- 博客(3213)
- 收藏
- 关注
RSS订阅
原创 铁三铜四,应届生网络安全岗位面试,这份攻略请务必收藏(附网安面试题)
腾讯、字节跳动、阿里、奇安信、360、深信服、京东等公司2020-2022年的高频面试题
2023-04-06 16:48:27
861
1
原创 web前端 | 到底怎么学?从零基础到精通,收藏这篇就够了!
我的第一篇文章:【web前端到底是什么?有前途吗?】,在我没想到如此的情况下 得到很多好评和有效传播。也为我近期新开的 个人前端公众号:前端你别闹(webunao)直接增加了几百粉(果然,帅的人大家都喜欢。被国内著名技术博客 优快云 推上博客首页,并且经过我授权在其他公众号也转载了不少。**我觉得我这篇入门文章可以小火,究其原因 有以下几点** • web前端是如此的火热,关注度也逐年升高。不知不觉,我废话又多了起来,段子手的天性就是改不了?ok ,我们切入今天的正题 :web前端到底怎么学。
2025-06-09 21:17:11
596
原创 零基础如何学 Web 前端开发?从零基础到精通,收藏这篇就够了!
它要求前端开发工程师不仅要掌握基本的Web前端开发技术,网站性能优化、SEO和服务器端的基础知识,而且要学会运用各种工具进行辅助开发以及理论层面的知识,包括代码的可维护性、组件的易用性、分层语义模板和浏览器分级支持等。随着近两三年来RIA(Rich Internet Applications的缩写,中文含义为:丰富的因特网应用程序)的流行和普及带来的诸如:Flash/Flex,Silverlight、XML和服务器端语言(PHP、,JSP、Python)等语言,前端开发工程师也需要掌握。
2025-06-09 21:16:35
503
原创 这些内网穿透工具 你都知道吗?从零基础到精通,收藏这篇就够了!
在日常工作中我们需要将本地的某些端口如22803306等端口分享。让别人或者不在同一局域网内的设备访问。我们需要端口映射(内网穿透)的方式让其暴露在公网,以便访问。本文为大家总结常用内网映射的工具和方法,进行简单的总结。希望对你有所帮助。
2025-06-09 21:16:03
469
原创 介绍5款内网穿透工具,从零基础到精通,收藏这篇就够了!
内网穿透是一项技术,它允许通过公网IP地址访问内网中的设备,通常用于建立安全的内网通道,为用户提供远程访问内部网络资源的便捷方式。在内网渗透和远程连接领域,有几款重要的内网穿透工具,如花生壳、Frp、Ngrok和FastTunnel。这些工具各自提供了不同的功能和特点,如端口映射、多协议支持、P2P通信、安全隧道等,以满足不同用户的需求。
2025-06-09 21:15:31
383
原创 【2025版】最新最好用的17个渗透测试工具,从零基础到精通,收藏这篇就够了!
渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作。当然,是在恶意黑客找到这些漏洞之前。而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。2017年9月1日是Nmap的20岁生日。从诞生之初,Nmap就一直是网络发现和攻击界面测绘的首选工具。从主机发现和端口扫描,到操作系统检测和IDS规避/欺骗,Nmap是大大小小黑客行动的基本工具。
2025-06-09 21:14:47
658
原创 红队武器库|内网渗透工具,从零基础到精通,收藏这篇就够了!
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。
2025-06-09 21:14:15
316
原创 最受欢迎的14款渗透测试工具,从零基础到精通,收藏这篇就够了!
但无论是出于何种目的,对于黑客们而言,工具和脚本的使用都必不可少。所谓工欲善其事,必先利其器,本文将为大家整理介绍非常受欢迎的一些黑客工具,供大家挑选使用。黑客可以通过该工具使用人们的IP地址来对其进行跟踪并窥探其数据。其还被称作”IPScan”,即通过对IP地址和端口的扫描来找到进入用户系统的方法。它是一个开源的跨平台软件,也是目前最有效的黑客工具之一,网管、系统工程师的最爱。2015年8月11日, Kali Linux 最主要的一个版本 Kali Linux 2.0发布。
2025-06-09 21:13:40
535
原创 深入了解SSRF漏洞:原理、攻击场景与防御方法,从零基础到精通,收藏这篇就够了!
网络安全一直是信息技术领域中备受关注的话题之一,而服务器端请求伪造(Server-Side Request Forgery,简称SSRF)漏洞是其中的一个常见威胁。在本文中,我们将深入探讨SSRF漏洞的原理、攻击场景,并提供相关的代码案例以及防御方法,以帮助开发人员和安全专家更好地理解和应对这一威胁。SSRF漏洞是一种安全漏洞,通常出现在Web应用程序中,攻击者通过构造恶意请求,将服务器内部的资源暴露给外部。这可能导致敏感数据泄露、服务端请求伪造等严重问题。
2025-06-09 21:12:57
381
原创 逻辑漏洞出现场景、利用方式总结,从零基础到精通,收藏这篇就够了!
1、短信轰炸参数修改短信轰炸,可以直接修改手机号或者其他参数Cookie短信轰炸根据业务的判断2、手机号遍历枚举绕过风控继续遍历简单遍历结绕过风控方法:修改下面参数,让其构成一个正常参数从而实现绕过3、绕过验证删除参数,删除验证码参数导致验证码被绕过修改参数将验证码修改成0000,修改参数中的验证码导致逻辑错误绕过构造验证码key值原理4、批量初测用户5、任意用户注册验证码爆破,验证码没有任何频繁拦截时进行简单爆破绕过验证码,修改验证码参数,删除参数返回包中的验证码直接显示。
2025-06-09 21:12:11
587
原创 基于业务场景的漏洞挖掘方法,从零基础到精通,收藏这篇就够了!
随着WAF产品从传统规则库到智能引擎的转型,通用漏洞类型已基本可以防护。但WAF的局限性也在于只能防御流量层面的攻击,难以防御业务逻辑型的漏洞。而如今大部分企业在Web应用层的防护主要依赖WAF,往往会忽视业务逻辑场景产生的漏洞。本文介绍一些基于业务逻辑场景的应用漏洞挖掘方法,希望可以对各企业安全建设和SRC漏洞挖掘有所启发。信息收集信息收集是漏洞挖掘的第一步,你拥有的“资产信息”决定了你的产出。下面列举几种常见的信息收集手段:子域名收集。
2025-06-09 21:11:36
961
原创 【2025版】最新的常见漏洞知识库,从零基础到精通,收藏这篇就够了!
1、 一个众所周知的问题,Ajax直接请求普通文件存在跨域无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是跨域请求,一律不准。2、 不过我们又发现,Web页面上调用js文件时则不受是否跨域的影响(不仅如此,我们还发现凡是拥有"src"这个属性的标签都拥有跨域的能力,比如1、 Callback、.json关键字搜索2、 获取敏感信息3、 content-type不严谨,callback返回xss代码然后html解析,Content-Type: application/json。
2025-06-09 21:11:05
662
原创 漏洞挖掘典型场景和思路,从零基础到精通,收藏这篇就够了!
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。
2025-06-09 21:10:30
493
原创 常见场景的业务逻辑漏洞以及安全设计,从零基础到精通,收藏这篇就够了!
目前常规漏洞的挖掘越来越困难,在这种情况下,我们可以多去看看业务逻辑方面的漏洞,也是复杂的系统,越有可能出现这方面的问题。本篇文章就来看看常见的一些场景下都有哪些业务漏洞。由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。本篇文章介绍了一些常见的业务漏洞,当我们遇到这些场景时,要注意上面的这些问题。常规漏洞越来越不好挖掘的情况下,我们可以多去看看业务方面的漏洞。
2025-06-09 21:09:59
593
原创 脚本类恶意程序的快速分析技巧,从零基础到精通,收藏这篇就够了!
看雪论坛作者ID:ioiojy前言本次课程为大家介绍的是我们病毒分析师在日常工作中经常使用的一些工具以及快速分析的技巧。一般来说,在不写分析报告以及不做高级查杀研究的情况下,病毒分析师并不需要对样本进行深入分析,只要判断样本黑白、进行归类并提取特征即可。这里我会将这一系列完整的流程展现给大家。
2025-06-09 21:09:27
607
原创 一次恶意程序样本全分析之旅,从零基础到精通,收藏这篇就够了!
二深入分析import os# 创建输出目录# 打开密码本并读取密码列表start_time = time.time() # 开始计时attempt_count = 0 # 记录解密尝试次数# 尝试每个密码来解压缩文件password = password.strip() # 去除密码两端的空白字符if not password: # 跳过空密码continuetry:end_time = time.time() # 结束计时。
2025-06-09 21:05:31
654
原创 网络安全【聊聊CTF比赛】,从零基础到精通,收藏这篇就够了!
CTF(Capture The Flag),中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,是目前较流行的网络安全赛事。
2025-06-08 12:30:00
633
原创 啥是CTF?新手如何入门CTF?从零基础到精通,收藏这篇就够了!
CTF是啥CTF 是 Capture The Flag 的简称,中文咱们叫,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜已被敌军夺取,就代表了那一方的战败。在信息安全领域的 CTF 是说,通过各种,获取服务器后寻找指定的,或者文件中某一个固定格式的字段,这个字段叫做,其形式一般为 flag{xxxxxxxx},提交到裁判机就可以得分。
2025-06-08 11:30:00
627
原创 这个春天,网络工程师最该读的8本书,从零基础到精通,收藏这篇就够了!
我是老杨福州这两天难得不下雨,有了大太阳。好不容易有了点春天气息,家里的小朋友就开始吵吵嚷嚷,想要爸爸周末带着去新的公园踏青。小朋友尚且知道,春天是个适合探索新地方的季节。这是老杨这篇安利贴诞生的初衷。过完年,到了2022年的春天,老杨又有不少好书想推荐了。不知道你还记不记得第一期好书推荐:《**第一期的安利主在帮助网工小白入门自学,推荐的都是硬干货。**第一个是**《图解网络》系列(共3本书)的PDF高清版资源**,添加老杨微信,备注**“图解”**,即可免费领取。第二重福利,就是抽。
2025-06-08 10:45:00
618
原创 【基础大全】一文带你打好网工路由基础......从零基础到精通,收藏这篇就够了!
通过路由条目,生成路由表,根据路由表中的条目,进行路径选择。路由表存储在 RAM 中,掉电丢失,加电重新装载计算。**直连路由:**通过接口感知到的直连 (网络接口配置IP,并且该接口的物理层及链路层状态为UP)**静态路由:**使用静态路由命令手工配置的路由**动态路由:**路由器之间动态学习到的路由表动态路由协议:RIP、EIGRP、IS-IS、OSPF、BGP主机地址子网一组子网(汇总路由)主类网络号(ABC类)超网汇总(CIDR)缺省地址(默认路由)
2025-06-08 09:30:00
1040
原创 【2025】最新恶意代码分析班作业 | 学习恶意代码分析需要的环境安装,从零基础到精通,收藏这篇就够了!
*小玉玉,**MS08067安全实验室核心成员,金牌讲师,前某国企安全研究员,擅长恶意代码分析、APT攻击和社会工程学。
2025-06-07 16:59:14
576
原创 从“新“开始学习恶意代码分析——静态分析,从零基础到精通,收藏这篇就够了!
0x00 前言熟练的阅读汇编代码是恶意软件分析时的基本功。在本节中,我将以一个比较简单的Downloader(下载者)程序为例,以纯汇编的角度来对该恶意样本进行分析。本节中所使用到的样本已经上传到了app.any.run可以访问这个地址进行下载:https://app.any.run/tasks/ba68e2aa-2083-48ad-ac3f-34dcc9e4446b这个地址是该样本在app.any.run上面的沙箱页面,访问该页面,然后单击Get sample即可下载。
2025-06-07 16:58:41
780
原创 PC端恶意代码分析Lab1.1-5.1,从零基础到精通,收藏这篇就够了!
点击蓝字 · 关注我们前言恶意代码分析是一个安全从业者非常重要的一个技能点。参考书籍:<<恶意代码分析实战>>相关知识ZF 当一个运算的结果等于0时,ZF被置位,否则被清除CF 当一个运算的结果相当于目标操作数太大或太小时,CF被置位,否则被清除SF 当一个运算的结果为负数,SF被置位;若结果数为正数,SF被清除。对算术运算,当运算结果的最高位置为1时,SF也会被置位TF TF用于调试,当它被置位时,x86处理器每次只执行一条指令mov eax,ebx 将EBX中的内容复制至EAX寄存器。
2025-06-07 16:58:03
809
原创 【PC样本分析】一份通过IPC$和lpk.dll感染方式的病毒分析报告,从零基础到精通,收藏这篇就够了!
样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过。1.样本概况1.1 样本信息病毒名称:3601.exeMD5值:96043b8dcc7a977b16a2892c4b38d87f病毒行为:自删除,感染压缩包(zip、rar)、释放lpk.dll文件1.2 测试环境及工具操作系统:win7 32位操作工具火绒剑、OD、IDA、MD5工具1.3 分析目标分析此病毒的恶意行为和生成相关文件。2.具体行为分析2.1 主要行为。
2025-06-07 16:57:18
942
原创 【2025版】网安渗透工具没法用怎么办?从零基础到精通,精通收藏这篇就够了!
==前言网安牛马刚入行经常会依赖一些工具,时间久把原理搞得很透彻之后花活才变多,那么如果本地渗透工具用不了,或者不够用咋整呢?今天熊猫分享一些在线工具、情报、学习地址…鉴于浏览网上关于可用安全站点的文章都是N年前的资源,大部分都被关闭了,熊猫今天就给大家分享一些好用的…这年头是个搞网络安全的对外都自称专家,然而…证书是水的、技术是抄的、文章是外网搬运的、博客是docker一键部署的…
2025-06-07 16:56:47
283
原创 CTF:一部黑客心灵史,从零基础到精通,收藏这篇就够了!
*CTF:**那天下午,数学老师抱着一摞崭新的习题册走进教室。同学们瞪着待宰羔羊般的眼睛,从第一排向后传,每人一本。就在大家惊魂甫定的时候,老师突然下令:“把最后五页撕下来,传到讲台上!马上!我定睛一看,最后五页,密密麻麻的,是这一整本习题集的答案。顿时,屋里嘤嘤嗡嗡,有细致的女孩儿,用格尺比着边缘,小心地一页一页撕;有放弃人生的男生,直接连习题册的封底都一把扯下来。
2025-06-07 16:56:09
763
原创 CTF比赛是什么?需要学哪些东西,1篇文章给你讲透彻!从零基础到精通,收藏这篇就够了!
很多学习网络攻防的人都想参加CTF打比赛证明自己,但千万不要盲目打比赛,这篇文章我给你讲清楚关于CTF具体是什么情况,以及你要学哪些东西!**一、什么是CTF?**CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。
2025-06-07 16:52:59
505
原创 网络安全竞赛CTF的前世今生,从零基础到精通,收藏这篇就够了!
前世今生CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
2025-06-07 16:52:27
525
原创 【2025版】最新计算机网络-路由基础学习,从零基础到精通,收藏这篇就够了!
前面我们在上一阶段时候已经简单学习了路由的基础知识了,但是很多东西不是学完就可以了,需要不断复习总结归纳,然后基于原有技术学习更高级的知识的,关于路由的知识会一直反复进行学习和巩固。
2025-06-07 16:50:31
608
原创 网络设备安全加固规范,从零基础到精通,收藏这篇就够了!
前面我们在上一阶段时候已经简单学习了路由的基础知识了,但是很多东西不是学完就可以了,需要不断复习总结归纳,然后基于原有技术学习更高级的知识的,关于路由的知识会一直反复进行学习和巩固。
2025-06-07 16:48:21
677
原创 【2025版】大模型 Copilot 和 Agent 有什么区别?从零基础到精通,精通收藏这篇就够了!
大模型对产业的变革带来深远的影响大模型发展到现在,对IT这个产业影响逐渐显现。搞应用的还没有赚到钱,卖铲子的英伟达发了,英伟达发布的最新的 Q1 财报,实现营收260亿美元,较去年同期增长262%,Q1净利润148.1亿美元,同比上升628%。也让英伟达的突破 1000 亿美金,市值超过 2.6 万亿美金。当能正常情况下,未来应用才是大头,应用这块各种新的概念也层出不穷,目前主流应用分两类,一类是 copilot,一类是 Agent。那这两个分别是什么?对应有什么区别?本文简单来介绍下。
2025-06-06 14:25:22
815
原创 【2025版】GraphRAG+Ollama 结合上市公司知识图谱的LLM分析,从零基础到精通,精通收藏这篇就够了!
抽象性摘要:在提取了实体、关系和主张的实例后,下一步是将这些实例转换为每个图元素的描述性文本块。这涉及到对LLM生成的摘要进行进一步的LLM摘要,以确保每个图元素都有一个统一的描述性文本。实体一致性:作者指出,尽管LLM可能以不同的文本格式提取同一实体的引用,但通过社区检测和总结,可以确保在图索引中对这些实体有一个一致的表示。
2025-06-06 14:24:41
661
原创 【2025版】GraphRAG与Neo4j的结合之道,从零基础到精通,精通收藏这篇就够了!
我们在前面讲解GraphRag从原始文本中提取知识图谱和构建图结构的时候,最后存储的文件是parquet格式,文件存储在下面文件夹:这节我们就探索一下怎么将我们生成好的图谱文件导入到我们的Neo4j图数据库,最后进行可视化分析,也能和我们之前的项目混合检索结合起来。
2025-06-06 14:24:10
978
原创 电力调度数据网络中的网络设备加固实践,从零基础到精通,收藏这篇就够了!
电力调度数据网承载生产调度业务,是电力信息化的核心网络之一。随着其网络结构越来越复杂,一旦发生维护人员配置误操作,或采用一成不变的初始系统设置,可能会存在安全隐患。除常见漏洞外,安全配置的缺陷也会被攻击者利用,成为系统的安全隐患。通过对网络中的路由器、交换机等其他网络设备都进行正确配置,会减少这些威胁的发生。
2025-06-06 14:23:24
559
原创 Windows DHCP服务器远程代码执行漏洞分析及利用方法。从零基础到精通,收藏这篇就够了!
概述在2019年5月14日,微软发布了月度安全补丁,其中包含一个Windows终端服务漏洞(CVE-2019-0708),这一漏洞可能将成为今年最令人担忧的漏洞之一。但是,在此次更新中,同时还存在一个难以忽略的远程代码执行(RCE)漏洞——Windows DHCP服务器中的远程代码执行漏洞(CVE-2019-0725)。
2025-06-06 14:22:43
822
原创 威胁直击 | NGINX DNS解析程序存高危漏洞,从零基础到精通,收藏这篇就够了!
近日,亚信安全应急响应中心监测到Nginx发布安全公告,修复了Nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于函数ngx_resolver_copy()在处理DNS响应时出现了一个off-by-one错误(也称:单字节溢出),这种错误通常在当迭代太多或太少时出现,该漏洞只需网络攻击者伪造指定DNS服务器的UDP数据包就可以导致在堆分配的缓冲区中一个字节被覆盖。所有配置解析器语法的实例都可以通过DNS响应(响应来自Nginx的DNS请求)来触发该漏洞。
2025-06-06 14:22:03
922
原创 XXE的一些利用方式,从零基础到精通,收藏这篇就够了!
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!前言没错又是我,基于没有摸过就要玩一遍的原则,有了接下来的这篇文章,主要是参考师傅们的讲解来复现的XXE是什么XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是。
2025-06-06 14:21:26
718
原创 Web漏洞|XXE漏洞详解(XML外部实体注入),从零基础到精通,收藏这篇就够了!
==目录XXEXXE漏洞演示利用(任意文件读取)XXE漏洞的挖掘XXE的防御在学习XXE漏洞之前,我们先了解下XML。传送门——> XML和JSON数据格式那么什么是XXE漏洞呢?01XXE。
2025-06-06 14:20:51
909
原创 全版本Windows RCE漏洞复现CVE-2023-36025,从零基础到精通,收藏这篇就够了!
*,使用者后果自负。**一、开启SMB服务器关闭系统SMB服务,不让445端口占用,使用CloseSMB模块,重启生效,当然也可以不关闭,直接使用系统的开启SMB共享,因为这洞和Win11主题RCE不一样,不需要特制SMB共享。关闭SMBPS: 彻底关闭445端口,SMB相关服务,重启生效,可防止SMB漏洞或新出0day攻击,在VPS上使用一键程序会比开启系统SMB要安全很多,除非别人挖Ladon的SMB服务器漏洞,且用完就关,很安全。一键开启SMB匿名共享。
2025-06-06 14:20:18
775
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人