够了
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 CSRFToken 这个 HTTP 头属性,并把 token 值放入其中。
2025-11-21 09:34:27
584
原创 CSRF跨站请求伪造,零基础入门到精通,收藏这篇就够了
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 CSRFToken 这个 HTTP 头属性,并把 token 值放入其中。
2025-11-21 09:29:06
681
原创 SQL注入漏洞SQL注入高级篇,零基础入门到精通,收藏这篇就够了
这里的500001表示的是如果数据库的版本是5.00.01以上的版本 这个语句才会被执行 (已经没有5.00.01以上的版本了 所以一定会执行)id=1000000000’ union select 1,2,3 or ‘1’='1 //union select也被屏蔽了。//用from for语句替代逗号。id=1’ order by 3 %26%26 '1 //or被屏蔽 且or大小写绕过失败 双写嵌套绕过成功。//当可以注册用户的时候,我们思考一下能不能通过修改自己的密码去修改别人的密码。
2025-11-21 08:58:11
260
原创 Pikachu(皮卡丘)靶场中SQL注入,零基础入门到精通,收藏这篇就够了
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
2025-11-21 08:49:35
746
原创 如何在Windows上配置Windows防火墙,零基础入门到精通,收藏这篇就够了
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。,我也为大家准备了视频教程,其中一共有。要学习一门新的技术,作为新手一定要。的事情了,而工作绕不开的就是。3.SRC&黑客文籍。
2025-11-21 07:45:00
327
原创 车联网T-BOX小结,零基础入门到精通,收藏这篇就够了
与网络相关的功能,基本都是体现在TBOX上,比如远控、OTA、远程诊断等。接下来从宏观到微观对T-BOX分析。整个智能网联通讯系统架构是由车端、通道、云端、后端、智能终端组成的。对此细分,车端包括T-BOX、网关、各种控制器,网络通道包括接入基站、运营商核心网、后端包括OTA平台、TSP、呼叫中心等在内的各种业务网络服务器,以及业务后端,如国家监控平台、新能源监控平台、售后监控平台等数据运维平台,智能终端则是特指APP的承载硬件。以TBOX为主的通讯系统的通用功能,都需要依托这样的系统架构实现。
2025-11-21 06:45:00
1044
原创 CentOS7安装流程步骤详细教程(图文讲解详解版)零基础入门到精通,收藏这篇就够了
CentOS(Community Enterprise Operating System,中文意思是:社区企业操作系统)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同,在于 CentOS 并不包含封闭源代码软件。客户机操作系统:Linux版本 :CentOS 7 64位。
2025-11-20 09:36:01
954
原创 2025版最新Kalilinux下载安装教程(非常详细)零基础入门到精通,收藏这篇就够了
kali系统内置大量渗透测试软件,可以说是巨大的渗透系统,涵盖了多个领域,如无线网络、数字取证、服务器、密码、系统漏洞等等,知名软件有:wireshark、aircrack-ng、nmap、hashcat、metasploit-framework(msf)。1、Kali开机后,ssh可能是默认关闭的,可通过service ssh status查看ssh状态,inactive(dead)则表示关闭,这里可以设置下ssh自启动。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
2025-11-20 09:33:46
709
原创 游戏测试的概念是什么?测试方法和流程有哪些?收藏这篇就够了
测试工作是,解决玩家所遇非正常问题的预测工作,同时也是不断调试平衡的一个长期观察任务。无论在什么时间段,功能实现、内测、公测等。测试都应该是分硬件与软件两部分测试。
2025-11-20 06:45:00
1602
原创 车载测试面试题精选,零基础入门到精通,收藏这篇就够了
*工具实战:**集中训练抓包工具(Wireshark)、渗透测试工具(Nmap)、漏洞扫描工具(Nessus 基础版)的使用,结合模拟场景练习工具应用(掌握基础扫描逻辑,为 SRC 漏扫工具进阶做准备)。2、双击“Tx Frame List”里的“add message”,输入报文id等参数信息,发送报文。实战技能训练:开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升(Windows、Linux)、代码审计等实战训练,结合运维中熟悉的系统环境设计测试场景(强化红蓝对抗攻击端技术能力)。
2025-11-19 09:35:54
1031
原创 集成测试最全详解,看完必须懂了
集成测试(Integration Testing),也叫组装测试或联合测试。在单元测试的基础上,将所有模块按照设计要求(如根据结构图)组装成为子系统或系统,进行集成测试。集成测试(也叫组装测试,联合测试)是单元测试的逻辑扩展。它最简单的形式是:把两个已经测试过的单元组合成一个组件,测试它们之间的接口。从这一层意义上讲,组件是指多个单元的集成聚合。在现实方案中,许多单元组合成组件,而这些组件又聚合为程序的更大部分。方法是测试片段的组合,并最终扩展成进程,将模块与其他组的模块一起测试。
2025-11-19 09:25:10
1062
原创 金融类软件测试大攻略,带你了解最吃香的金融类软测,附面试题,收藏这篇就够了
金融业是指经营金融商品的特殊行业,它包括银行业、保险业、信托业、证券业和租赁业往往涉及证券、银行、基金、信托、保险、投行、期货等领域。
2025-11-19 09:22:35
785
原创 TCP、UDP 端口测试工具,零基础入门到精通,收藏这篇就够了
*工具实战:**集中训练抓包工具(Wireshark)、渗透测试工具(Nmap)、漏洞扫描工具(Nessus 基础版)的使用,结合模拟场景练习工具应用(掌握基础扫描逻辑,为 SRC 漏扫工具进阶做准备)。实战技能训练:开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升(Windows、Linux)、代码审计等实战训练,结合运维中熟悉的系统环境设计测试场景(强化红蓝对抗攻击端技术能力)。红蓝对抗基础:学习护网行动背景、红蓝对抗规则(攻击范围、禁止行为)、红蓝双方角色职责(红队:模拟攻击;
2025-11-19 09:18:27
904
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人