- 博客(295)
- 收藏
- 关注
RSS订阅原创 什么是网络安全,网络安全包括哪几个方面,学完能做一名黑客吗
网络安全是指保护网络系统、硬件、软件以及其中的数据免受未经授权的访问、使用、披露、修改、破坏或干扰的措施和实践。保护机密性:确保只有授权的人员能够访问敏感信息,防止数据泄露。维护完整性:保证数据在存储、传输和处理过程中不被非法修改或篡改。比如金融交易数据、医疗记录等必须保持完整准确。保障可用性:确保网络系统和服务能够持续正常运行,可供合法用户随时使用。像电商网站在购物高峰期间不能出现无法访问的情况。防范网络攻击。
2025-03-25 14:12:57
713
原创 自学网络安全(黑客技术)2025年 —90天学习计划
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2025-03-19 11:21:56
694
原创 现在2025年网络安全真实情况还好就业吗?2025年网络安全专业到底行不行
2025年网络安全行业的前景看起来非常乐观。:5G技术的普及将会使互联网的速度更快,同时也将带来更多的网络威胁和安全挑战。网络安全专家需要开发和实现新的技术和解决方案来确保5G网络的安全性。:物联网将改变我们生活的方方面面,但它也将增加网络威胁的数量。网络安全专家需要制定安全策略和技术,以确保物联网设备和网络的安全性。:随着人工智能和机器学习技术的进一步发展和应用,网络安全将变得更加复杂。网络安全专家需要开发和实现新的安全方案来应对这些新的挑战。
2025-03-19 11:13:25
906
原创 为什么网络安全行业这么内卷,还是被列为未来最有前途的工作之一?
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2025-03-19 11:10:37
857
原创 为什么说普通人不能随便学黑客技术,成为黑客到底有多难?
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2025-03-19 10:54:08
373
原创 2025最新,零基础入门学网络安全(详细),看这篇就够了!!
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2025-03-14 22:25:51
762
原创 三个月测一站-漏洞挖掘纯享版
好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。开局一个登录框:通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。语句:xxx系统历史漏洞 or xxx平台历史漏洞如上图,拼接payload,通过/…/…;号实现权限绕过:302跳转进入后台,发现为管理员界面。
2025-03-14 22:22:58
675
原创 血泪教训!程序员副业接单做私活避坑指南!!!
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-14 22:20:14
784
原创 基于污点分析的 AI 自动化漏洞挖掘尝试
参考资料本文是受Protect AI的vulnhuntr项目的启发,结合自己的经验做的另一种AI挖洞的尝试,如下图所示:与vulnhuntr思路不同的是,我们先逆向找到sink到source的链路,再利用AI做Source到Sink的正向污点分析来检测和判断整个链路的连通性。当然这种方式只适用于调用链不是很深的常规漏洞挖掘,因为链路查找如果不做污点分析,对于反序列化利用链这种情况会延伸出很多无效链路,肯定是不现实的。
2025-03-14 22:17:56
947
原创 还在为不知道怎么学习网络安全而烦恼吗?这篇文带你从入门级开始学习网络安全—认识网络安全
随着网络安全被列为国家安全战略的一部分,这个曾经细分的领域发展提速了不少,除了一些传统安全厂商以外,一些互联网大厂也都纷纷加码了在这一块的投入,随之而来的吸引了越来越多的新鲜血液不断涌入。
2025-03-14 22:15:47
540
原创 【2025】全网最全网络安全入门指南,零基础可学_网络安全学习指南
网络安全是指采取措施,确保计算机系统、网络和数据的机密性、完整性和可用性,以防止未经授权的访问、破坏或泄露。
2025-03-11 18:43:40
787
原创 如果你想转行做网络安全,请关注三大问题
随着互联网的普及和数字化的发展,网络安全的重要性日益凸显,对网络安全专业人才的需求也在不断增长。必火安全学院火哥给大家一些转行做网络安全的一些考虑和建议:1:网络安全对技术水平要求比较高,摸鱼不现实网络安全是一个广泛而复杂的领域,涉及到许多技术和概念。如果想要转行做网络安全,首先需要学习网络安全的基础知识和技能。网络安全是一个高度技术性的领域。网络安全工程师需要具备扎实的计算机基础知识,包括网络原理、操作系统、数据库管理等方面的知识。
2025-03-11 18:41:52
384
原创 自学黑客、网络安全,一般人我劝你还是算了吧!
笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2025-03-11 18:27:35
474
原创 总结19个WEB常见安全漏洞及应对方案
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-11 18:24:58
704
原创 建议收藏:SQL注入基础与各个数据库中的常用命令
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-10 20:04:59
557
原创 2025金三银四转行网络安全,应该选哪个方向?
网络安全态势分析工程师:负责规划设计安全态势监测分析方案,进行安全态势监测,分析安全态势数据,给出网络安全态势的合理评价,建立业务风险监控体系,完善自动化情报预警系统,更快更及时的响应威胁。安全风险评估工程师:负责对目标对象安全风险评估,搭建风险评估体系,制定安全评估方案、工具、流程与评估方式,并根据评估结果提供相应的安全技术与管理措施建议。漏洞分析评估工程师 :负责对信息、信息系统、信息基础设施和网络的漏洞和安全威胁进行评估,分析差距,评估风险水平,制定或推荐适当的加固措施。
2025-03-10 19:57:05
708
原创 2025年转行做网络安全工程师还来得及吗?薪资怎么样呢
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-10 19:55:02
961
原创 【网络安全CTF比赛】学习资源整理(解题工具、解题思路、学习路线、比赛时间、实战靶场)推荐收藏
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
2025-03-10 19:51:42
1271
原创 二级、三级等保测评内容有何区别?
在《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239 - 2019)中,针对不同等级信息系统的安全功能与措施作出了具体要求。信息安全等级测评需依据信息系统的等级,从中遴选相应等级的安全测评指标,并遵循《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)对信息系统的安全现状予以评估。等级保护测评对象繁多,包括数据机房、安全设备、网络设备,服务器设备、终端设备,系统管理软件,业务应用系统、安全相关人员、管理文档等内容。
2025-03-08 20:20:05
940
原创 【2025最新】网络安全自学入门:(非常详细)从零基础入门到精通学习路线&规划
网络安全是一个庞大而不断发展的领域,它包含多个专业领域,如网络防御、网络攻击、数据加密等。介绍网络安全的基本概念、技术和工具,逐步深入,帮助您成为一名合格的网络安全从业人员。很多人上来就说想学习黑客,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。算上从学校开始学习,已经在网安这条路上走了10年了,无论是以前在学校做安全研究,还是毕业后在百度、360从事内核安全产品和二进制漏洞攻防对抗,我都深知学习方法的重要性。
2025-03-08 20:16:17
883
原创 自学黑客技术的11个步骤(2025版)
ing、FreeBuf论坛 || 文档 | OWASP Cheat Sheet、Exploit-DB漏洞库 |
2025-03-08 20:12:52
787
原创 【建议收藏】CTF网络安全夺旗赛刷题指南(2025最新版)
建议从TryHackMe的“Web入门”系列开始,每天投入2小时,3个月后你将惊讶自己的进步!这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!:CTF(Capture The Flag)是一种网络安全竞赛形式,选手通过破解漏洞、逆向工程、密码学等手段获取目标服务器的“Flag”。我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~:熟悉基础题型,掌握CTF核心逻辑。
2025-03-08 20:12:06
572
原创 探索网络安全:浅析文件上传漏洞
在数字化时代,网络安全已成为我们每个人都需要关注的重要议题。无论是个人隐私保护,还是企业数据安全,网络威胁无处不在。了解网络安全的基本知识和防护措施,对我们每个人来说都至关重要。在接下来的章节中,我们将继续深入探讨如何攻击和防护文件上传漏洞,以及如何通过简单的方法检查服务器资源。网络安全是一场没有硝烟的战争,它要求我们时刻保持警惕,不断学习与适应。无论是采用强密码、数据加密,还是定期更新软件、安装安全软件,每一项措施都是我们构建网络安全防线的基石。
2025-03-07 21:29:50
714
原创 同样都是网安证书,为什么考CISP比CISSP的多
在网络安全领域,专业认证是衡量专业人士技能和知识的重要标准。其中,CISP和CISSP作为业内TOP级别的两个认证,尽管它们都旨在提升信息安全专业人才的能力,这一现象相信很多IT朋友都会对此有所疑问:为什么在同样是网络安全证书的情况下,CISP会比CISSP更受欢迎呢?CISP在国内不同的优势在哪?
2025-03-07 21:29:03
623
原创 修复等保漏洞:升级ssh到9.4版本
升级SSH版本的时候一定要小心,先打开telnet登录以备升级失败登不上服务器,另外备份好旧版本,试过升级一台机器发现升级失败,因为没有权限,搞了半天也不行,本来就是root账号,用了sudo也不行,后面重装了ssh才回滚成功本文转自,如有侵权,请联系删除。我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!
2025-03-07 21:28:07
987
原创 面试官:网络安全了解多少,简单说说?
就像前面安全系列相关文章提到的一样,永远不要相信用户的任何输入,永远不要,永远不要,对于用户输入的东西,在前端就做好过滤,然后再提交到后端,这才是一个合格的前端需要养成的良好习惯,永远不要将安全责任都推到后端身上,因为我们需要相信,前端+后端,永远是更加安全和稳固的安全开发范式!最后从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2025-03-07 21:26:31
696
原创 针对Swagger接口泄露未授权访问的各种姿势
这篇文章的话主要是给师傅们分享下Swagger接口泄露包括未授权访问然后导致信息泄露相关的一些常见姿势。然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和未授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!其中可能会含有敏感数据,如数据库的密码明文等。
2025-03-07 21:20:37
1757
原创 前端安全系列:如何防止XSS攻击?
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
2025-03-06 14:54:25
280
原创 前端面试被问到网络安全怎么办?7 种前端安全攻击大解析!
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-06 14:52:09
846
原创 如何学习网络安全?网络安全学习路线
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
2025-03-06 14:51:21
935
原创 为什么越来越多的人转行网络安全?
同时结合自身情况,同步选择学历提升,提高竞争力。课程涵盖:CISP、CISM、CISD、NISP、CISSP、CCSP、CSSLP、CISA、CISM、CDPSE、CRISC、CGEIT、CIPM、CIPT、CIPP、OSCP、OSEP、OSWE、DSOM、DPO、ISO Foundation/Auditor等。但是网络安全行业和传统的IT行业从思维模式上来说又有着本质的不同,传统的互联网技术工作是在一个非常稳定的架构基础上进行的,这是正向思维:它是信任、是建设、追求的是统一、互联互通。
2025-03-06 14:50:41
700
原创 自学黑客的11个步骤,零基础入门到精通,收藏这一篇就够了
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-03-06 14:49:56
841
原创 恢复清除的浏览器历史记录——Chrome取证
如何检测用户何时删除了他们的 chrome 历史记录,有没有办法从取证上恢复它?答案是……当然了。恢复用户在删除其Chrome浏览器历史记录时正在做的事情是检查文件夹。会话文件存储会话信息,选项文件存储他们打开的选项卡。在某些情况下,当用户清除他们的 Chrome 历史记录时,他们正在浏览的内容可以保留在这些文件中。有一些可能已经发生的潜在案例,我们将对所有这些案例进行分析:一位用户清除了他们的历史记录,之后就不再使用 Chrome用户清除他们的历史记录并重新打开一个新会话。
2025-03-04 10:28:48
272
原创 黑客如何使用payload远程访问Android
在当今数字化时代,越来越多的人使用智能手机来存储和处理个人信息,因此保护手机安全变得尤为重要。然而,黑客们却能够通过各种手段攻击手机系统,其中一种常见的方式就是使用payload远程访问Android系统。在这篇文章中,我们将探讨黑客如何使用payload攻击Android系统,并提供一些防范措施,以帮助用户保护自己的手机安全。这是一个解释如何使用 Kali 破解安卓手机的教程。我看不到任何解释此 Hack/Exploit 的教程,因此,我制作了一个教程。步骤 1. 启动 Kali:打开一个终端,制作一个
2025-03-04 10:27:48
953
原创 还看!dump你的域hash来了!- 域安全
文章中使用了mimikatz和impacket的secretdump.py的dcsync进行dump hash,分析源码对比两款工具的区别以及优劣势,并且从RPC、网络、日志层面给出检测手段。其中日志层面的检测落地性高,只需要根据实际的日志情况重新思考一下检测算法,准确率也是蛮可以的。回顾起来,一开始以为检测这种攻击是简单的事情,越尝试发现越发现方案不靠谱,逐渐深入分析,花了一些时间。纸上得来终觉浅,绝知此事要躬行。
2025-03-04 10:26:29
515
原创 代码审计 - MCMS v5.4.1 0day挖掘
是中国铭飞 (MingSoft) 公司的一个完整开源的J2ee系统,可以到 Github 下载到源码笔者针对进行代码审计,发现存在一个后台绕过限制上传 jsp 实现 rce,以及一个前台文件上传 rce,本文将对完整的漏洞挖掘与利用思路进行讲解MCMS 的最新版本已更新到5.4.2,且已对上述漏洞进行了修复。
2025-03-04 10:23:40
587
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人