- 博客(24)
- 收藏
- 关注
RSS订阅原创 网络安全(黑客)自学
是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。与 Scheme、Ruby、Perl、Tcl 等动态语言一样,Python 具备垃圾回收功能,能够自动管理内存使用。它经常被当作脚本语言用于处理系统管理任务和网络程序编写,然而它也非常适合完成各种高级任务。
2024-07-18 11:02:23
606
原创 网络安全(黑客)全套工具
看完这些相信大家会对里面的内容非常感兴趣,因为身为一个网络安全方面的小白,还是很有必要接触这些工具的,毕竟只有先使用这些功能,我们才能更加了解这些功能。有需要可以关注后在后台获取即可~
2024-07-17 11:05:45
1075
原创 【网络安全】Web渗透测试攻防之浅述信息收集
众所周知渗透测试的本质是信息收集,在渗透测试中信息收集的质量直接关系到渗透测试成果的与否。在对系统进行渗透测试前的信息收集是通过各种方式获取所需要的信息,收集的信息越多对目标进行渗透的优势越有利。通过利用获取到的信息对系统进行渗透。只有掌握了足够多的目标信息才能更好的对目标系统进行渗透。正所谓知彼知己百战不殆。
2024-07-15 10:25:00
766
原创 网络安全(黑客)自学
黑客技能是一项非常复杂和专业的技能,需要广泛的计算机知识和网络安全知识。你可以参考下面一些学习步骤,系统自学网络安全。在学习之前,要给自己定一个目标或者思考一下要达到一个什么样的水平,是学完找工作(进大厂)还是兴趣学习提升(成为一个黑客)。综上所述,学习网络安全需要建立坚实的基础知识、掌握常用工具和技术、通过实践不断提升技能,同时要注重合法合规、道德规范,才能成为一名优秀的黑客或者网络安全从业者。一起加油吧!只要坚持学习,你的收获远远超过你的想象!
2024-07-15 08:58:31
800
原创 【网络安全】漏洞挖掘之一招征服漏洞SSRF
SSRF(Server-Side Request Forgery:服务器端请求伪造是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。如图是一个简单的SSRF源码如下php。
2024-07-11 13:07:44
836
原创 【网络安全】一个完整的渗透学习路线是怎样的?
我是如何学习黑客和渗透测试的,在这里,我就把我的学习路线写一下,让新手和小白们不再迷茫,少走弯路,拒绝时间上的浪费!Kali Linux介绍Kali Linux的前世今生Linux常用命令介绍Kali工具集介绍修改Kali源和更新软件Kali常用配置和基本使用Kali启动root用户先想清楚自己对哪个行业更感兴趣,结合自己的兴趣、性格特征、能力强项去寻找适合自己的职业赛道。这个不仅仅是去看网上别人怎么选的,因为每个人的情况毕竟是不一样的,别人的选择不能适用于你。祝大家学有所成!
2024-07-10 17:08:39
1061
原创 【网络安全】mac浏览器密码获取难?教你两种方法,轻松解决
但是在MAC下,因为系统的安全性,想要获取密码存在比较大的困难。在 macOS 上,Google Chrome 的加密密钥存储在 Keychain 中,需要使用用户的明文密码解锁。用户已打开浏览器的时候,因为两个正在运行的 Chrome 实例不能共享同一个用户数据目录,因此用上面方法就行不通了。网上有方法是把用户数据复制到另一个目录,但复现未成功,打开的是没用户数据的chrome浏览器。Windows系统密码和cookie获取比较容易,用工具即可,但Mac下浏览器密码获取较难。
2024-07-08 16:07:07
1395
原创 记一次漏洞挖掘【网络安全】
从CVE-2019-10999查看该CVE的基础信息得知,这是一个栈溢出漏洞,攻击者在已登录的情况下可以通过向wireless.htm发送一个超长的WEPEncryption参数导致栈溢出,从而执行任意命令攻击. 现在我们利用Shambles Desktop工具确定这个漏洞的位置并且执行一次栈溢出攻击。从Dlink官网查看存在这个漏洞的设备和版本信息。我们选择DCS-932L的v2.17.01版本。下载对应固件。
2024-07-05 16:43:08
1292
1
原创 【网络安全】漏洞挖掘之Spring Cloud注入漏洞
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
2024-07-05 15:06:33
1362
原创 【安全攻防】网络安全中的序列化与反序列
在业务系统中,需要对一些对象进行序列化存储,让他们离开内存空间,存放在一个文件中,以便持久化保存。例如:在用户注册并登录系统时,会将用户信息如用户名,密码,cookie等信息先通过序列化存储起来,当用户再次登录时将序列化后的字节序列通过反序列化成原对象到内存进行使用,可以大大节省内存开销。同时,如果有一些很大的对象,但不需要全部保存,该函数就起到了很好的清理作用。首先要了解序列化与反序列化的定义,以及序列化反序列化所用到的基本函数。如果存在,则该方法会先被调用,预先准备对象需要的资源。
2024-07-04 16:07:57
962
原创 网络安全里主要的岗位有哪些?
入门Web安全、安卓安全、二进制安全、工控安全还是智能硬件安全等等,每个不同的领域要掌握的技能也不同。当然入门Web安全相对难度较低,也是很多人的首选。主要还是看自己的兴趣方向吧。本文就以下几个问题来说明网络安全大致学习过程👇:主要是模拟黑客对目标业务系统进行攻击,点到为止:一个单位买了那么多安全产品,肯定要有人做运维的,分析一下日志,升级一下策略。定期检查一下业务系统的安全性,查看一下内网当中有没有威胁,这都是安全运维工程师要做的内容。
2024-07-03 17:06:02
1192
原创 网络安全(黑客)详细自学路线 一一2024新版
当我们谈论网络安全时,我们正在讨论的是保护我们的在线空间,这是我们所有人的共享责任。网络安全涉及保护我们的信息,防止被未经授权的人访问、披露、破坏或修改。
2024-05-13 17:29:29
815
原创 2024年网络安全白帽子黑客技术学习之路
黑客技能是一项非常复杂和专业的技能,需要广泛的计算机知识和网络安全知识。你可以参考下面一些学习步骤,系统自学网络安全。在学习之前,要给自己定一个目标或者思考一下要达到一个什么样的水平,是学完找工作(进大厂)还是兴趣学习提升(成为一个黑客)。综上所述,学习网络安全需要建立坚实的基础知识、掌握常用工具和技术、通过实践不断提升技能,同时要注重合法合规、道德规范,才能成为一名优秀的黑客或者网络安全从业者。
2024-04-24 13:14:25
940
原创 网络安全(黑客)自学——2024
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。当然,产生这样的疑惑并不奇怪,毕竟网络安全这个专业在2017年才调整为国家一级学科,而且大众对于网络安全的认知度不高,了解最多的可能就是个人信息泄露或者社区经常宣传的国家反诈APP。所以,如果你对网络安全感兴趣,即使没有天生的特质也可以一试,很多人都是在学习网络安全的过程中慢慢锻炼的。到此为止,大概1个月的时间。
2024-04-22 13:25:37
861
原创 自学网络安全(黑客)的方法__2024
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2024-04-19 10:50:47
679
原创 2024网络安全该如何自学
网络安全这个行业优势有:需求量大,人才紧急,门槛低,工资高。对于许多未曾涉足IT行业「小白」来说,深入地学习网络安全是一件十分困难的事。关于我本人是一位90后奇安信驻场网络安全工程师。上海交通大学软件工程学士、注册信息安全工程师(CISP)。
2024-04-12 16:35:03
738
原创 2024网络安全如何自学
web渗透是网络安全大行业里入门板块,就像十年前的软件,前景非常被看好,薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识,web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计,攻击和防守等等相关技术。关于渗透的前景,先说两个观点,脚本小子的时代已经过去了,知识永远是与时俱进的。
2024-04-11 16:06:12
1149
原创 【2024】网络安全自学渗透技能
web渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清web渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫35岁危机,,意思就是说35岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是5-10年,这没有30、40岁能有10年经验?网络安全好混,但不容易混得好。其实任何行业都是这样,想混得好,必须不断学习提升。
2024-04-09 17:29:41
747
原创 2024年网络安全(黑客)自学路线
根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%
2024-04-03 16:09:37
1074
原创 网络安全(黑客)自学,一般人我劝你还是算了吧!
给你一个忠告,如果你完全没有基础的话,前期最好不要盲目去找资料学习,因为大部分人把资料收集:搭建自学知识框架
2024-04-02 13:55:16
1041
原创 【网络安全】反序列化安全问题
签名Cookie后端 (django.contrib.sessions.backends.signed_cookies):会话数据以签名的方式存储在用户的Cookie中。由于加载session的过程为懒加载过程(lazy load),所以在读取SESSION_KEY的时候会进行_get_session函数运行,从而触发session的反序列化。这是Django的默认会话引擎。在Django中,SESSION_ENGINE 是一个设置项,用于指定用于存储和处理会话(session)数据的引擎。
2024-03-22 16:54:09
645
原创 【网络安全】实战:记某证书站漏洞挖掘过程
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
2024-03-21 13:48:30
537
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人