菜根网络安全杂谈-优快云博客

原创网络安全售前工程师是做什么的？

在网络安全公司里，有两个大家比较熟悉的角色：一个是销售，负责谈合同、签单子；另一个是售后工程师，负责产品卖出后的安装和维护。那么，售前工程师（解决方案工程师）是干嘛的呢？简单来说，他们就是在“销售之前”工作的工程师。他们是销售团队里的技术担当，是连接公司和客户之间的那座“技术桥梁”。一、具体做什么工作可以把他们想象成“技术销售”或者“方案设计师”。销售负责讲商务、谈价格，售前工程师负责讲技术。当客户问“你们的产品是怎么防黑客的？”“这个功能具体怎么实现？”时，就轮到售前工程师出场了。

2025-12-03 20:26:51 366 1

原创密探（mitan)安装介绍

密探是一款功能强大的网络安全工具，集资产收集、端口扫描、子域名爆破、指纹识别、敏感信息探测等功能于一体。支持多平台安装，Windows用户需注意JDK11+需配置JavaFX-SDK才能正常运行。工具提供丰富的搜索引擎语法自动生成和多种资产测绘平台支持，适用于全面的渗透测试需求。安装过程简单，Linux/Mac通过sh脚本启动，Windows用户需修改bat文件配置JavaFX路径后即可使用。该工具界面友好，是网络安全从业人员的实用助手。

2025-11-17 18:51:03 402

原创网络安全学习困扰及解决建议

但在真正的技术面试官眼里，他更关心你亲手做过什么项目，挖过什么有质量的漏洞，GitHub上有什么代码，对某个漏洞原理的理解深度。首先大家要对网络安全行业就业有一个基本认识，现在没那么好就业而且要求也不低，如果你的行业比网络安全行业还差可以转行，但要做好心理准备和持续学习吃苦的准备。很多人太容易受外界干扰，看到别人挖了个漏洞，想要赶超，几天库库学习，过几天又去水群了，水平原地踏步。

2025-11-14 08:45:46 811

原创 SRC培训的那些“坑”

“这个问题不是三言两语就能给你讲会的” 总之，你花钱买的，是一个薛定谔的专家，在课程结束前，他既是大佬也是菜鸟。真正能在这一行站稳脚跟的，靠的是你静下心来看懂每一行代码的耐心，是你解决一个又一个问题的韧劲儿。真正的漏洞，不在那些过时的培训教材里，而是在一行行代码的审阅中，在一次次失败的复现里，在持续学习、独立思考的漫长道路上。至于那些天花乱坠的培训，不妨把它们当作一个“人性的漏洞”来欣赏——毕竟，能同时利用“逻辑漏洞”和“社会工程学”来“收割”的，这些培训主办方，才是真正的“黑”氪啊。

2025-11-11 19:48:01 406

原创为什么我不建议你进入网络安全行业

在决定进入这个行业之前，请务必进行深刻的自我评估。不要只看媒体的鼓吹和培训机构画的大饼，去和一线从业者聊一聊，听听他们每天的抱怨和成就。问自己三个问题：· 我是否有持续燃烧的热情，来支撑终身学习？· 我是否能接受高投入与潜在回报不匹配的现实？· 我是否有强大的身心，来应对长期的压力和可能的倦怠？那么，什么样的人“仍然适合”从事网络安全？

2025-11-03 18:36:01 599

原创 “前首席女黑客”直播翻车记

各位观众朋友，请想象这样一幕：一位自称是“某大型科技公司前首席女技术黑客”的大神，坐在电脑前，每天直播八小时，结果直播间冷清得“连弹幕都比代码少”。真正的技术大牛，网上通常能找到他实实在在的技术贡献痕迹，而不是只有一堆“感人”的短视频。然而，经长沙市场监管部门和公安局的联合“查岗”，发现这位姐的“黑客”经历，跟她直播间的观众一样——他们深谙互联网流量密码——在这个时代，纯粹的优秀无人问津，但“优秀的凄惨”却能引爆话题。而这群骗子，偏偏用一个唯一可能是“真”的现象，来佐证一个完全“假”的人设。

2025-10-28 21:28:32 303

原创这些国产商业化漏洞扫描工具你用过吗

一款漏洞扫描工具究竟好不好，一般可以从扫描引擎（扫描速度快）、漏洞库（数量多、更新频次高）、准确率（误报率低）和报告模板等方面进行综合评判。所以你用过最好用的扫描工具是哪一款呢，可以在评论区留言！

2025-10-26 20:46:13 502

原创如何学好网络安全技术

自学网络安全需要明确目标与坚持。建议从培训机构课程目录构建知识框架，利用免费开源资源学习，关注技术论坛了解前沿动态，并通过CTF比赛等实践巩固理论。可寻求良师指导但需甄别，选择三观正、技术好的导师。学习中要注重笔记积累，打好理论基础，同时通过比赛成绩等积累实践经验。关键是要保持持续学习的毅力，在拥挤的赛道上坚持到终点。

2025-10-23 16:17:40 335

原创 Sqli-labs靶场搭建及报错处理

1、下载Sql-labs靶场源文件2、解压源文件，放到phpStudy的WWW目录下3、查看phpStudy的数据库用户名，密码我这里设置的是root,1234564、修改sql-connections文件夹的db-creds.inc修改dbuser和dbpass为上一步查询的用户名，所以我改成了root，1234565、在网站中点击创建网站，设置参数域名可以自己定义，端口写一个没被占用的端口根目录选择sqli-libs-master目录PHP版本选择php5.5。

2025-08-14 14:50:39 475

原创入侵检测介绍

基础概念。

2025-07-27 19:27:46 630

原创防火墙基本功能介绍

基础概念。

2025-06-23 20:50:26 1282

原创必须了解的商用密码应用安全性评估知识（下）

密评介绍。

2025-06-23 20:45:37 1134

原创商用密码基础知识介绍（上）

1、密码分类根据《中华人民共和国密码法》，国家对密码实行分类管理，分为密码分为核心密码、普通密码和商用密码。（1）核心密码、普通密码核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。（2）商用密码商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。2、商用密码的应用场景（1）金融领域银行支付（U盾、移动支付加密）区块链与数字货币（保障交易安全）

2025-06-14 19:31:54 759

原创网络安全攻防领域证书

OSCP 是 Offensive Security（OffSec）推出的实战型渗透测试认证，被誉为渗透测试领域的“黄金标准”。它注重实际动手能力，要求考生在真实环境中攻击漏洞、提权并编写报告，而非仅通过选择题考试。1.核心技能：基础渗透测试流程、缓冲区溢出、漏洞利用（Exploit Development）、权限提升（Privilege Escalation）、网络服务攻击、客户端攻击等。工具学习：Kali Linux、Metasploit、Nmap、Burp Suite 等。

2025-06-12 22:16:03 1686

原创等保系列（三）：等保测评的那些事

1、测评准备阶段（1）确定测评对象与范围明确被测系统的边界、功能模块、网络架构及承载的业务。确认系统的安全保护等级（如二级、三级）。（2）签订测评合同选择具备资质的测评机构（需公安部认可的等保测评资质）。签订合同并明确测评目标、时间、费用等。（3）资料收集与沟通收集系统资料：网络拓扑图、资产清单、安全策略、管理制度、以往测评报告等。与客户沟通系统现状、特殊需求及安全建设情况。2、测评方案编制（1）制定测评计划确定测评人员分工、工具使用（如漏洞扫描器、渗透测试工具等）。

2025-05-09 21:49:55 1168

原创等保系列（二）：等保建设的具体要求

1、定级明确系统的安全保护等级。2、备案向公安机关提交系统定级信息，完成备案。3、建设整改对标等保要求，补齐安全短板。差距分析：依据等保2.0的安全通用要求和扩展要求，评估现有防护措施差距。制定方案：技术整改：部署防火墙、入侵检测系统（IDS）、日志审计等安全设备。管理整改：建立安全管理制度。实施整改：完成设备部署、策略配置、漏洞修复及制度落地。4、等级测评通过第三方测评验证系统合规性。技术测评：渗透测试、漏洞扫描、配置核查（如身份鉴别策略、访问控制）。

2025-05-07 18:16:58 1068

原创等保系列（一）：网络安全等级保护介绍

网络安全等级保护（以下简称：等保）是根据《中华人民共和国网络安全法》及配套规定（如《信息安全技术网络安全等级保护基本要求》等）建立的系统性安全防护机制，要求网络运营者根据信息系统的重要性及受破坏后的影响程度，实施不同等级的安全防护。

2025-05-01 16:43:01 1507

原创网络安全法律法规简介

1、《网络安全法》施行日期：2017年6月1日明确网络空间主权原则，规定网络运营者的安全义务（如等级保护制度）、关键信息基础设施保护要求、个人信息处理规则等。2、《数据安全法》施行日期：2021年9月1日建立数据分类分级保护制度，规范数据交易和跨境流动，要求重要数据出境需安全评估。3、《个人信息保护法》施行日期：2021年11月1日为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益4、《密码法》

2025-03-27 09:00:09 892

原创网络安全可以去哪些单位工作

每年都有大批网络安全公司成立，也有大量公司倒闭关门，网络安全行业已经进入大浪淘沙的阶段，只有竞争力足够的公司能够坚持到最后。培训机构这里我分为两类，一是主要做网络安全认证培训，比如CISP、CISAW等认证培训，二是卖课的培训公司，主要是通过课程盈利。很多体制内的单位都会招录计算机相关的岗位，比如很多信息中心、信息科等都需要计算机、网络安全人才，进入体制内工作也许是个不错的选择。每个省份都有几个不错本土集成商，集成商也是网络安全厂商销售的重要渠道，所以好的集成商待遇也不错。二、网络安全测评机构。

2025-03-27 08:57:05 462 1

原创网络空间安全专业培养方案及学习建议

随着网络安全人才培养，网络安全行业必将趋于专业化，今后无论甲方还是乙方都会有更多专业人员担任网络安全相关职务。专业化趋势也对从业人员提出了更高的要求，更全面的理论基础，更好的技术素养，更强的探索学习能力。可以预见，未来会有一批价值产出低的人员会被逐渐淘汰，无论是科班还是非科班出身，都有可能面临这个挑战。

2025-03-20 09:15:21 427

原创网络空间安全专业发展历程及开设院校

1. 早期探索阶段（1990年代末—2000年代初）（1）背景：1990年代互联网进入中国，计算机病毒、黑客攻击等问题逐渐显现，社会对信息安全人才的需求开始萌芽。（2）高校尝试1997年，西安电子科技大学在密码学领域积累深厚，率先开设与信息安全相关的选修课程和研究方向。1998年，武汉大学依托其计算机学院和数学学科优势，开始探索信息安全方向的本科教育。2. 正式设立本科专业（2001年）2001年，武汉大学获批设立中国首个“信息安全”本科专业。

2025-03-19 17:19:52 1135

原创网络安全证书培训机构有哪些

记得刚入行的时候，想考一个证书来装装门面，结果发现费用太高了，比当时一个月的工资都高，感叹网络安全这帮人真舍得花钱，遂放弃。后来入职网络安全公司，考了一个CISP，在工作中逐渐发现，证书这个东西还是要根据自身需求来，并非越多越好。当前笔者的主要任务还是通过学习来增强自己的能力，后续看看是否有机会既能让读者享受物美价廉的考试认证服务，又能让培训机构及时找到生源，实现双赢。如果找到合适的培训机构，我会及时告知大家。

2025-03-17 19:10:56 1542 1

原创同源策略漏洞学习

同源策略是浏览器的一个安全功能，它规定了来自一个源的脚本在没有特殊授权的情况下，不能访问或操作来自其他源的文档、对象或脚本等资源。这里的 “源” 由协议、域名和端口号共同决定，只有当这三个部分都完全相同时，才被认为是同源。

2025-02-24 08:39:27 972

原创网络安全行业有哪些公司

只是简单做一下网络安全公司梳理，不作点评，下列排名不分先后。

2025-02-19 09:04:07 2954

原创 JWT漏洞学习

用于在网络应用环境间安全传递声明。通常用于身份验证和信息交换，因其紧凑、自包含且易于传输的特性而被广泛使用。JWT 由三部分组成，用点号.分隔：Header（头部）、Payload（负载）、Signature（签名）

2025-02-10 14:44:36 441

原创 XXE漏洞学习

XML 指可扩展标记语言（EXtensible Markup Language）XML 是一种标记语言，很类似 HTMLXML 的设计宗旨是传输数据，而非显示数据XML 标签没有被预定义。需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML 被设计为传输和存储数据，其焦点是数据的内容。HTML 被设计用来显示数据，其焦点是数据的外观。

2025-02-06 15:29:41 1256

原创服务端请求伪造SSRF漏洞简单练习

SSRF（Server - Side Request Forgery），服务器端请求伪造漏洞，攻击者利用该漏洞，通过目标服务器发起对其他服务器或服务的恶意请求。

2025-01-23 16:04:28 883

原创聊一聊网络安全证书的那些事

如果你很迷茫，想提升自己，请反复阅读本文并思考，相信能给你一些启发。以下内容仅属于笔者个人观点，请大家理性批判地阅读。

2025-01-21 10:59:37 1588

原创跨站请求伪造CSRF漏洞介绍

CSRF概念CSRF（Cross - Site Request Forgery），跨站请求伪造。它是一种网络安全漏洞，攻击者通过诱导用户访问恶意网站，利用用户当前已登录的身份在被攻击的网站（目标网站）执行非用户本意的操作。

2025-01-15 08:50:29 1273

原创文件包含漏洞等你来看

文件包含漏洞是指由于应用程序在包含文件时，没有对包含文件的路径和内容进行严格的验证和过滤，导致攻击者可以利用这个机制，让服务器包含并执行非预期的文件。

2025-01-14 10:12:54 544

原创【小技巧】怎么调整Burpsuit的字体大小

点击change font。

2025-01-13 08:42:28 1331

原创一起通关XSS-Labs（Level 1-18）

练习xss-labs靶场就像做题目一样，知道有答案，所以心里压力会小很多，如果多次尝试还没有思路的时候，可以参考一下本文的内容。Level 14靶场引用的链接失效，无法完成实验，Level 17-20需要使用到Flash插件，因为Flash已经停用，了解一下即可！

2025-01-06 09:13:02 971

原创 XSS跨站脚本攻击漏洞练习

XSS 是跨站脚本攻击（Cross-Site Scripting）的缩写，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。XSS 漏洞主要是因为 Web 应用程序没有对用户输入的数据进行充分的验证和过滤，或者没有正确地对输出内容进行编码，从而导致攻击者可以将恶意脚本注入到网页中，这些恶意脚本能够在受害者的浏览器中执行。

2024-12-24 09:30:18 1560

原创如何用PhpStudy搭建网络安全靶场

建议在虚拟机中安装，后期如果有问题可以通过快照恢复，而且不会造成数据库混乱。这个主要是对一些靶场和网站无法兼容最新版本，可以下载以前的版本。修改用户名为刚才查看的用户名和密码，修改完保存退出。如果提示：没有’pikachu’数据库，不用管它。安装步骤就按照常规软件进行操作就好。把鼠标放到密码上即可显示密码。安装路径为全英文路径。这样就可以开始练习了。

2024-12-23 11:09:33 919 1