weixin_45635831的博客

原创 第2天：基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器|小迪安全笔记|网络安全|

26:07。

原创 第1天：基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙绕过|小迪安全笔记|网络安全|

核心知识点：文件下载类操作反弹shell技术系统权限管理系统分类：个人主机与服务器主机的区别Windows与Linux系统的命令差异网络安全要素：防火墙配置内外网隔离正向/反向连接方式权限管理：文件权限设置用户权限控制运维权限分配学习建议：掌握基础命令是前提思路比具体技术更重要避免直接攻击在线靶机。

原创 【小迪安全】web安全｜渗透测试｜网络安全|SRC挖掘|学习笔记|2021|

批量挖掘流程：FOFA收集目标（50万+域名）xray批量扫描（万分之一命中率）人工验证漏洞真实性提交漏洞平台源码审计优势：能深度分析算法逻辑和安全机制黑盒测试要点：常规漏洞扫描JS接口探测三方组件分析经济因素考量：部分售卖系统可能需要购买授权才能获取测试权限开发语言特征：JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具：使用dnSpy等工具对编译文件进行反编译分析。

原创 Kali高级渗透测试|1-kali安装与配置|网络安全|学习笔记

01:3306:02核心要素：授权性：必须获得合法授权可控性：采用可控的入侵手法模拟性：模仿真实攻击者的方法和技术目的：检验系统安全性，发现漏洞，保护重要资产与渗透的区别：渗透测试(Penetration Testing)是合法行为，单纯"渗透"可能涉及非法入侵道德黑客：通过模拟黑客攻击帮助客户发现系统弱点并提供修复建议四大核心价值：发现系统漏洞评估安全状态强化风险意识提升防护能力完整生命周期：目标界定 → 2. 情报收集 → 3. 漏洞探测。

原创 7-Intruder模块作用与原理|Burp Suite入门与实战|网络安全|渗透测试|课程笔记

标准步骤：选择攻击类型（如Sniper模式）设置攻击位置标记（§符号标注）配置payload内容（支持字符串列表等多种类型）设定资源池参数启动攻击并分析结果Payload处理：支持对每个payload应用预处理规则，提供去重、批量导入等便捷功能。操作步骤:数据输入：可通过其他模块发送或手动填写攻击模式选择：设置Attack type载荷配置：设置payload参数高级设置：配置线程池等参数执行攻击：发起暴力破解结果分析：查看攻击结果。

原创 6-Burp Suite-Repeater模块|Burp Suite入门与实战|网络安全|渗透测试|课程笔记

原创 5-Burp Suite 扫描功能介绍|Burp Suite入门与实战|网络安全|渗透测试|课程笔记

01:21多配置应用：可同时选择多个扫描配置，Burp会按顺序应用这些配置形成最终扫描方案默认设置：未选择任何配置时，Burp将使用默认扫描设置。

原创 4-Burp Suite-Target模块功能介绍|Burp Suite入门与实战|网络安全|渗透测试|课程笔记

13:15核心原则：协议、域名、端口三要素决定是否同域实践建议：白名单用于确定主要测试范围黑名单用于排除特定子路径高级设置适合复杂匹配需求注意事项：黑名单路径应是白名单的子集才能生效08:47漏洞库：包含157种可识别的安全漏洞每种漏洞都有唯一编号和严重程度评级示例漏洞：操作系统命令注入（OS command injection）SQL注入（SQL injection）文件路径遍历（File path traversal）XSS跨站脚本等。

原创 3-Burp Suite模块详解及Proxy模块|Burp Suite入门与实战|网络安全|笔记|

00:0800:17工具概述: PortSwigger官网提供了Burp Suite各模块的详细文档说明主要工具:Proxy: 拦截、检查和修改客户端与服务器间的双向流量Scanner: 专业版的高级Web漏洞扫描器，可自动爬取内容并检测多种漏洞Intruder: 针对Web应用执行自动化定制攻击的强大工具Repeater: 手动修改和重发HTTP请求并分析响应Sequencer: 分析会话令牌等数据的随机性质量Decoder: 对应用数据进行编解码操作。

原创 1-Burp Suite基本介绍|Burp Suite入门与实战|网络安全|笔记|

Burp Suite基本介绍

原创 sqli-labs-master/Less-1靶场实战解析|包含AI整理

字符型注入：需要单引号闭合（如id=1'数字型注入：不需要单引号（如闭合技巧--+（MySQL中常用注释符，注释掉后面的单引号）

原创 3 SQL注入|数据类型与提交方式|笔记

00:0401:1908:5008:5109:0813:0715:1616:2616:3017:2317:5719:3700:0200:4403:4008:2618:3225:27概念与提交方式数据提交方式对比REQUEST接收方式实战意义：当发现后端使用REQUEST接收参数时，可直接尝试各种注入方式，无需考虑原始参数传递方式手工注入演示29:2132:0733:0335:5000:0200:5701:1502:2603:3705:1105:3106:1810:4914:0314:3715:2719:56

原创 信息安全小白指南：MySQL中的information_schema数据库与SQL注入防护|AI整理

想象一下，你有一个巨大的图书馆，里面有很多书架、书籍和书页。就是这个图书馆的"目录系统"，它告诉你整个图书馆里有哪些书架（数据库）、有哪些书（表）、书里有哪些章节（列）。关键点不是一张表，而是一个系统数据库（MySQL内置的）它存储了所有数据库的元数据（关于数据的数据）它是MySQL 5.0+版本才引入的它只读，不能修改其中的数据information_schema是什么MySQL内置的系统数据库存储所有数据库、表、列的元数据是SQL注入的"黄金钥匙"SQL注入利用。

原创 2.SQL注入|手工注入|笔记

00:3600:3701:5402:5304:0300:0206:5007:07​​注入原理​​：用户输入的id值直接拼接到SQL语句中没有对输入进行过滤或参数化处理可以通过构造特殊id值注入额外SQL命令注入攻击演示17:09手工注入方法：通过union合并查询获取数据库信息示例注入语句：union select 1,group_concat(table_name),3 from information_schema.tables信息收集流程：查询数据库表名查询

原创 靶场训练|sqli-labs|Less-2

说到sqli-labs的Less-2靶场，这可是SQL注入入门的经典关卡！让我给你详细说说这个"数字型注入"的渗透过程，保证你听完就懂，而且超有成就感～（毕竟我之前也在这关卡住了好久呢）首先，打开靶场，看到提示"Please input id as a number"，这说明参数id需要是数字，不是字符串，所以不用考虑引号闭合问题，比Less-1简单多了！因为-1肯定不存在，这样前面的查询没结果，后面union查询的结果才显示出来），页面报错，说明是数字型注入（不需要加引号！（注意密码是MD5加密的）

原创 1SQL注入基础知识_笔记

00:0200:22定义：SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句结尾添加额外的SQL语句，在管理员不知情的情况下实现非法操作。危害：欺骗数据库服务器执行非授权的任意查询，获取数据信息；植入木马；破坏服务器；删除数据库数据等。发生阶段：发生在业务逻辑层到数据访问层之间，即服务器与数据库交互执行SQL语句的阶段。三层架构：视图层：用户可见的浏览器页面业务逻辑层：服务器处理业务逻辑数据访问层：数据库存储数据。

原创 网络安全笔记-渗透与防御-信息收集

网络安全课程笔记

原创 Windows 文本框 word页面变成绿色

文本框变成绿色，可能是因为不小心在那个管家软件开启了护眼模式大致是这样 如上图开机后现实是白色，但是重启后又会边长绿色。

转载 P1： Microsoft Defender for Endpoint – Architecture【转载】

但是，这些方法都不是100%安全的：如果攻击者可以添加防火墙规则来阻止来自Microsoft Defender for Endpoint的流量，那么有什么可以防止他们执行相同的操作，例如管理通道，事件日志转发等？这是Microsoft Defender for Endpoint的大脑，因为它包括大数据分析，机器学习模型，启发式，行为分析，基于爆炸的分析以及异常检测算法，用于检测传感器数据中的可疑和攻击相关事件。此外，我还在设计架构图，这些图的灵感来自我的理解（在网上其他地方找不到）。

原创 思科|实验|配置基本BGP

思科

原创 思科 路由重分布lab实验学习笔记

思科实验笔记

原创 笔记|思科 ospf 单区域lab实验

ospf lab 实验