QXXXD的博客

01 SQL 介绍什么是 SQLSQL 是用于访问和处理数据库的标准的计算机语言。SQL 指结构化查询语言SQL 使我们有能力访问数据库SQL 是一种 ANSI 的标准计算机语言SQL 的类型可以把 SQL 分为两个部分：数据操作语言 (DML) 和 数据定义语言 (DDL)。数据查询语言（DQL: Data Query Language）数据操纵语言（DML：Data Manipulation Language）学习 SQL 的作用。

主要分为三类：**侦查攻击：**搜集网络存在的弱点，以进一步攻击网络。分为扫描攻击和网络监听：扫描攻击有端口扫描，主机扫描，漏洞扫描。**网络监听：**主要指只通过软件将使用者计算机网卡的模式置为混杂模式，从而查看通过此网络的重要明文信息。**端口扫描：**根据 TCP 协议规范，当一台计算机收到一个TCP 连接建立请求报文（TCP SYN） 的时候，做这样的处理：1、如果请求的TCP端口是开放的，则回应一个TCP ACK 报文， 并建立TCP连接控制结构（TCB）；

1.了解黑客的思维方式我们生活中用到的网站、软件等，都是由程序员编写的代码构成的。这些代码在设计的过程中，都是基于一种正向的逻辑进行的，为了实现某个目的，完成某个操作的流程或数据传输逻辑。而黑客的思维是逆向的，他们会去分析目前这个操作流程或数据传输逻辑中，是否存在一些验证不严谨或者隐秘信息被泄露的风险，并加以利用，从而绕过正常的操作逻辑达到未授权访问或操作的能力。通俗点说，程序员是造房子的，而黑客则是看看房子是不是哪里漏了个风，缺了个口。翻进去为所欲为；有的甚至直接将房子拆了。

第一个(资产收集)作为网站的资产收集，主要收集的就是主域名的二级，三级。。，还有就是这些的C段，最重要的是PORT。工具的话一般都是用李姐姐还有layer的子域名扫描，利用那些字典爆破，还有一些接口收集。扫出来后用脚本过滤一下，生成C段，然后用NMAP或者自己写的脚本进行端口的探测。还有的话就是用URL采集工具，采集Bing，baidu等。这里不推荐使用一些国外大牛写的脚本，因为咱们有墙，这个解释可以不？总之来说，发现越多的子域名，端口对你很有利。第二个(漏洞挖掘)这里就来谈谈挖漏洞吧！

一个漏洞奖励2w，这是真实的嘛！我入行网安这些年也一直在接私活，副业赚的钱几乎是我工资的三倍！看到最近副业挖漏洞的内容非常火爆，我便决定将自己的经验分享出来，带我的粉丝们一起挣钱！注意，挖漏洞是需要授权的，没有授权的挖漏洞是违法的哦。个人认为挖高危漏洞最好的途径就是参加官网悬赏，有授权，而且奖金还不少，大的企业或项目的单个漏洞都在1w+。21年i春秋众测活动单个漏洞奖励就高达5w！当然，高危漏洞还是有一定难度的。如果你是新手，可以先从低危漏洞挖起。

1、挖洞收入我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准，通常单个漏洞最高奖励会在1W-10W之间。审核人员也会根据提交的漏洞进行评判，通常分为低危、中危、高危及严重四个等级，不同漏洞等级对应不同奖励，几百到几万的都有。总的来说，如果你是利用业余时间来挖洞，那么这笔副业收入也是相当可观的。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

这是一场紧张的比赛，现场激情解说:“SP的战队率先发起攻击，可惜被K&K战队以三行代码轻松拦截！“哇哦，SP战队依旧紧追猛打，在几秒之内就找到了对方漏洞所在，极速完胜对手！“天哪，SP战队再次找到K&K服务器防御漏洞！

前言web渗透是网络安全大行业里入门板块，就像十年前的软件，前景非常被看好，薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是，渗透需要掌握的知识内容较多，花费的时间较长，渗透测试掌握代码是基础，其次还需要学习服务器操作系统数据库相关知识，web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计，攻击和防守等等相关技术。关于网安的前景，先说两个观点，脚本小子的时代已经过去了，知识永远是与时俱进的。

概述之前的文章给大家分析了安全行业目前的发展趋势、安全防御和渗透攻击两端不同的技术栈需求。在这篇文章里面，我们聚焦以下常见的安全行业求职和职业发展问题：安全行业如何区分？安全岗位到底有哪些？不同安全岗位的技术需求和岗位职责有什么区别？适合我们的安全岗位又有哪些？有哪些公司在招聘安全人才？安全企业的排名情况大体是怎样的？XXX公司好，还是YYY安全好？安全行业的薪酬标准是如何的？

1.防火墙技术：防火墙是一种网络安全设备，用于监控和控制进入或离开网络的流量。它可以识别不安全的数据包，并阻止它们进入网络。防火墙可以是硬件设备或软件程序。2.VPN技术：VPN是虚拟专用网络的缩写，是一种通过公共网络建立安全连接的技术。它通过加密和隧道技术来保护数据传输的机密性和完整性。VPN可以让用户远程访问受限资源，例如公司内部网络。3.加密技术：加密技术是一种将数据转换为不可读格式的技术。它可以防止未经授权的访问者读取或修改数据。常见的加密算法包括AES、RSA等。

大家都知道黑客发起攻击、入侵等行为都需要挖掘其网络、系统、程序的“漏洞”，然后利用其"漏洞"来完成目标实施，那么"漏洞是如何产生的"？又是如何被挖掘出来被利用的呢？今天就以本篇文章内容给大家详细阐述一下"漏洞的定义、趋势、产生、分类、以及漏洞的挖掘和分析技术详解"！一、漏洞的基本理解我们经常听到漏洞这个概念，可什么是安全漏洞？**官方定义：**漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的下访问或破坏系统。

我这里还有渗透测试\web安全/攻防/src漏洞讲解/只要是关于网络安全的部分，应该都有！还有两三千本电子书籍！以及自己整理出的一套学习路线！告别低效率的学习！还想要更多资料的读者们，当然我也会毫不吝啬地分享给大家！我这里还有渗透测试\web安全/攻防/src漏洞讲解/只要是关于网络安全的部分，应该都有！还有两三千本电子书籍！以及自己整理出的一套学习路线！告别低效率的学习！

我们要找什么样的凭证？我们之前提到的有不同的类型和不同的用例。第一种当是用户名和密码。找到用户名总是好的，如果他们持有高权限，这可能会节省我们横向移动和权限提升工作。虽然有很多情况下，一对好的用户名和密码可能能够直接让我们拿下目标，但有两点我们必须考虑：我们不可能每次都可以找到好用的用户名和密码即使我们找到了，我们还可能需要面对2FA验证因此，我们需要将目光转移到其他凭据类型。Cookies我们都知道。

我曾经是一名普通的销售人员，工作了三年，每天重复着相同的工作内容，感觉自己的职业生涯停滞不前，毫无发展前景。我开始思考，如何才能让自己的职业生涯更有意义，更具有挑战性。经过一番调研，我决定转行网络安全工程师。工作了越久，越觉得当初转行网络安全的决定还是非常正确的。目前的收入还比较满意，月入2W+（仅代表个人收入）,13薪，年薪有25W。这不是我的目标，会继续努力提升自己的技能，争取有更高的收入。经过半年的学习努力，找到一份月薪10K的工作，加上自己经验的积累，现在收入增加了很多。

运维是网络安全中最复杂的工种，不同的行业、不同的工作事项、不同的工作环境等等，都可以衍生出不同的运维工种。包括：系统运维，自动化运维，桌面运维，大数据运维，售前运维，数据库运维，运维安全，应用运维，硬件运维、devops运维，网页运维，服务器运维、实施运维。

网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。其涵盖信息保密性、完整性、可用性、不可抵赖性、真实性、可控性和可审查性等多个方面。网络安全不仅在技术层面上进行防护，还包括管理、法律和社会层面的全面保障，以维护网络环境的安全和稳定。

百度上对“网络安全”是这么介绍的：“网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露、系统连续可靠正常地运行，网络服务不中断。嗯…是不是感觉有点抽象。那么我们再换一种表述：网络安全就是维护网络系统上的信息安全。这里又涉及到一个名词“信息安全”。那么信息安全又是什么呢？信息安全是指保护计算机硬件、软件、数据等不因偶然和恶意的原因而遭到破坏、更改和泄露。OK，网络安全和信息安全的概念都搞明白了，接下来讨论一下，网络安全工程师是做什么的？

前言最近有很多小伙伴问我：零基础如何入门网络安全，他的梦想是成为网络安全工程师。我一问年龄：也就刚刚步入大一，这可是最好的时机，因为有足足四年的时光来做准备。行业前景网络安全行业的前景相信已经无须多言，在国家政策的大力扶持和人才缺口的不断扩大之下，网络安全已经逐步成为了当今时代的新风口。

奉劝所有零基础想入门（转行）网络安全的朋友，麻烦转行前，一定要对网络安全行业做一个大概了解，不要一点都不懂就盲目转行。网络安全是什么？网络安全就是保障网络环境里的信息、数据安全，今年西北工业大学遭受网络攻击，武汉地震监测中心遭受网络攻击，便是典型的网络安全事件，一个国家、一个企业如果没有网络安全，就如同在互联网中“裸奔”，隐私暴露无遗。可以理解为，网络安全从业人员，是一群保卫国家数据安全、企业数据安全的卫士。网络安全如今前景如何？

前言近年来，很多人想要从其他行业跳槽转入网络安全领域。非计算机科班如何丝滑转码？跨行转其实很常见，特别是当下比较火的行业，目前较火的网络安全尤其常见，笔者自己身边就有很多这样的案例，有工厂打螺丝转过来的，有化学、数学等专业转过来。随着计算机技术的迅速发展和应用范围的不断扩大，网络安全行业已经成为了近年来最热门的行业之一。因此，越来越多的人想要从其他行业跳槽转入网络安全领域。然而，对于那些没有计算机科班背景的人来说，想要成功转行也是一件非常有挑战性的事情。

概述之前的文章给大家分析了安全行业目前的发展趋势、安全防御和渗透攻击两端不同的技术栈需求。在这篇文章里面，我们聚焦以下常见的安全行业求职和职业发展问题：安全行业如何区分？安全岗位到底有哪些？不同安全岗位的技术需求和岗位职责有什么区别？适合我们的安全岗位又有哪些？有哪些公司在招聘安全人才？安全企业的排名情况大体是怎样的？XXX公司好，还是YYY安全好？安全行业的薪酬标准是如何的？

01网络安全行业的魅力让我们首先了解为什么这么多人被网络安全所吸引。这是一个充满机遇的行业。对技能娴熟的专业人士的需求空前高涨，薪资待遇具有竞争力，成为一名数字守护者的想法无疑很有吸引力。你经常听到人们说，这是一个充满目标、令人兴奋的职业，并且有机会产生真正的影响。我最近从 Statista （全球知名的在线统计数据门户，提供了来自各主要市场、国家和民意调查的数据，数据主要来自商业组织和政府机构。）看到了一些关于网络安全市场未来的有趣数据。

学习网络渗透技术是一件靠兴趣驱动的事情，只有强烈热爱一件事才能持之以恒的去做，对于那些三分钟热度的人来说还是劝你放弃吧，因为网络渗透技术自学需要很多方面的知识，没耐心是无法学会的，当然除了有想要学习的决心之外还要有学习方法，磨刀不误砍柴工，好的学习方法可以让你事半功倍，那网络渗透技术该如何自学呢首先要学的是网络方面的知识，像ip地址的基本概念，ip段的划分，什么是C段等，还要了解网络协议，像TCP/IP协议等，知道网络数据包是如何传递的，以后会用到抓包改包等。

学习网络渗透技术是一件靠兴趣驱动的事情，只有强烈热爱一件事才能持之以恒的去做，对于那些三分钟热度的人来说还是劝你放弃吧，因为网络渗透技术自学需要很多方面的知识，没耐心是无法学会的，当然除了有想要学习的决心之外还要有学习方法，磨刀不误砍柴工，好的学习方法可以让你事半功倍，那网络渗透技术该如何自学呢首先要学的是网络方面的知识，像ip地址的基本概念，ip段的划分，什么是C段等，还要了解网络协议，像TCP/IP协议等，知道网络数据包是如何传递的，以后会用到抓包改包等。

随着网络安全被列为国家安全战略的一部分，这个曾经细分的领域发展提速了不少，除了一些传统安全厂商以外，一些互联网大厂也都纷纷加码了在这一块的投入，随之而来的吸引了越来越多的新鲜血液不断涌入。不同于Java、C/C++等后端开发岗位有非常明晰的学习路线，网路安全更多是靠自己摸索，要学的东西又杂又多，难成体系。网络安全分支其实在网络安全这个概念之上，还有一个更大的概念：信息安全。工作岗位主要有以下：网络安全工程师信息安全工程师风险评估工程师应急响应工程师o系统集成工程师。

网络安全行业前景1、人才缺口大中国网络安全领域的人才需求云计算和大数据时代的挑战2、就业薪资怎么样网络安全专业的薪资水平3、行业和地区分析网络安全发展前景未来趋势怎么样职业发展机会在哪里岗位有哪些，待遇好吗？网络安全工程师（Network Security Engineer）渗透测试员（Penetration Tester）安全分析师（Security Analyst）网络安全管理员（Security Administrator）

渗透测试相关vulhubvulnhubtryhackmehackthebox小飞侠Geek（Linux运维，OSCP）小迪安全农夫安全deelmind(全能)

一、网络安全之定义网络安全，简而言之，是指通过采取技术和管理措施，保护网络系统免受未经授权的访问、使用、泄露、中断、修改或破坏，确保网络数据的完整性、保密性和可用性的一种状态或能力。这一定义涵盖了网络空间的多个维度，从基础的硬件设施安全，到复杂的软件应用安全，再到数据传输过程中的加密保护，以及用户身份认证与访问控制等，无一不体现出网络安全的多层次、多维度特性。二、网络安全在企业中如何体现企业中网络安全通常会借助软件来实现，比如域智盾软件。我们直接以该软件为例，来了解一下是如何保护企业安全的。

01-什么是护网行动护网行动是以公安部牵头的，用以评估企事业单位的网络安全的活动。具体实践中，公安部会组织攻防两方，进攻方会在一个月内对防守方发动网络攻击，检测出防守方（企事业单位）存在的安全漏洞。通过与进攻方的对抗，企事业单位网络、系统以及设备等的安全能力会大大提高。“护网行动”是国家应对网络安全问题所做的重要布局之一。

97年的我，在土木大专毕业后并没有选择相关的行业。一是我觉得干土木不赚钱，二是干土木很辛苦。在我们这个行业，如果你是一本及以上大学毕业的，那你的工资肯定很高，如果夏天有高温补贴的话，刚毕业出来就能月薪过万，不过土木依旧逃不掉上工地干活的痛苦，也就是累。如果是像我这种大专毕业的学生去工地上班，通常试用期半年甚至以上，每个月能有3000的工资就已经是高薪了，更不用说上万了。

黑客其实和一般的程序员一样，但是他们的关注点不一样。黑客关注的是如何破坏，通过这些有创造性的破坏来获取利益，展现自己的能力。而程序员关注的是如何创造，通过创造来获取利益，展现自己的能力。就如同一个硬币的两面，一个新技术出现时，黑客总会关注其缺陷，而程序员更多的是关注它的优点。程序员把一个东西的技术吹的再厉害，但是黑客总会通过技术手段找出它的缺陷，并证明出来。程序员一般只是跟着技术明面上的内容走，但是黑客总会看到技术明面之外的东西，别人看不到的、意想不到的地方，这些地方会被黑客挖出来并且利用。

现在越来越多应届生转行开始学习网络安全了，网络安全工程师成了不少人梦寐以求的职位。那么学网络安全有什么优点呢？1、学网络安全对职业发展有利，各企业越来越重视网络安全，网络安全工程师将越来越吃香。2、网络安全容易入门，对英语和数学要求都不是很高，前期重要的部分是熟悉电脑和网络基础。3、网络安全行业的起步薪资高，一线城市平均薪水10000起步。4、学网络安全对个人应急处理问题的能力有很大的帮助。

写在前面网络空间安全专业越来越受到国家政策的支持；而滴滴APP泄露个人隐私等事件，也使得大众的安全意识和安全需求前所未有的提高。在这样的环境下，越来越多的同学想要攻读网络安全专业，那么问题来了，网安研究生哪个方向更具有前景呢？网安方向介绍BAOYAN首先我们一起来了解一下网络空间安全专业有哪些方向，以及每个方向所需要的基础能力。网安大体可分为5个子方向，分别为密码学与应用安全、量子信息安全、数据安全、系统安全、网络安全。0****1、密码学与应用安全。

转眼间，从大三开始学安全，到现在也有五年了，也算是对渗透测试有一定理解，公众号准备出一些入门教程，以实操为主，希望可以帮助到想入门渗透测试的小白。如果觉得有用，可以在文章后面支持一下我，作为我写下去的动力。什么是渗透测试渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。

1、挖洞收入我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准，通常单个漏洞最高奖励会在1W-10W之间。审核人员也会根据提交的漏洞进行评判，通常分为低危、中危、高危及严重四个等级，不同漏洞等级对应不同奖励，几百到几万的都有。总的来说，如果你是利用业余时间来挖洞，那么这笔副业收入也是相当可观的。

1、挖洞收入我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准，通常单个漏洞最高奖励会在1W-10W之间。审核人员也会根据提交的漏洞进行评判，通常分为低危、中危、高危及严重四个等级，不同漏洞等级对应不同奖励，几百到几万的都有。总的来说，如果你是利用业余时间来挖洞，那么这笔副业收入也是相当可观的。