A1_3_9_7的博客

挖 SRC 需要有一个好心态，国内 SRC 生态并不是很好，SRC 感觉更多的提供了一个相对安全的测试保障，所以更需要抱着一种学习的心态去挖，将我们学习的到的知识灵活运用，发现新的问题。不要想我今晚一定要挖到多少漏洞，要拿到多少奖金，不然可能会被忽略三连打崩心态。

近段时间身边很多朋友和亲人发生银行卡账号资金被盗刷，少的几千，多的十几万。现在钱都不好挣，因此有了今天的这篇文章。图1 查看我的相关资料如图2所示，单击**“账单”-“年账单”“支出”-单击“**消费支出”或者“转账”查看曾经的一些支出。可以根据实际情况来查看。图2 核对支出情况图3 投诉北京智慧腾通科技有限公司案例1图4北京智慧腾通科技有限公司案例2图5查看授权管理图6 解除银行卡绑定图7 来自手机的危险短信。

Java程序员转行有几个不错的选择，以下是一些建议：转向管理层：如果Java程序员有管理经验，可以考虑转向管理层，如项目经理、技术经理等。这需要掌握一定的管理能力和项目处理能力，可以参加相关的培训课程来提升这方面的能力。转行做技术相关的岗位：如果Java程序员想继续留在技术领域，但想做一些与之前不同的工作，可以选择转行做技术相关的岗位，比如售前/售后工程师、产品经理、培训讲师等。这些职位需要对市场和技术都有一定的了解，但同时也需要具备一定的技术基础。

Parrot Security OS 对游戏来说相对较新。Frozenbox Network是该发行版开发的幕后推手。Parrot Security OS 的目标用户是渗透测试人员，他们需要具有在线匿名性和加密系统的云友好环境。系统镜像下载页面：https://www.parrotsec.org/security-edition/

挖洞七分运气三分技术，逻辑思维能里才是最重要的。我总是强调自己不要太执着于技术 太费时间。善于思考，有的时候漏洞就在你平时不注意很弱智的地方。技术方面碰到不懂的再点对点去学。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和。

大家好，这里是程序员霸哥，又来分享程序员的职场故事了~今天分享的这位朋友叫小青，我认识他2年多了。以前从事的是土木行业，2年前找我咨询转行程序员的学习路线和职业规划后，通过自学加入了一家创业公司，成为了一名Java开发。**最近他遇到了新的职业上的困惑，又找我聊了一下，我也没想到好的解决方法，**大家可以一起看一下~下面是沟通的核心内容。1、他的问题小青是中原省份省会城市的大专毕业，毕业季就去了帝都实习和工作。

之前总有小伙伴问我，现在没有工作，或者想在空闲时间做一些程序员兼职，怎么做，做什么，能赚点外快因为我之前发别的文章的时候有捎带着说过一嘴我做一些副业，这里就说一下我是怎么做的，都做了什么希望能对你有些帮助~

1.密码口令库在现代信息社会中, 各种密码伴随着我们的日常生活, 如果设置简单了, 容易被黑客破译;如果设置复杂了, 时间久了自己记不住, 所以很多人都选择一种折中的方式: 使用自己熟悉、容易记忆的特征信息来作为密码。而更多的人为了图一时的方便, 直接使用一些简单重复的数字作为密码, 为了防止大范围弱口令造成的安全隐患, 现代网站注册账号一般都对密码的复杂性有要求, 不满足要求无法注册。

很多人在学习网络安全时，都会有一个焦虑的心态如果原来的职业与网络安全无关，想要转行做网络安全，那么你首先需要有一个从零开始的思想准备。网络安全与其他开发岗位不同，需要学习的内容很多，技术层次不同也分了不同的岗位。30岁基本转行之后就不会再变动了，可以考虑从渗透测试开始入手，做个两三年往逆向安全方向发展。

网络安全永远不会停止发展，威胁也在不断演变。正所谓“工欲善其事，必先利其器”，与时俱进地保持对Burp Suite新插件和技术的了解至关重要，通过本文章我们已经深入探讨了Burp Suite一些实用功能和插件，希望本文章对您的网络安全工作有所帮助。

护网行动是以公安部牵头的，用以评估企事业单位的网络安全的活动。具体实践中，公安部会组织攻防两方，进攻方会在一个月内对防守方发动网络攻击，检测出防守方（企事业单位）存在的安全漏洞。通过与进攻方的对抗，企事业单位网络、系统以及设备等的安全能力会大大提高。“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始，随着我国对网络安全的重视，涉及单位不断扩大，越来越多的单位都加入到护网行动中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。

作用：使用指定的注入方式，支持多种注入检测，默认是全部比如：有些SQL注入点只允许时间注入，这时就指定注入类型为T–technique参数值解释B：Boolean-basedblindSQLinjection（布尔型注入）E：Error-basedSQLinjection（报错型注入）U：UNIONquerySQLinjection（可联合查询注入）S：StackedqueriesSQLinjection（可多语句查询注入）

NC综合漏洞利用工具的设计旨在简化授权项目中繁琐的步骤，并解决市面上用友NC系列漏洞工具存在的问题。目前，该工具具备以下8个主要功能：支持自定义生成脏数据序列化Payload支持命令执行支持文件上传支持注入内存马支持自定义字节码注入支持目录浏览支持4种数据库解密当选择不同漏洞类型的时候，UI会自动隐藏不适合该漏洞功能显示适合的漏洞功能。支持17种漏洞检测支持DNSLog检测支持漏洞接口检测未配置DNSLog: 只进行接口检查。配置DNSLog: 则进行DNSLog（任何DNSLog。

技能都是需要动手的，然后思路需要清晰，操作要细致，跟客户要保持沟通，切记不能闷着擅自操作！

PS：这些新生赛都是个人打过的，质量都可以保证。个人没有打过的高质量比赛也希望师傅们能够谅解。这种比赛的特点一般是周期长，难度都不会特别高，一般是校赛。部分网站可能都不在了，但明年可能会再办。

Hello!网络安全知识培训有一个有趣的板块内容，是信息搜集，情报学技能领域同样存在。能够拥有一套得心应手的工具组合来做情报搜集工作，节省下来的时间用来煮杯咖啡一定是足够用的呢。我们知道谷歌，我们知道谷歌浏览器，可是知道暗黑系谷歌搜索引擎吗？一款款互联网最恐怖的浏览器shodan。Shodan是一个专门用于搜索和发现与互联网连接的设备的搜索引擎。它可以搜索范围包括但不限于：服务器和路由器的特定品牌或型号的设备，以及一些端口和协议。可以搜索公共摄像头、家庭监控设备等，可以查看实时的图像。

测试工程师除了测试岗位。其中列了 11 条其他方向。产品经理 ：测试转产品，是非常适合的一条路，身边很多这类成功案例；毕竟，平时项目中，测试是对业务最了解的；开发工程师 ：参考 网络安全开发工程师；1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！2、人才缺口大，就业机会多2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和。

材料准备：burp suite、模拟器(把微信装好)、node.js、wxappUnpacker、root explorer操作流程：步骤1: 配置Burp和模拟器（模拟器需导入ca证书），打开模拟器的WLAN–>高级设置–>输入物理机的ip以及一个没被占用的端口，Burp用于代理该端口步骤2：打开微信–>随便点击一个小程序进入小程序主界面，然后打开文件管理器。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和。

一款实用的内网扫描工具，可进行网段探测、指纹识别、协议分析、漏洞扫描等，与fscan同类，可以作为代替工具使用。1、所有模块皆采用生产者消费者模型，即生即消。摆脱传统的等待端口扫描结束进行后续的模型。2、所有模块皆采用启发式扫描，最少的发包探测目标。摆脱传统的端口绑定以及漏洞探测发包量大的问题。3、强大的WEB指纹支撑，目前指纹900+，指纹识别快人一步。4、极致的应用并发，在暴破模块以及漏洞探测、指纹识别、端口扫描所有模块采用数据原子化的方式进行极致的并发。

土豆(potato)提权通常用在我们获取WEB/数据库权限的时候，可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。**土豆提权原理：**土豆系列提权的核心是NTLM中继，通过欺骗运行在高权限（Administrator/SYSTEM）的账户进行ntlm认证，同时作为中间人对认证过程进行劫持和重放，最后调用本地认证接口使用高权限账号的ntml认证获取一个高权限token，只要当前进程拥有SeImpersonatePrivilege权限即可进行令牌模仿，即可取得对应权限。

最后我建议你如果是从事技术岗的话，那么一定要热爱技术，并努力把它学好，因为它是你吃饭的家伙。要对自己负责，学习和提高是自己的事情！

Python爬虫是否合法的问题颇具争议，主要涉及到使用爬虫的目的、操作方式以及是否侵犯了其他人的权益。本文将介绍Python爬虫的合法性问题，并提供一些相关的法律指导和最佳实践。

都说搞IT的都不是一般人，运维更是其中的狠人！别人最多996，运维都是007即使夜晚值守的时候，也不敢睡的太死为了保证服务稳定无异常，可以说付出所有无论遇到什么运维难题，都必须迎难而上摸鱼？不存在的，运维的字典里没有这两个字女同事？不存在的，运维只有男基友运维简直就是铁人一般的存在系统出了问题，老板质问运维有什么用？系统不出问题，老板质问运维有什么用？服务上线后提心吊胆，生怕出故障出了故障又迟迟排查不到原因技术变化太快，运维也必须练就十八般武艺要熟练运用各类运维工具。

可以在“运行”-输入“msconfig 命令”在打开的系统配置实用程序里的启动列表查看，并且服务也要注意一下。查看有无异常的可以启动项和服务项，因为在后门木马中 99%都会注册自己为系统服务，达到开机自启动的目的，如果发现可疑项直接打开相应的路径，找到程序文件，直接删除并且禁止自启动；最新修改的文件中有没有可疑的可执行文件或 dll 文件，这两个地方都是木马最喜欢的藏身的地方了（小提示：一定要设置显示所有的文件的文件夹哦）

程序员的薪资水平相较于互联网其他岗位通常更为优厚，而且程序员的职业特性也为他们提供了独特的机遇。比如，程序员可以利用自身的专业技能，**通过兼职等方式拓宽收入渠道，**这是一种低成本的投入。许多程序员对于如何寻找合适的兼职机会感到困惑，那么今天就给大家讲讲能够接兼职的平台吧！开源众包作为以企业为主导、平台托管的一站式众包服务，为开发者提供了一个实现技术价值转化的机会，通过入驻平台，开发者能够获取相应收益。该平台在业界享有较高口碑和知名度，同时竞争也相对激烈，因此更适合技术实力雄厚的开发者参与。

ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具，使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞，包括：2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞。

如果我问你副业的实质是什么，你的回答是？我猜你会说副业是主业之外赚钱的活动，会说副业是第二曲线，可能还会说副业是不依赖平台自己获取财富的活动……但我觉上面的回答都是表象，没有触及副业的实质。一个好的回答不仅能够解释，还能指导。在明确我的答案之前，我说下一个经济问题：经济增长的实质是什么？这个不用大家回答，我直接说经济增长的实质是把今天的消费节省下来变成投资，并在明天生产出超过投资的收入以上引用出自姚洋的《发展经济学》。

前言这是一篇深度剖析Linux系统进程管理的技术文章，详细介绍了各种进程管理相关命令的用法和示例。通过本文，你将掌握从基础到高级的进程管理技巧，了解如何利用命令行工具高效处理进程、提升系统性能。无论你是初学者还是经验丰富的管理员，本文都将为你带来实用而宝贵的知识，助力你在Linux系统中轻松应对各类进程管理挑战。立即阅读，发现Linux进程管理的奥秘！进程管理命令psps是一个常用的Linux命令，用于查看当前系统中正在运行的进程信息。

AB test 是一种统计学上的方法，用来比较两种（或者更多）策略、版本或者处理方式的效果，看哪种效果最好。在软件测试中，AB test 可以帮助测试人员确定哪种软件版本或者功能更受用户欢迎，或者哪种设计更符合用户需求。AB test 存在一些潜在的风险，包括但不限于以下几点：1. 样本偏差：如果测试的样本不够大或不够代表性，可能导致测试结果偏差。2. 时间限制：测试时间过短可能导致无法准确评估方案的效果。3. 外部因素干扰：其他外部因素（如市场变化、竞争对手活动等）可能会影响测试结果。

CTF是一种流行的信息安全竞赛形式，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而夺得分数。为了方便称呼，我们把这样的内容称之为“Flag”。PWN（溢出）：PWN在黑客俚语中代表着攻破，取得权限，在CTF比赛中它代表着溢出类的题目，其中常见类型溢出漏洞有栈溢出、堆溢出。

在Linux系统中，文件和目录的链接是管理文件系统时一个不可或缺的工具。ln命令就是用来创建这些链接的。无论是硬链接还是符号链接，它们都为文件和目录提供了额外的访问路径，但在底层实现和使用场景上却有所不同。硬链接是文件系统中inode的直接引用。每个文件或目录在文件系统中都有一个唯一的inode，它包含了文件的元数据（如权限、大小、时间戳等）以及指向文件数据的指针。当我们为一个文件创建一个硬链接时，我们实际上是在创建一个新的目录项，它指向相同的inode。

本篇文章给大家盘点一下国内的程序员可以靠远程接活儿搞钱的一些平台。

最近几年大学生就业越来越难，有人会抱怨人多岗位少，有人会抱怨经济形势差，唯独很少说现在大学生的水平差，也许是这才是真正的原因。最近我面试了差不多15个学生，有研究生和本科生，有的人写不出冒泡排序或者任何一个排序算法，有的人不懂 c语言的 include 是干嘛的，还有的人干脆作弊了，AI写算法题，敲代码头三处看，屏幕，键盘，AI 提示手机。

在编程和系统管理领域，远程管理是一项至关重要的任务。SSH（Secure Shell）命令是一种加密的网络协议，它提供了一种安全的方式，使您能够在不同的计算机之间进行远程连接和管理。通过使用SSH命令，您可以在远程计算机上执行命令、传输文件以及进行安全的远程登录。SSH的加密特性使其成为保护数据和系统安全的理想选择。其中，username是您要登录的远程服务器的用户名，hostname是服务器的主机名或IP地址。执行此命令后，系统将提示您输入密码，验证后即可登录。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和。

*简而言之，当网站停止正常工作并阻止用户访问它时，就会出现网站崩溃。**一旦你收到来自网站的错误并看到它停止加载任何数据并且无法在线访问它，你就知道网站崩溃了。为了使网站正常运行而不会出错，浏览器必须能够处理服务器发送的所有数据。

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。