- 博客(19)
- 收藏
- 关注
RSS订阅原创 2022年 第1天:基础入门-操作系统&;名词&;文件下载&;反弹SHELL&;防火墙绕过
基础知识#知识点:1、名词解释-渗透测试-漏洞&攻击&后门&代码&专业词2、必备技能-操作系统-用途&命令&权限&用户&防火墙3、必备技能-文件下载-缘由&场景&使用-提权&后渗透4、必备技能-反弹命令-缘由&场景&使用-提权&后渗透。
2025-01-08 06:00:00
613
1
原创 2023年 第一天 基础入门-Web应用&架构搭建&站库分离&路由访问&配置受限&DNS解析
#知识点:1、Web常规-系统&中间件&数据库&源码等2、Web其他-集成软件&Docker容器&分配站等3、Web拓展-CDN&WAF&OSS&静态&负载均衡等#章节点应用架构:Web/APP/云应用/三方服务/负载均衡等安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等渗透命令:文件上传下载/端口服务/Shell反弹等抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等算法加密:数据编码/密码算法/密码保护/反编译/加壳等演示案例:常规的Web应用搭建:1、购买云服务器,购买域
2025-01-07 21:29:58
615
原创 2024年 第一天 基础入门-Web应用&架构搭建&域名源码&站库分离&MVC模型&解析受限&对应路径
防火墙出入站,Windows&Linux渗透命令,WAF产品,负载均衡,加壳保护等。算法:MD5,Base64,AES,DES,Salt,自定义,代码加密算法等。命令:Windows&Linux,文件下载,网络查看,反弹权限,用户等。数据加解密算法,数据包抓取,数据包解析,正反向网络通讯,内外网通讯,防护:WAF防护,蜜罐系统,CDN加速,权限设置,加壳加密反调试等。后台目录,文件目录,逻辑目录,前端目录,数据目录,配置文件等。架构:WEB,APP,小程序,前后端,容器化等。
2025-01-07 21:14:04
484
原创 【HTTP协议数据包简单总结】
1.浏览器建立与web服务器之间的连接2.浏览器将请求数据打包(生成请求数据包)并发送到web服务器3.web服务器将处理结果打包(生成响应数据包)并发送给浏览器4.web服务器关闭连接。
2025-01-06 18:59:44
640
原创 【渗透测试术语总结】
世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
2025-01-06 18:23:49
2406
1
原创 网络安全抓包
是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。是强大的网络封包编辑器,wpe可以截取网络上的信息,修改封包数据,是外挂制作的常用工具。通讯类的游戏是建立连接,要一直建立连接,这样数据就不会掉线。
2025-01-04 20:57:37
4073
1
原创 基础入门-web应用
算法:MD5,Base64,AES,DES,Salt,自定义,代码加密算法等。Web架构,App架构,小程序架构,前后端分离,容器技术,云产品服务,命令:Windows&Linux,文件下载,网络查看,反弹权限,用户等。数据加解密算法,数据包抓取,数据包解析,正反向网络通讯,内外网通讯,防护:WAF防护,蜜罐系统,CDN加速,权限设置,加壳加密反调试等。后台目录,文件目录,逻辑目录,前端目录,数据目录,配置文件等。架构:WEB,APP,小程序,前后端,容器化等。4、基础入门-Web应用-解析上的技术要点。
2025-01-04 20:46:52
546
原创 【使用信息素养来分析网络工程师这一岗位】
国家对于网络行业的发展给予了很大的支持,随着互联网的发展,国家也出台了一系列的公开文件,表明了重视数字化产业安全的重要性,也强调了发展方向,但随着互联网的高速发展,网络工程师的需求虽然越来越多,但是相对而言技术的把握程度也越来越重要,对个人的技能水平和知识储备较为严格,所以要想胜任这网络工程师的岗位还需要不断的学习。检索结果分析:检索内容较多,为了确保文献和数据的准确性,选择相关性较强的文章进行参考,得到了网络工程师的发展情况,为了确保信息的准确性接下来去中研网继续进行检索分析。
2024-12-23 21:19:42
996
原创 【Css常见的字体属性:】
上面这几个属性可以连着写,但是有一个要求,font属性连写至少要有字号和字体,否则连写是不生效的。Transition的中文含义是过度,过度是CSS3中具有颠覆性的一个特征,可以实现元素不同状态间的平滑过渡(补间动画),经常用来制作动画特效。是否加粗属性以及上面这三个属性,我们可以连写:(是否加粗、字号font-size、行高line-height、字体 font-family)Rotate旋转时,默认是以盒子的正中心为坐标原点的,如果想要改变旋转的坐标原点,可以用transform-origin属性。
2024-12-23 20:25:44
716
原创 护网设备使用
主要来源包括RASP防护,如文件上传漏洞、webshell利用、任意文件读取、RCE等。nRASP(Runtime Application Self-Protection), 运行时程序自我保护,是一种嵌入至到运行时环境的安全防护加固技术,工作于ASP、PHP、Java等脚本语言解释器内部,通过HOOK函数的方式,可以细粒度的监控应用脚本的行为及函数调用上下文信息,及时发现恶意代码和漏洞利用行为,缩小攻防信息不对称的时间差,有效降低未知安全威胁造成的破坏。
2024-12-22 22:15:10
984
原创 使用burp抓取模拟器app数据包详细教程
将burp.pem格式的文件放到逍遥安卓下载的目录,并把burp.pem文件修改成刚刚查看的hash值。在本机的逍遥安卓下载里面就有了cacert.der下载的证书文件。保存,打开浏览器访问这个ip,下载CA Certificate。打开Proxifier工具,点击配置文件,高级。添加好了,测试检查,测试通过就可以了。再次进入配置文件,点击代理规则,添加。打开文件所在位置,就能得到小程序的包。测试抓包,随便打开一个小程序,burp查看,成功抓取到数据包。放到模拟器存放证书的地方。进入模拟器,打开网络设置。
2024-12-22 22:11:33
561
原创 网络安全应急响应
发现在secure-20210420那天的日志,爆破次数达到最多,猜测当天受到了暴力枚举渗透测试,查看secure-20200601那天的日志,发现也是存在爆破的,因此黑客爆破服务器的次数是 secure-20200601 + secure-20210420 = 爆破次数。首先我们在任务计划中看到的是一个 /root/1.sh,我们进入到/root目录,发现/root目录下存在两个shell脚本文件,一个是1.sh也就是任务计划执行的脚本,其内容是一个反弹shell。
2024-12-21 23:58:36
1051
原创 【web安全入门基础】
程序源码 应用类型分类,开源的叫做cms,为了方便代码使用所以就是开发框架。域名,子域名,dns,http/https,ssl证书等等。然后:进行域名备案,购买服务器之后就可以在进行网站搭建了。购买之后有个域名的列表可以进行解析配置或者进行域名备案。宝塔(方便使用的自动化安装网站搭建集成化的软件包)然后就可以使用第三方软件宝塔,节约时间自动化安装。首先网站域名购买或者租聘方便以后使用和测试。如果域名没有备案可以使用大陆外服务器机。进入网址进行域名购买或者租聘。购买服务器,域名注册。第三方软件:elk等。
2024-12-21 23:46:20
171
原创 ac控制标准
二:成功发现上线之后,配置题意要求的wireless属性;(config-ap)#password encrypted(密文)/plain (明文)12345678 设置AP密码的认证密码 (开启密码认证前提)(config-wireless)#wireless ap anti-flood max-conn-count 5 设置AC和AP最大连接次数。(config-wireless)#ap database 00-03-0f-54-98-40 进入ap数据库配置模式。
2024-12-20 23:46:37
732
原创 【网络安全入门理论】
利用人为的弱点,很简单的道理很多人设置的密码都是手机号或者生日或者爱人生日,通过这些建立字典然后进行爆破你的个人qq密码,网站密码等。:木马是控制的攻击者, 就是那些表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限,病毒是专门破坏使用。:不知道代码只有一个目标成为黑盒测试,知道目标情况,服务器开了什么东西是白盒测试,黑盒子是没有目标,白的是有目标的测试方法。官方自带的防火墙,字面意思就是出和进来,出去的是基本上不会检测,入站是会检测的防火墙的开启会对内网测试进行限制。
2024-12-20 23:32:16
816
原创 网络安全认知
前后端,需要对一定的专业名词进行了解poc\EXP,payload shelloode,houmen1\webshell,木马病毒,反弹,回显,跳板,黑白盒子测试,暴力破解,社会工程学,撞库,att,ck等就是通过各种手段确保网络系统、网络数据以及网络应用的安全,防止数据泄露、篡改、破坏等问题的发生。通过不断学习基础概念、攻防技术、实践操作,并关注行业动态与法律伦理,我们能够不断提升自己的网络安全水平,应对未来更加复杂的网络安全威胁。从我的理解来看,网络安全的本质是人与人之间的博弈。三.如何学习网络安全。
2024-12-19 22:19:30
539
原创 自我学习网络安全的发展历程
在我上大学期间一直跟紧跟时代的趋势,当时了解上学期间到网络安全的词语,直到19年国家政府颁布《中国现代化2035》政策的颁布,教育信息化建设迅猛发展,多个学校进行了现代教育化的普及,同时也提出了‘’以赛促教‘’的理念,国家大力支持。促进了网络安全的发展,我也跟随时代参见了众多ctf比赛,但是比赛过曾中我一直都是进行网络搭建和安全防护的任务,也是大赛带给我的认知让我了解到:近年来,如学习通、京东、铁路12306等信息泄露事件频发,凸显了保护个人信息和国家安全的紧迫性。
2024-12-18 21:36:41
869
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人