- 博客(34)
- 收藏
- 关注
RSS订阅原创 渗透测试中的 Cookie 与 Session:原理 + 窃取方法 + 防御
本文聚焦渗透测试中 Cookie 与 Session 安全核心,从 Web 无状态协议本质出发,解析其底层原理、关联机制与核心区别;拆解 3 类高频窃取方法并给出实操指南,从五维度提供企业可落地防御策略,兼顾技术深度与实用性,为初 / 中级安全从业者夯实基础、提供实战参考,助力精准防御会话类漏洞。
2025-12-19 11:23:08
1274
原创 基础编码与加密:URL 编码 + Base64 + MD5(渗透测试常用)
本文聚焦渗透测试中最常用的 URL 编码、Base64 编码、MD5 哈希技术,从核心原理出发,结合渗透测试实战场景,详细讲解了各类技术的应用逻辑、工具操作指南及避坑要点。文中弱化了需截图的步骤类内容,强化了可直接套用的命令、工具使用方法和场景化解析,重点覆盖 URL 二次编码绕过 WAF、Base64 载荷隐藏、MD5 密码破解等核心应用,同时补充了基础防御视角,旨在帮助安全从业者快速掌握编码加密技术在渗透测试中的核心用法,且严格强调合法合规的使用前提。
2025-12-18 16:32:59
1242
原创 XSS 跨站脚本攻击:3 种类型(存储型 / 反射型 / DOM 型)原理以 DVWA 靶场举例
本文从基础原理出发,拆解了反射型、存储型、DOM 型三种 XSS 攻击的核心逻辑与攻击链路,并基于 DVWA 靶场完成了 Low级别的实战复现。通过代码审计发现,低级别防护的核心缺陷是 “无过滤 / 简单字符串替换”,导致基础 Payload 可直接生效。基础级防御的核心是 “输入验证 + 输出编码”,配合 CSP 策略可大幅降低 XSS 风险。本文仅覆盖 XSS 基础原理与靶场实操,未涉及高级绕过、框架级防御等内容,旨在帮助入门者理解 XSS 的本质与基础防护思路。
2025-12-17 10:47:32
1160
原创 SQL 注入基础:手工注入流程(判断注入点→爆库→爆表→爆数据)
本文聚焦 DVWA Low 级别 SQL 注入实战,针对新手 “只会抄 Payload、不懂原理” 的痛点,拆解判断注入点→确定字段数→爆库→爆表→爆字段→爆敏感数据6 大核心步骤。每个环节结合漏洞原理、Payload 逻辑与靶场实操,搭配避坑指南与防御建议,纯手工实现无工具注入。内容适配入门学习者,为后续盲注、WAF 绕过等进阶技能夯实基础。
2025-12-15 10:45:56
1150
原创 HTML/CSS/JavaScript 基础:渗透测试必备前端知识
本文聚焦渗透测试必备的HTML/CSS/JavaScript前端基础,以**漏洞关联场景**为核心,拆解表单与注入漏洞、CSS样式伪装、JS DOM操作与XSS触发的底层逻辑。搭配可直接复现的代码案例与浏览器开发者工具实操步骤,详解隐藏参数篡改、视觉欺骗识别等渗透技巧,解答新手高频问题。内容兼顾入门易懂性与实战关联性,为后续深度漏洞挖掘夯实基础。
2025-12-12 16:31:19
901
原创 DVWA 靶场搭建:Windows11(phpstudy 搭建)(步骤 + 截图 + 常见问题)
本文聚焦 Windows 10/11/Server 系统下宝塔面板的实战搭建流程,从基础环境准备、安装排错,到 DVWA、SQLi-Labs 靶场的部署验证,再到宝塔与 BurpSuite、SQLMap 的入门级联动配置,全程围绕渗透测试环境适配核心需求展开。内容兼顾新手易懂性与技术实操性,详细拆解权限报错、端口占用等高频问题的解决步骤,帮助渗透测试学习者快速搭建稳定的本地靶场环境。后续进阶内容将在付费专栏持续更新,涵盖更深度的靶场加固、漏洞复现技巧,敬请关注。
2025-12-12 11:18:51
1266
1
原创 宝塔面板搭建:Linux(Kali 2024-2025)实战
本文面向渗透测试新手,聚焦宝塔面板的搭建与渗透测试环境适配,解决 “流程繁琐、报错多、适配难” 的核心痛点。全文按 “合规声明→思维导图→分步实战→常见问题→应用建议” 结构化呈现,通过 “原理 + 操作 + 截图提示” 的方式,详细讲解了 Kali 系统基础配置、宝塔安装、LAMP 环境部署、渗透测试参数适配、安全设置与环境验证全流程。16 个常见问题形成排查闭环,所有操作经实测无错误。关注专栏可领取思维导图与报错清单,后续将推出进阶实战内容,助力新手快速搭建合规高效的 Linux 渗透测试环境。
2025-12-11 11:31:01
1091
原创 渗透测试新手面试高频 50 题:原理 + 标准答案(2025)- 第三篇
本文是渗透测试新手面试系列终篇,聚焦 “合规边界 + 技术拓展”10 道 2025 高频题,含漏洞组合利用、Metasploit 使用、Webshell 免杀、内网横向移动等核心考点。所有内容纯技术聚焦,工具命令经 Kali 2025 实测,搭配答题技巧与错题避坑。系列完整覆盖 50 道面试题,适合新手与求职者。关注专栏可领完整 PDF 与工具速查表,后续付费专栏将推出进阶内容,助力入职。
2025-12-04 09:08:15
1306
原创 渗透测试新手面试高频 50 题:原理 + 标准答案(2025)- 第二篇
本文是渗透测试新手面试系列第二篇,聚焦 “漏洞原理 + 实战流程”20 道 2025 高频题。每题按 “原理拆解 + 标准答案 + 拓展” 解析,覆盖 SQL 注入、文件上传等核心漏洞,及信息收集、提权、报告撰写等实战流程。直击新手 “只会背答案” 痛点,工具命令经 Kali 2024-2025 实测,实操性强。延续系列结构化风格,适合面试求职者、新手及副业学习者。关注专栏可领思维导图与速记手册,后续将推出合规安全模块及答题技巧,助力面试通关。
2025-12-03 11:06:23
1031
原创 渗透测试新手面试高频 50 题:原理 + 标准答案(2025)- 第一篇
本文是渗透测试新手面试系列第一篇,聚焦 “基础概念 + 工具使用”20 道高频题,适配 2025 年面试趋势。每题按 “原理拆解 + 标准答案 + 简单拓展” 结构解析,避免单纯背答案,帮助新手理解核心逻辑、应对变形题。所有工具命令经 Kali 2024-2025 实测,实操性强。文章延续 “Web 渗透从入门到实战” 系列风格,结构清晰、重点突出,适合渗透测试新手、面试求职者及副业学习者。关注专栏可领取思维导图与工具速查表,后续将推出漏洞原理、实战流程等模块,助力面试通关。
2025-12-03 09:11:08
981
原创 1 个月入门渗透测试:学习计划 + 免费资源(靶场 + 教程)
本文为渗透测试零基础新手设计 4 周系统学习计划,按 “基础准备→信息收集→漏洞探测→漏洞利用→报告撰写” 流程拆分,每周明确量化目标、学习内容、实操任务及 Kali 2024-2025 实测可用命令。配套 12 + 免费优质资源(靶场 / 教程 / 工具),融入新手避坑指南与进阶方向,聚焦落地性、无复杂细节。作为 “Web 渗透从入门到实战” 系列免费文,后续将推出工具进阶、漏洞深化等内容,适合网络安全新手、副业学习者及 IT 转行者,关注可领思维导图与资源清单。
2025-12-03 08:09:19
998
原创 信息收集入门:被动侦察 7 大核心维度(Kali 实战 + 信息整合)
本文面向渗透测试入门者与网络安全副业新手,聚焦被动侦察 “信息零散、不会关联、无渗透价值” 的核心痛点,拆解 7 大核心维度(域名基础、DNS 解析、子域名资产等)。全文按 “合规→框架→实战→案例→总结” 结构化呈现,所有命令经 Kali 2024-2025 实测,重点讲解多维度信息关联逻辑。通过靶机实战串联知识点,提炼 3 个高价值渗透入口,帮新手从 “会用工具” 升级到 “有目的测试”。文章实操性强、避坑详实,关注专栏可领取思维导图与工具速查表,后续将推出进阶自动化技巧与深度实战内容,夯实信息收集基础
2025-12-03 08:08:48
783
原创 Web 漏洞分类(二):文件上传 / 命令注入 / 目录遍历 / 文件包含快速入门
本文是“Web漏洞分类”系列第二篇(进阶篇),聚焦文件上传、命令注入、目录遍历、文件包含4类服务器级高危漏洞,以“定义+成因+场景+利用+识别+防御”拆解核心逻辑,助力新手从“偷数据”进阶到“控服务器”。内容通俗实操,适合安全新手及副业学习者。关注专栏可领敏感文件路径字典+防御清单,专栏将深入实战利用与接单技巧。
2025-12-02 09:06:32
1190
原创 Web 漏洞分类(三):4 类易忽视高危漏洞(SSRF+XXE + 逻辑漏洞 + 安全配置错误)+ 新手完整学习路径
本文是 “Web 漏洞分类” 系列终篇,聚焦 SSRF、XXE、逻辑漏洞、安全配置错误 4 类易忽视高危漏洞,以 “定义 + 成因 + 利用 + 识别 + 防御” 完整拆解,同时给出 “基础→进阶→实战接单” 的 3 阶段学习路径。内容通俗实操,覆盖实战高频场景,适合安全新手及副业学习者。关注专栏可领 12 类漏洞完整思维导图 + 防御清单,付费专栏将深入实战变现技巧,助力从 “会漏洞” 到 “能赚钱”。
2025-12-02 09:05:41
1058
原创 Web 渗透入门(一):4 类核心漏洞攻击流程 + Kali 实测 + 防御清单
本文是 “Web 漏洞分类” 系列第一篇,专为新手拆解 4 类基础高频 Web 漏洞(SQL 注入、XSS、CSRF、弱口令),以 “通俗定义 + 文字版攻击流程图 + Kali 靶场实测 + 技术 + 管理双维度防御” 为核心结构,避开复杂代码,让新手快速建立漏洞分类认知。后续会发布第二篇(文件上传 / 命令注入等)及实战专栏,助力从 “懂分类” 到 “会实战”。
2025-12-01 11:47:49
1239
原创 渗透测试入门必看:10 个错误让你少走 1 年弯路(附避坑清单)
本文针对渗透测试新手,整合全网优质避坑指南,系统拆解 10 个最常见的核心错误(含 3 个高危合规错误、5 个中危实操错误、2 个低危细节错误),每个错误均配 “靶场实战案例 + 可直接复制的避坑命令 + 犯错补救方案”,打破同质化文章的 “单纯罗列” 误区。重点强调 “合规底线、逻辑思维、工具原理结合”,让新手不仅知 “不能做”,更懂 “为什么” 和 “怎么做”。后续专栏覆盖漏洞利用避坑、报告撰写、副业变现,关注即可获取体系化学习路径和避坑清单,适合网络安全新手、副业学习者和 IT 转行者。
2025-12-01 09:21:03
875
原创 信息收集入门:被动 + 主动侦察全维度思路框架
本文面向渗透测试入门者,聚焦信息搜集 “原理 + 思路” 而非工具堆砌,覆盖 15 + 核心维度,每个维度按 “为什么搜 + 从哪搜 + 用什么搜” 展开,被动搜集优先国内在线工具,主动工具精简适配。内容无需复杂命令,帮助新手搭建全维度资产画像、明确攻击优先级,规避盲目操作。作为 “渗透测试从入门到实战” 系列第二篇,后续将更新信息搜集自动化、漏洞利用、副业接单等落地内容,关注可领取国内工具清单 + 资产画像模板,欢迎留言反馈需求调整更新顺序。
2025-11-28 17:05:01
1031
原创 网络安全入门:渗透测试完整流程(信息收集→漏洞利用→权限维持)
本文针对渗透测试入门者、网络安全副业新手,系统拆解 “信息收集→漏洞利用→权限维持” 完整流程。包含 SQL 注入、文件上传、权限提升等核心实战案例,工具命令带详细解释,新手可跟着完成第一次完整渗透,进阶者可参考逻辑框架。本文是 “渗透测试从入门到实战” 系列第一篇,后续专栏覆盖工具进阶、场景模拟、副业变现,关注即可获取体系化内容和专属福利,适合零基础 IT 转行者、网络安全学习者。
2025-11-28 15:49:06
1077
原创 渗透测试靶机服务器搭建:新手零失败教程一(含漏洞环境 +一键布置脚本)
本文是渗透测试靶机搭建续篇,面向已完成基础搭建的新手,聚焦 “漏洞预设 + Web 靶场” 核心需求。详细讲解 3 类高频漏洞配置:SSH 开启 root 弱口令(练手暴力破解)、FTP 匿名可上传(练手文件传输漏洞)、MySQL 远程弱口令连接(练手数据库渗透),命令附逐字解释,新手零门槛操作。还搭建 DVWA Web 靶场,覆盖 SQL 注入、XSS 等 10 + 漏洞,配套日志记录、共享文件夹配置,方便练手后分析。手动配置 40 分钟,配套付费脚本 5 分钟搞定所有操作,自动预设漏洞 + 靶场,适配
2025-11-27 17:36:43
1145
原创 渗透测试靶机服务器搭建:新手零失败教程一(含漏洞环境 )
本文面向渗透测试新手,解决 “找不到靶机、漏洞环境配置繁琐” 痛点,详解 Ubuntu 22.04 LTS 渗透测试靶机搭建全流程。从系统选型、虚拟机配置、国内源替换,到 SSH、FTP、MySQL 等核心服务安装,命令附逐字解释,新手零门槛操作。
2025-11-27 15:44:14
759
原创 10 件必做之事:让你的 Kali 从 “能用” 变 “好用”(附付费一键脚本,节省 4 小时)
Kali 初始化的核心是 “先能用,再好用”:1-5 件事解决下载慢、没权限、装不上工具的核心痛点;6-10 件事优化性能、输入、终端体验,让练手效率翻倍!手动配置耗时又易出错,免费脚本 10 分钟零失败搞定,新手直接上手漏洞挖掘、SRC 实战,副业变现不耽误~
2025-11-26 17:58:43
1195
原创 Linux 文件权限管理:rwx 权限解读与 chmod 命令实操(渗透测试新手必学)
本文针对渗透测试新手与 Linux 小白,聚焦 “权限看不懂、命令不会用” 痛点,用 “房间 + 楼道” 比喻拆解 rwx 权限(读 4 / 写 2 / 执行 1),详解 chmod 数字法(755/644 等高频组合)与符号法实操。重点覆盖靶场 5 大高频场景,补充 SUID/SGID 等特殊权限(提权关键线索),汇总权限配置不当漏洞清单与 chmod 报错排查。文末附免费进阶速查表(含 15 个权限组合、SUID 提权文件大全),助力新手合法练手读取敏感文件、执行测试脚本。后续推出付费进阶资源,关注专栏
2025-11-26 11:38:40
963
1
原创 Kali Linux 基础命令大全:20 个高频操作(渗透测试新手记熟就能用)
本文针对渗透测试新手与 Linux 小白,先明确 Kali Linux 是基于 Debian 的专业渗透测试系统,其基础命令与主流 Linux 通用。核心整理 20 个高频命令(含 cd/ls/find/grep 等),以表格形式呈现功能、渗透用途、基础示例与避坑点,每个命令均结合具体渗透场景(如查找敏感文件、查看端口)。还提供 3 个命令组合实操方案,解决新手 “记了不用” 的痛点,并汇总 5 个常见错误的解决方法。内容简洁易收藏,新手记熟即可上手渗透测试基础操作,为后续漏洞挖掘、SRC 变现铺垫。
2025-11-25 17:31:47
1197
原创 Kali Linux 2025 从零安装到实战入门:VMware 专属超详细指南(避坑版)
本文是针对渗透测试新手的 Kali Linux 2025 VMware 专属安装指南,聚焦零失败实操与避坑。先明确硬件要求(内存≥8G、CPU 虚拟化开启),提供官方镜像下载链接,避免第三方镜像风险;再分 18 步讲 VMware 配置(适配 Debian 12.x)、图形化安装(含磁盘分区等关键步骤),及安装后 VMware Tools、网络测试、系统更新配置。还汇总 6 大高频报错(如黑屏、无法上网)的解决方法,介绍 Nmap、Burp Suite 等核心工具入门,为 SRC 变现打基础,新手跟着操作即
2025-11-25 16:47:50
1915
原创 子网划分与CIDR表示法:渗透测试新手必学,从零掌握网络定位技术
本文系统讲解IP地址、子网、子网掩码、广播地址等网络基础概念,深入解析子网划分原理和CIDR表示法,结合渗透测试实战场景,提供从理论到实践的完整学习路径。通过SRC变现案例展示网络知识在实际漏洞挖掘中的应用价值,帮助读者建立精准的网络定位能力,为后续渗透测试学习和副业变现奠定坚实基础。
2025-11-24 19:15:00
714
原创 VMware 17 Pro 零失败安装教程:含虚拟机创建 + 渗透测试环境配置,新手一看就会
本文是 VMware 17 Pro 保姆级零失败安装教程,适配渗透测试新手。先明确系统(Win10/11、macOS 10.15 + 等)与硬件要求,重点指导 CPU 虚拟化开启(含 BIOS 操作),提供正版软件下载渠道。再分 10 步详解安装,标注避坑点(如不装 C 盘、关自动更新),后续教创建渗透测试专用虚拟机(桥接模式、4G 内存等关键配置),还汇总 4 类高频报错解决方案。教程全程配截图提示,新手 10 分钟可完成。学会后能搭建 Kali Linux 环境,为漏洞挖掘、SRC 变现打基础。
2025-11-24 17:12:43
1404
原创 渗透测试必背 50 个默认端口:从 “记不住” 到 “赚赏金”,新手照做就能用(附实操案例)
本文针对渗透测试新手和副业变现小白,按 “SRC 实用度” 整理 50 个高频默认端口,用表格呈现端口 - 服务 - 弱口令 - 实战用法,搭配 5 个核心端口的实操案例和 3 个记忆口诀,解决 “记不住、不会用” 的痛点。强调授权测试,附工具包和避坑技巧,新手记熟前 10 个就能提升挖洞效率,为 SRC 变现打基础,适合零基础入门。
2025-11-23 17:36:00
848
原创 《HTTP协议报文解析+HTTPS区别:渗透测试新手必懂,抓包/副业变现基础!》
本文针对渗透测试新手,用聊天记录比喻解析HTTP请求与响应报文,详解各字段在漏洞挖掘中的实际用途。通过对比表格厘清HTTP与HTTPS在加密、抓包等方面的核心区别,提供Burp Suite实操步骤,帮助读者夯实网络安全基础,为SRC漏洞挖掘和副业变现铺路。
2025-11-23 09:54:54
1280
原创 TCP/IP 协议入门:3 分钟看懂网络通信的核心原理(渗透测试新手变现必备)
本文从 OSI 七层模型切入,详解 TCP/IP 协议的 4 个核心层级,重点拆解 TCP、UDP、IP 三大核心协议的特性、适用场景及渗透测试应用。无需复杂理论,用通俗技术语言讲清协议本质,帮助新手理解网络通信逻辑,掌握协议在抓包、漏洞挖掘中的实操关联,为网络安全入门和 SRC 变现夯实基础。
2025-11-22 15:59:22
1351
原创 渗透测试别瞎搞!掌握PTES标准,副业接单成功率翻倍
PTES渗透测试执行标准是国际公认的专业流程,涵盖前期交互到报告生成七大阶段。本文重点解析SRC场景下后渗透阶段的合法边界,详解如何通过"漏洞影响面评估"提升漏洞价值,而非违法入侵。提供完整实操指南、工具推荐和检查清单,帮助读者在合规前提下提升副业接单成功率。
2025-11-22 11:31:35
757
原创 渗透测试合规边界:这 3 条法律红线绝对不能碰
本文针对渗透测试初学者与副业创作者,清晰划定了三条绝不能碰的法律红线:1. 未经授权绝不测试(授权源于在官方SRC/众测平台注册并同意协议);2. 授权范围内绝不越界(严格测试列表内目标);3. 发现漏洞绝不私自利用与披露。文章通过真实案例与法律条款,揭示了违规操作可能导致判刑的严重后果,并指明了通过合规平台合法“挖洞”变现的安全路径,旨在帮助读者在网络安全领域避坑掘金。
2025-11-21 10:10:23
790
原创 白帽黑客与黑帽黑客:本质区别是什么?看完这篇秒懂!
本文用“WannaCry病毒”真实案例开场,通过物业安检 vs 入室盗窃的生动比喻,彻底讲透白帽黑客与黑帽黑客在动机、法律、技术、职业、收入等5大维度的核心差异
2025-11-20 17:44:58
853
原创 sqlmap 入门到实战:小白也能轻松搞定 SQL 注入的神器!
qlmap作为一款强大的自动化SQL注入工具,在Web安全领域有着举足轻重的地位。本文从工具介绍、快速上手、核心命令详解、进阶实战技巧以及避坑指南等方面,全方位讲解sqlmap的使用。旨在帮助读者从对sqlmap一无所知的小白,成长为能够熟练运用其进行安全测试的行家,同时强调合法合规使用工具的重要性
2025-11-19 08:54:40
1031
原创 【Nmap】完全指南:从入门到实战,一篇就够了!
一篇掌握网络探测神器Nmap!从零安装、核心命令到实战技巧,本文带你从入门到精通。解决「网络里有什么」的难题,是渗透测试与网络管理的必修课。#Nmap #网络安全 #渗透测试
2025-11-17 16:58:27
1368
Kali Linux 一站式初始化脚本(含使用说明)
2025-11-26
Linux 权限(提权)管理进阶速查表(渗透测试专用)
2025-11-26
python-3.13.9-amd64最新官方正版
2025-11-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人