- 博客(49)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 网安面试题收集(2)
防御:CSRF Token、SameSite Cookie、Referer 验证。(TCP SYN Flood、UDP Flood、HTTP Flood 等);防御:转义输出、使用 CSP、HttpOnly Cookie。:使用工具(如 Nmap、Nuclei)识别潜在漏洞;目的:以用户身份执行敏感操作(如转账、修改密码)。目的:窃取Cookie、会话信息、伪造操作等。:收集域名、IP、子域、服务端口等信息;Web漏洞原理、输入验证、安全编码。增强监控、引入 WAF、优化架构。Web 攻击类型区分与防护。
2025-10-11 22:39:54
372
原创 什么是文件上传漏洞? 产生该漏洞的原因是什么 ? 它的危害有哪些?
文件上传漏洞是指由于Web应用程序对用户上传文件的安全性检查或处理存在缺陷,导致攻击者能够绕过限制,成功上传一个可执行的动态脚本文件(如WebShell、木马、病毒或恶意脚本)到服务器上,并通过访问该文件来执行恶意代码,从而控制服务器或窃取数据。这种攻击方式非常直接和有效,是黑客进行后续渗透和控制服务器的首选方法之一。
2025-10-07 22:52:47
925
原创 网安面试题收集(1)
网络安全关键问题与解决方案摘要 本文探讨网络安全五大核心问题:1)零日漏洞的威胁性在于其未公开性,防御难度大;2)SQL注入攻击通过输入恶意语句获取数据,需参数化查询防御;3)应急响应需隔离、取证、分析、清除和恢复五步走;4)HTTPS通过TLS握手建立加密通道,但存在证书伪造风险;5)企业安全架构应部署防火墙、IDS/IPS和终端防护等组件,实现协同防御。文章系统阐述了从漏洞认知到防御实施的关键要点。
2025-10-06 21:35:40
325
原创 error during connect: this error may indicate that the docker daemon is not running
摘要:Docker客户端连接失败错误表明Docker守护进程未运行。主要原因是服务未启动、管道路径权限问题、配置冲突或安全软件拦截。解决方案包括:1)启动Docker服务;2)重启Docker或电脑;3)检查用户权限;4)重置配置;5)修复WSL2后端;6)禁用安全软件测试;7)重新安装Docker;8)验证状态。通过确保服务运行、权限正确和配置无误,大多数问题可解决。如仍失败,需检查日志或提供更多环境信息。
2025-09-06 10:19:44
1714
原创 windows 子系统 wsl 命令的用法
WSL命令使用指南(Win10/11) 本文总结了WSL核心命令,涵盖安装、管理、运行等场景: 1️⃣ 安装更新:wsl --install安装默认Ubuntu,wsl --update升级内核 2️⃣ 发行版管理:wsl -l -v查看版本,wsl --export备份系统 3️⃣ 运行控制:wsl -d <发行版>启动指定系统,wsl --shutdown强制终止 4️⃣ 文件交互:explorer.exe .打开当前目录,wslpath转换路径格式 5️⃣ 网络配置:wslhostname
2025-08-27 22:04:12
1173
原创 网络安全学习优先级书单
网络安全学习路径推荐: 1.入门阶段:推荐《计算机网络》《白帽子讲Web安全》等书籍,掌握网络基础和Web安全知识。 2.进阶阶段:学习《黑客攻防技术宝典》《Metasploit渗透测试指南》等,提升渗透测试和漏洞分析能力。 3.专业阶段:根据方向选择专业书籍,如逆向工程、密码学或企业安全建设等。 建议按阶段循序渐进学习,先打好基础再选择专业方向深入。
2025-08-24 22:44:37
315
原创 网络安全转型书籍清单
网络安全学习书单推荐:包含17本经典书籍,覆盖网络基础、Web安全、漏洞分析、密码学、安全管理等方向。重点推荐5本入门必读:《计算机网络自顶向下方法》《白帽子讲Web安全》《黑客攻防技术宝典Web实战篇》《漏洞战争》《图解密码技术》。书籍由浅入深,适合不同阶段的学习需求,从基础理论到实战技术全面覆盖网络安全知识体系。
2025-08-24 22:43:10
765
原创 详细的周任务清单(Week1-Week24,每周具体目标+任务)
网络安全半年转型计划(150字摘要) 该计划分6阶段24周,每天3小时(理论30分钟+实战2小时+笔记30分钟)。阶段一(1-4周)夯实网络/系统基础;阶段二(5-8周)Web漏洞复现(SQL注入/XSS等);阶段三(9-12周)渗透测试全流程;阶段四(13-16周)漏洞逆向分析;阶段五(17-20周)密码学与安全协议;阶段六(21-24周)选择红队/蓝队/审计方向实战。配套DVWA、VulnHub等靶场实操,涵盖《白帽子讲Web安全》等经典书籍。结业可产出实验报告、技术博客和简历项目经验。
2025-08-24 22:42:02
1104
原创 半年网络安全转型学习计划表(每天3小时)
摘要: 本文提供了一个为期6个月的网络安全转型学习计划,采用1/3理论+2/3实践的配比。计划分为6个阶段:1-4周网络系统基础,5-8周Web安全入门,9-12周渗透测试基础,13-16周漏洞原理与逆向,17-20周密码学,21-24周专项进阶。每天安排3小时(1小时理论+2小时实践),通过靶场实验巩固知识。6个月后可掌握渗透测试工具、常见漏洞利用、安全防御等核心技能,并能完成实战项目报告。计划强调动手实践,建议使用Kali、DVWA等工具进行实操训练。
2025-08-24 22:39:54
2832
原创 从程序员转型到网络安全的学习路径 + 必看的经典书籍/资料
网络安全学习路径分五阶段:1)网络与操作系统基础(TCP/IP、Linux/Windows安全);2)网络安全基础(常见攻击手法与工具);3)系统安全(漏洞原理与调试);4)密码学(加密技术与应用);5)方向选择(渗透测试/防御/开发/管理)。推荐结合经典书籍(如《TCP/IP详解》《Web安全深度剖析》)和靶场实战(VulnHub、CTF平台),强调边学边练,建立"网络+系统+Web安全"核心知识体系。建议采用"读书→靶场练习→总结笔记"的循环学习模式。
2025-08-24 22:36:15
788
原创 python 可迭代对象相关知识点
Python中的可迭代对象(Iterable)是指可以被for循环遍历的对象,如列表、字符串、字典等,能够通过iter()方法返回一个迭代器。迭代器(Iterator)则是一个数据流对象,支持next()方法逐个取值。两者的区别在于:可迭代对象需要通过iter()转换为迭代器后才能使用next()取值。for循环的本质就是先调用iter()获取迭代器,再不断调用next()直到抛出StopIteration异常。自定义可迭代对象需要实现__iter__()方法返回迭代器。这种设计使得Python能够高效处理
2025-08-20 20:56:05
511
原创 python 数字数据类型为什么是不可改变的
Python中的数字(如int、float)是不可变对象,一旦创建就无法修改。对数字的"修改"操作(如重新赋值或运算)实际上是创建新对象,原对象保持不变。示例显示整数操作会改变内存地址,函数内修改不影响外部变量。数字不可变性设计保证了安全性(避免意外修改)和性能(小整数缓存优化)。与可变类型(如列表)不同,数字的"修改"会创建新对象。理解这一特性有助于避免逻辑错误,特别是函数传参时需注意变量不受内部操作影响。
2025-07-22 22:35:02
419
原创 nginx 代理该如何配置 才能避免数据流中断和卡顿
优化Nginx代理配置可有效减少数据流中断和卡顿问题。主要方法包括:调整缓冲区大小(proxy_buffer_size、proxy_buffers)、启用gzip压缩、配置缓存(proxy_cache_path)、限制请求速度(limit_rate)以及强制HTTPS传输。示例配置展示了如何实现这些优化,包含SSL证书设置、请求重定向、响应缓存、超时控制等关键参数,通过综合应用这些技术手段可显著提升代理服务的稳定性和传输效率。
2025-07-22 22:10:09
445
原创 MySQL 检查结果出现“warning : 5 clients are using or haven‘t closed the table properly”的原因、影响和解决方案
此警告信息本身并不意味着表已损坏,但它确实表明表存在潜在问题。出现此警告信息表示有 5 个客户端正在使用或未正确关闭表。或其他工具检查数据库表的完整性,以确保数据的安全性和一致性。
2025-07-22 21:44:25
338
原创 laradoc 搭建PHP开发环境
Laradock是基于Docker的PHP开发环境解决方案。安装步骤包括:克隆项目、配置.env文件、构建镜像、设置项目目录和Nginx配置。常见问题解决方案涉及GitHub访问、Node安装、PHP版本切换等操作。可使用docker-compose管理容器,通过exec命令进入MySQL等容器操作。该方案能快速搭建标准化开发环境,提高开发效率。
2025-07-22 21:41:50
618
原创 关于AI大模型部署与费用的几个问题汇总
摘要:文章探讨了企业从阿里百川转向百度文心一言AI接口的决策过程,重点分析了预训练大模型的概念、部署是否需要GPU服务器、相关费用构成等问题。其中,训练费用占比最高(60%-80%),涉及GPU资源、电力和数据处理成本;存储费用约占10%-30%;推理费用占比5%-20%。文章还提及可能产生的其他费用如数据购买、网络传输和运维成本,建议企业根据实际需求评估资源投入。(148字)
2025-07-12 22:05:52
453
原创 Scrapy框架结构及工作原理
模块作用说明Engine核心调度,控制流程Scheduler请求排队、去重Downloader发送请求,获取响应Spider用户定义逻辑,解析网页Pipeline数据清洗、保存Middleware请求/响应拦截处理。
2025-07-12 20:10:08
384
1
原创 初始scrapy编写爬虫脚本
摘要:Scrapy是一个高效的Python爬虫框架,用于抓取和结构化处理网页数据。本文介绍了Scrapy的安装方法(pip install scrapy),并通过示例项目演示了如何创建爬虫(scrapy startproject example)。以books.toscrape.com网站为例,详细解析了页面结构,编写了BooksSpider类来提取书籍名称和价格信息,并处理分页逻辑。最后使用scrapy crawl命令运行爬虫并将结果输出到CSV文件。该框架具有异步处理、模块化、易扩展等特点,适合大规模数
2025-07-12 19:35:15
1049
1
原创 NAT 是指什么?
它主要用在局域网(LAN)和广域网(WAN)之间的网关设备上,以允许局域网内的设备访问互联网,同时保护内部网络不受外部网络的直接访问。5. 当外部网络的响应返回时,NAT设备会根据数据包的源IP地址查找其NAT表,并将目标IP地址修改为私有地址,从而将响应转发到正确的内部网络设备。- PAT(端口地址转换):是动态NAT的一种变体,它不仅转换IP地址,还转换端口号,从而允许多个内部设备共享一个公共IP地址。3. NAT设备会检查数据包的目的地,然后在其NAT表中查找与私有地址相对应的公共地址。
2024-05-12 13:48:33
587
原创 git 标签管理
要共享标签,需要显式地使用 `git push` 命令并指定 `--tags` 选项。使用 `git tag -a -m "标签信息"` 命令可以创建一个带有注释的标签。在注释中,可以提供与标签相关的详细信息。使用 `git push --delete ` 命令可以删除远程仓库上的指定标签。使用 `git show ` 命令可以查看指定标签的详细信息,包括标签的提交、作者、时间和注释。使用 `git tag -d ` 命令可以删除本地的指定标签。
2024-05-08 06:06:19
295
1
原创 使用 php Medoo 类使用MySQL事务逻辑
块中,执行需要在事务中进行的数据库操作,例如插入、更新等。如果在执行过程中发生错误,会抛出异常,然后在。请注意替换示例中的数据库连接信息、表名、列名和值为你自己的实际信息。在这个示例中,使用Medoo类连接到MySQL数据库,并使用。如果一切顺利,最后通过。
2023-12-10 08:14:31
368
原创 在 Linux 环境 如何安装 apksigner
可以使用它对 Android APK 文件进行签名。如果你是为了发布应用而进行签名,确保按照 Android 官方文档的指导来执行签名过程。是 Android SDK 提供的一个工具,用于对 Android APK 文件进行签名。在 Linux 环境中,你可以按照以下步骤安装。文件中指定版本号,或者你想使用最新版本,可以执行以下命令来安装最新版本的。打开你的 Android 项目,并查找项目根目录下的。添加以下行,将 Android SDK 的。在终端中执行以下命令,确保。在输出中,找到最新版本的。
2023-11-21 06:06:45
915
原创 android APK文件签名的介绍
这个密钥文件包含了应用程序的密钥对(公钥和私钥),用于数字签名以确保APK文件的完整性和来源可信性。如果密钥对丢失,你将无法使用相应的私钥对新版本的APK文件进行签名。这个数字签名是通过应用程序的密钥对(公钥和私钥)完成的,而密钥对通常存储在一个称为密钥库(KeyStore)的文件中。如果你丢失了原有的密钥文件,将无法满足这个要求,从而无法通过应用商店更新你的应用。生成密钥对时,你需要指定密钥对的算法(例如,RSA)、密钥长度和有效期。由于密钥对用于确保应用程序的安全性,密钥文件应该以安全的方式存储。
2023-11-21 06:04:57
309
原创 keytool的用法
是 Java 开发工具包(JDK)中的一个命令行工具,用于管理密钥和证书,以支持加密、身份验证等安全功能。这个命令将导入证书到信任库中,以便信任与该证书相关的密钥对或服务器。这个命令将生成一个 RSA 密钥对,并将其存储在名为。这个命令将从密钥库中导出指定别名的证书,并将其保存为。这个命令将显示指定密钥库中的条目,包括证书和密钥。这个命令用于将证书签名请求的回复导入到密钥库中。这个命令将生成一个证书签名请求,并将其保存到。这个命令将提示您输入新的密钥库密码。或查阅相关的官方文档。
2023-11-21 06:01:57
592
原创 如何安装 apksigner ?
下载 Android Studio,这是包含 Android SDK 的官方 IDE。在下载页面,你可以找到 “Command line tools only” 选项。工具是包含在 Android SDK 的 “build-tools” 目录中的一个工具。替换为你实际安装 Android SDK 的路径。替换为你想要安装的 Build Tools 的版本号。替换为你实际安装 Android SDK 的路径。目录添加到你的系统路径中。后,确保该目录已经添加到你的系统路径中。目录包含在你的系统路径中。
2023-11-18 17:52:59
4780
原创 Docker Desktop 更新4.25.1版本后出现WSL2报错
通过这个报错分析来看问题是与 windows 系统上的 Ubuntu 子系统有关 ,于是我打开“启用或关闭windows服务” 将原先勾选的 "适用于Linux的 Windows子系统"与 Hyper-V 2项给取消了,再次重启电脑。最后再次启用2项服务,重启电脑。到这里更新新版本docker 报错的问题解决了,具体哪个步骤是解决安装 Docker Docktop 2.40.1这一版本失败问题的关键点 还是有些模糊,所以在此整理下 希望遇到此类问题的伙伴们在处理时 细心记录并反馈下。
2023-11-18 07:56:25
4590
7
原创 请详细说明下开发团队在一个分支上协作时 使用GIT 变基是如何导致提交历史混乱
1. 公共分支上的变基:如果有多个开发者在同一个公共分支上进行变基操作,将导致提交历史的分叉和混乱。2. 推送到远程仓库后的变基:如果一个开发者将某个分支推送到远程仓库后,然后在本地进行变基操作并将变基后的提交推送到远程仓库,这也会导致提交历史混乱。其他开发者可能已经基于原始的提交历史进行工作,而变基操作会修改提交历史,导致其他开发者的提交与远程仓库不一致。3. 强制推送的滥用:当开发者进行变基操作后,如果错误地使用`git push --force`强制推送分支,将覆盖远程仓库中的提交历史。
2023-07-15 09:25:10
338
原创 php 获取域名 https 证书过期时间
我想对域名https 证书过期时间进行监控,并通过钉钉机器人在群组里发送提醒消息。直接向 chatGPT 提问,初次提供的代码示例中使用的 php curl 扩展的。现在,这段代码应该能够正确地获取到域名的 SSL 证书过期时间了。获取 SSL 证书信息。 为了获取证书信息,我们需要做一些额外的处理。设置的上下文,这样建立连接时会获取 SSL 证书。函数来建立一个安全的连接,从而获得证书相关信息。获取 SSL 证书信息。经过测试,确定无法通过。函数来建立一个安全连接,通过。
2023-07-02 14:34:10
505
原创 Yaf 框架捕捉异常
类的实例,表示出现了未捕获的异常。在这种情况下,可以执行自定义的异常处理逻辑,例如记录日志或向用户显示友好的错误信息。方法首先获取传递给错误控制器的异常对象和错误代码。然后,它检查异常对象的类型,如果是。方法来处理异常情况。以下是一个示例,展示了如何在。**开启异常捕获:**YAF框架配置文件。在该类中,可以通过重写。
2023-07-01 10:03:23
244
原创 关于优化H5页面访问速度的思路
1. 使用网络工具:使用网络工具,例如浏览器的开发者工具或网络分析工具(如Chrome的开发者工具中的Network面板),来监测页面的加载速度和资源请求。CDN将页面的静态资源(如CSS、JavaScript、图像等)缓存在多个地理位置的服务器上,使用户可以从最近的服务器获取资源,从而减少网络延迟和提高加载速度。通过比较不同页面或资源的加载时间,可以识别出加载速度较慢的部分。1. 压缩和合并资源:减小 CSS、JavaScript 和图片等资源的大小,并将它们合并为更少的文件,以减少页面加载时间。
2023-06-30 06:15:14
793
原创 将图像 base64 数据转换成图片文件
平时使用 file_put_contents() 函数多是用来写日志或缓存文件,它写入文件的数据是字符串、数组或其他可序列化的数据,而实例中的图像 base64 数据 去除文件类型信息后,base64 解码后是二进制数据。函数将解码后的图像二进制数据直接写入文件,有时候可能会导致无法正常查看的问题。函数默认以文本模式写入数据,导致在写入过程中进行了一些文本处理,从而导致图像数据损坏。函数以二进制模式将数据直接写入文件,不会进行额外的文本处理,因此适用于写入图像数据。接下来的代码才是能正常使用的。
2023-06-29 07:27:01
1933
原创 telnet 连接 socket 服务接口返回 SSH-2.0-OpenSSH_7.4
这说明您连接的是一个运行 SSH 服务的 socket。通常情况下,telnet 连接的是一个运行 telnet 服务的 socket,但是如果您连接的是一个运行 SSH 服务的 socket,您就会看到 "SSH-2.0-OpenSSH_7.4" 这样的提示。最近需要部署一套 sockert 长连接程序到服务器,让运维开放服务器端口出来,然后测试发现报 SSH-2.0-OpenSSH_7.4 , 用 telnet 连接后 发送消息,服务端程序未收到什么数据。
2023-04-16 11:22:36
5748
4
原创 请AI帮我制定一份学习 python 的计划,
每周安排 5 至 10 小时的 Python 学习时间,这将有助于您保持进度并避免长时间的学习疲劳。5. 学习交流:加入 Python 论坛、在线学习社区或者参加本地的 Python Meetup,与其他学习者交流,分享经验和知识。1. 学习资源选择:选择一本适合初学者的 Python 教材或视频教程,并保证您拥有足够的时间来阅读或观看。6. 维护持续性:保持学习的持续性,每周记录学习进度和问题,定期检查计划的效果并对其进行调整。制定学习计划的关键在于确保您有足够的时间和资源来学习 Python。
2023-04-16 11:16:44
544
原创 redis HyperLogLog 结构
redis HyperLogLog 结构Redis HyperLogLog 是用来做基数统计的算法,它的优点是 在输入元素的数量或者体积非常大时,计算基数所需的空间总是固定的且很小的。每个 HyperLogLog 键只需要花费12KB内存,就可以计算接近 2的64次方个不同元素的基数。HyperLogLog 只会根据输入元素来计算基数,不会储存输入元素本身。(1)什么是基数?一个集合中不重复元素的个数。例如: 数据集{1,3,5,7,5,7,8} ,它的基数集为 {1,3,5,7,8} , 基
2021-12-11 09:35:46
640
原创 php redis 扩展类常用操作(2)
php redis 扩展类常用操作(2)六、redis 集合(Set)操作Redis Set 是 String 类型的无序集合,集合成员是唯一的。它是能过哈希表实现的,所以添加,删除,查找的复杂度都是 O(1) 。集合中最大的成员数 2的32次方-1 个(每个集合可存储40多亿个成员)1. sAdd - 向集合添加一个或多个成员// 成功返回添加元素个数,失败时返回0$redis->sAdd('set', 'v1', 'v2', 'v3');2. sCard - 获取集合的成员
2021-12-10 07:26:38
878
使用lnmp一键安装包搭建的docker镜像
2022-01-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人