Javachichi的博客

reGeorg是reDuh的继承者，利用了会话层的socks5协议，结合Proxifier使用效率更高，Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器工作的网络程序能通过SOCKS代理。接下来，可以通过proxification Rules添加规则，此处添加firfox可执行文件，添加完成以后该工具的通讯流量会经过socks5代理工具进行传输，执行结果如下所示，可以通过firefox访问目标网站。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

OneForAll是一款功能强大的子域收集工具。

文档“SkinsCode.XWikiSkinsSheet”中的不当转义会导致从该文档的视图权限到编程权限的注入向量，或者换句话说，可以执行任意脚本宏，包括允许远程代码执行（包括无限制）的 Groovy 和 Python 宏对所有 wiki 内容的读写访问权限。该攻击通过打开一个不存在的页面来进行，该页面的名称经过精心设计，包含危险的有效负载。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

****靶场地址：https://portswigger.net/web-security目录一、XML外部实体（XXE）注入1、简述：2、产生3、XXE攻击类型二、利用XXE检索文件1、简述：三、利用XXE进行SSRF攻击1、简述：四、盲XXE漏洞1、简述（查找和利用隐蔽的XXE漏洞）：2、XXE盲注3、使用带外技术4、利用盲XXE将数据渗透到带外5、利用盲态XXE通过错误消息检索数据6、通过改变本地DTD的用途来利用盲XXE五、查找XXE注入的隐藏攻击面1、简述：2、XInclude攻击3

尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」。以上就是XSS+CSRF构造蠕虫大体的思路，下面细化各个步骤的过程，水平不高，适合XSS初学者的进阶。

*一天小B突发奇想也想登录进后台看看有什么东西，但是没有账号和密码，但是他知道小A会在每天9点钟的时候登录后台，小B想使用wireshark来抓取局域网的流量包，然后从中分析出小A的登录密码。**首先第一步，如果是一个登陆页面，那么一般登陆流程的是通过发送POST包给服务器做校验，服务器在返回状态码的形式来重定向到新的页面。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

SQL注入是最常见的注入攻击类型之一，攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句，来操控数据库执行未授权的操作（如拖库、获取管理员信息、获取 WebShell权限等）。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本，通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令，通常通过在输入字段中插入系统命令来实现。

该装置被放置在商场、超市、便利店、写字楼等地，利用用户手机默认开启的Wi-Fi功能，在用户毫不知情的情况下与手机通信，搜集手机型号、婚姻状况、教育程度、收入等个人信息，并且通过与一些已知数据库比对，还可以获得手机号等信息。有了这些信息，就可以对用户进行深度画像，精准推送广告短信，甚至成为电信诈骗和窃密的对象。使用智能手机、平板电脑、笔记本电脑等移动智能终端连接Wi-Fi访问互联网，实际上是将我们的手机与提供Wi-Fi热点的设备进行了无线通信连接，并由该设备将手机访问互联网的数据进行传输、转发。

然而，硬币的另一面是，这些中小企业在享受机遇的同时，也不得不承受市场波动带来的巨大冲击。特定行业的特定安全需求，需要由专业的团队持续跟踪、精深研究、长期投入，这给技术能力强的专业化创新企业提供了足够的生存空间，但也在一定程度上，导致网络安全中小企业往往难以摆脱单一业务的局限性，受市场波动影响明显，业务抗风险能力偏低。“企业压力大的情况下，研发上的投入就会减少，造成了老产品多，新产品少的局面”“重模仿轻创新，原始创新能力不足”“对新技术新应用的吸收运用具有一定滞后性，导致产品迭代升级慢”……

2025年，企业将面临AI驱动的网络钓鱼、深度伪造攻击及量子计算威胁，同时，数据隐私法律日益复杂，合规负担加重。2025年，CISO的关键优先事项将包括整合新技术、适应新趋势，同时加强企业的安全态势。随着无边界的威胁生态系统给全球企业和政府带来新挑战，CISA的《2025-2026年国际计划》旨在解决这一问题，该计划呼吁跨国界开展综合网络防御，以应对企业、政府和消费者面临的复杂全球网络安全挑战。这将需要多个领域的国际合作，同样，企业必须保持韧性，随时准备在来年应对新的威胁和挑战。封面图片来源于摄图网。

在提升大语言模型（LLM）性能的过程中，我发现了三种高效的策略：提示工程、检索增强生成（RAG）和参数高效微调（PEFT）。这三者各有特点，能根据不同需求大幅提升模型表现。首先，提示工程通过优化提问方式，能够显著提高模型的输出质量。这是最简单且立竿见影的方式，尤其适合任务明确且数据量不大的场景。接着，RAG通过引入外部知识库，使得模型能够“查找”最新或领域特定的信息，增强回答的准确性。最后，PEFT利用LoRA等方法，在不修改大部分模型参数的情况下进行高效微调，节省资源同时提升定制化能力。

一旦用户点击了相关程序文件，便会激活隐藏恶意代码，对计算机实施远程控制，并将该计算机充当进一步攻击的“跳板”，控制更多的计算机，伺机进行窃密、监视、控制等恶意活动。请大家擦亮双眼，务必提高警惕，加强网络安全防护，定期更新软件与防病毒库，不轻易点击未知链接或下载来源不明的文件，确保个人信息与设备安全。自2023年初以来，银狐木马持续猖獗，广泛在金融、教育、电商等多个行业留下罪证，一旦得手，**银狐就能操控木马监控受害者日常操作，并窃取企业财务、管理等机密信息，**造成政企机构的重大损失。

长期潜在威胁：即使恶意程序被移除，也可能留下潜在的安全隐患，比如系统漏洞未被彻底修复，或者恶意软件的某些组件未能完全清除。系统性能下降：恶意程序在后台运行，占用系统资源，导致计算机运行缓慢，响应时间变长，甚至频繁出现系统崩溃或重启的情况。隐私泄露：间谍软件和某些类型的木马程序能够窃取用户的敏感信息，如登录凭证、财务信息等，导致财产损失和个人隐私泄露。大白也帮大家准备了详细的学习成长路线图。数据丢失或损坏：某些恶意程序，如病毒和勒索软件，可能会破坏或加密用户的数据，导致重要文件无法访问或丢失。

*所以，放弃畏难情绪，提高对自己的要求，提升自己的能力才是唯一的出路。与软件测试和前端开发只需掌握一定的编程能力不同的是，渗透需要掌握的知识内容较多，花费的时间较长，渗透测试掌握代码是基础，其次还需要学习服务器操作系统数据库相关知识，web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计，攻击和防守等等相关技术。目前渗透测试的人才输送有限，但由于学校教育有限，很多高校的专业毕业生，只知理论，不能很好的胜任工作岗位，而校外培训机构，鉴于网络安全的学习难度，各培训机构每年可培育的人才数目也是有限的。