- 博客(3031)
- 收藏
- 关注
RSS订阅
原创 铁三铜四,应届生网络安全岗位面试,这份攻略请务必收藏(附网安面试题)
腾讯、字节跳动、阿里、奇安信、360、深信服、京东等公司2020-2022年的高频面试题
2023-04-06 16:48:27
840
1
原创 揭秘最为知名的黑客工具之一:Cobalt Strike(非常详细)零基础入门到精通,收藏这一篇就够了
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。将生成的载荷传输到目标机器并执行。
2025-05-14 18:34:58
237
原创 【2025】网络安全渗透中常用的渗透测试方式,(非常详细)从零基础到精通,精通收藏这篇就够了!
网络安全渗透测试是验证系统安全性的一种重要手段,通过对系统的弱点、漏洞、配置缺陷等进行深入探测和分析,以评估系统的安全性。**1. 端口扫描:**利用扫描工具对目标主机开放的网络端口进行扫描,以发现潜在的安全漏洞。常见的端口扫描工具有Nmap、SuperScan等。**2. 漏洞扫描:**利用漏洞扫描工具对目标系统进行漏洞检测,以发现已知的漏洞和弱点。常见的漏洞扫描工具有Nessus、OpenVAS等。**3. 暴力破解:**通过尝试常见的用户名和密码组合,以猜测目标系统的登录凭据。
2025-05-14 18:34:28
408
原创 这份网站中间件渗透秘籍,从零基础到精通,收藏这篇就够了!
与其说这是个漏洞,不如说是 Apache 给大家开的一个玩笑。很多小伙伴不知道这个“特性”,一不小心就写出了带 Bug 的代码。Apache 在解析文件后缀名时,就像一个好奇宝宝,从右往左挨个“盘”。如果右边的后缀名不认识,它就会继续向左,直到找到一个“熟人”。但如果所有后缀名它都不认识呢?没关系,Apache 默认会用plain/text格式处理。那么问题来了,Apache 怎么知道哪些后缀名是“熟人”呢?答案就在mime.types这个神秘的文件里!Windows 系统里,它通常藏在conf文件夹里。
2025-05-13 15:42:59
821
原创 大厂App竟遭SQL注入?网络安全老鸟带你揭秘Android应用攻防,从零基础到精通,收藏这篇就够了!
其实后面的盲注和绕WAF就没啥难度了,主要是找注入点,一定要记住,任何一个可疑的接口都不要放过!这次我能成功,也是因为我够耐心,当时搜到一大堆带可疑参数的接口,但只有一个存在漏洞。如果我浅尝辄止,早就放弃了。
2025-05-13 15:42:27
362
原创 漏洞多到爆炸?别慌!网络安全老司机教你如何躺赢!从零基础到精通,收藏这篇就够了!
最近有没有觉得,手机APP弹窗更新提示比前女友还频繁?社交软件恨不得一周一迭代,电脑浏览器也天天嚷着要升级。就连操作系统,也跟“大姨妈”一样,一个月总要来那么两三次更新。瞅瞅那更新日志,**不是修补漏洞,就是优化崩溃,**这更新频率,简直让人怀疑人生!
2025-05-13 15:41:57
739
原创 二十张图带你解锁网络安全神器 VPN,从零基础到精通,收藏这篇就够了!
IPSec(IP Security) VPN 一般部署在企业出口设备之间, 通过加密和验证等手段, 确保数据的来源可靠、传输安全、完整无损, 并能有效防止重放攻击。
2025-05-13 15:40:53
695
原创 网络安全面试30问,从零基础到精通,收藏这篇就够了!
1.解释:XSS攻击,就是黑客往你信任的网站里“掺沙子”,注入恶意脚本,在你浏览器里执行。。XSS分三种:反射型、存储型、DOM型,都是磨人的小妖精!解释:CSRF攻击,就是。比如,伪装成银行链接骗你点,然后偷偷转账,简直防不胜防!解释:文件上传功能如果没做好安全措施,就等于给黑客开了后门。他们可以上传恶意文件(比如带病毒的脚本),。解释:如果你的应用允许用户直接访问内部对象(比如数据库记录),又没有严格的权限控制,黑客就能,偷偷溜进去,访问不该看的数据。解释:服务器或应用的配置如果出了岔子,就可能。
2025-05-13 15:40:18
692
原创 DoS和DDoS攻击,一字之差,天壤之别,从零基础到精通,收藏这篇就够了!
各位网络安全冲浪选手们,大家好!今天咱们来聊聊网络安全界的一对“卧龙凤雏”——**DoS(拒绝服务攻击)**和。这俩兄弟,名字只差一个字母,但背后的故事可是大相径庭!想象一下,你正兴致勃勃地准备在某宝上血拼,结果网页卡成PPT,这背后很可能就是DoS或DDoS在作祟!尤其是在金融、电商、社交等“在线即生命”的行业,这俩兄弟搞起事情来,那可是“一卡回到解放前”的节奏。虽然DoS和DDoS听起来像双胞胎,但它们的攻击方式、目标、力度和防御手段,简直是“一个像夏天,一个像秋天”。
2025-05-13 15:39:47
742
原创 网络安全加壳脱壳知识点大放送,从零基础到精通,收藏这篇就够了!
各位网络安全界的大佬们,是不是还在对着晦涩难懂的加壳脱壳资料“啃生肉”?今天,咱就来点猛料,把ART环境下App启动流程中的类加载流程以及相关知识,用最通俗易懂的方式给您安排上!深入剖析脱壳的关键点,让您对App加壳与脱壳的原理理解更上一层楼!环境:Android 8.0.0,安排!
2025-05-13 15:38:50
707
原创 尘封四年的 Next.js 框架惊天漏洞 CVE-2025-29927 炸裂曝光!从零基础到精通,收藏这篇就够了!
各位网络安全冲浪选手们,最近有个大瓜!Next.js 框架被两位大佬 Allam Rachid (zhero;) 和 Allam Yasser (inzo_) 揪出一个陈年老漏洞 CVE-2025-29927,一个身份验证绕过检查的 Bug,影响范围还贼广,简直是爷青回!
2025-05-13 15:38:12
647
原创 网络安全工程师必知的“社会工程学”骚操作!从零基础到精通,收藏这篇就够了!
还在吭哧吭哧地敲代码、研究漏洞?小心被“社会工程学”的大佬们绕过你的铜墙铁壁!今天就来扒一扒这门“攻心”的黑科技,让你在网络安全的世界里,不仅懂技术,更懂人心!什么是社会工程学?别想歪了!社会工程学(Social Engineering)可不是什么“社会人”的哲学,而是一门融合了社会科学、计算机科学、心理学和经济学的“斜杠”学科。简单来说,它就是通过,来解决社会生活、经济发展和公共安全等领域的问题。是不是觉得有点高大上?其实它早就渗透到我们的生活里了!
2025-05-13 15:37:00
476
原创 网络安全出现“零日漏洞”?教你光速应对,从零收藏到精通,收藏这篇就够了!
在咱们网络安全圈里,“零日漏洞”(zero-day Vulnerability)这词儿,听着就让人虎躯一震!简单来说,它就是指那些。为啥叫“零日”?因为漏洞一曝光,开发人员就只剩下“零天”时间去修补,时间紧迫到令人窒息!你想啊,所有软件和硬件都可能藏着 Bug,一旦这些 Bug 变成了安全风险,那就是漏洞。而“零日漏洞”就是指。早些年,这种漏洞主要在软件、游戏圈子里混,搞搞破解啥的,属于“非营利”性质。但现在不一样了,信息这么值钱,越来越多的“零日漏洞”变成了黑市上的抢手货,影响范围也越来越广了!
2025-05-13 15:36:30
467
原创 免杀如此简单!从零基础到精通,收藏这篇就够了!
还在红蓝对抗里苦苦挣扎?免杀就像那 elusive 的独角兽,永远在远方召唤你?别慌!今天就给大家伙儿介绍一款的免杀神器——MaLoader,让你也能体验一把“”的快感!MaLoader这玩意儿可不是吃素的,它是一款基于打造的免杀马生成工具。目前战绩彪炳,,统统不在话下!简直是杀软界的“本文仅用于技术交流,请勿用于非法用途。如因操作不当导致“”的悲剧发生,本人概不负责!
2025-05-13 15:35:59
559
原创 【万字长文】深入解析:Windows 提权技术全攻略,从零基础到精通,收藏这篇就够了!
注册表项的安全描述符定义语言(SDDL)字符串定义了谁可以访问该项。我们可以修改 SDDL 字符串,获得对某些注册表项的完全控制权。;GA;;;WD)" /f提权之路漫漫,需要不断学习和实践。记住,安全无小事,时刻保持警惕,才能在网络安全的世界里游刃有余!```
2025-05-13 15:35:28
415
原创 Linux提权漏洞CVE-2025-27591,从零基础到精通,收藏这篇就够了!
各位攻城狮、程序猿们,今天咱们来聊点刺激的!Linux 提权漏洞 CVE-2025-27591,听说过没?没听过?没关系,今天就带你把它扒个精光!这个漏洞存在于 Below 服务(版本低于 v0.9.0),简单来说,就是因为这个目录太奔放了,权限设置成了全局可写,导致任何阿猫阿狗都能往里塞东西。这就好比你家大门钥匙人手一把,想不进贼都难啊!
2025-05-13 15:34:56
468
原创 XXEinjector:一款功能强大的自动化XXE注射工具从零基础到精通,收藏这篇就够了!
还在手动构造 XXE 注入 payload?OUT 啦!今天给大家安利一款,让你轻松驾驭 XXE 漏洞,成为网络安全界的弄潮儿!XXEinjector 是一款基于 Ruby 开发的 XXE 注入工具,它支持多种直接或间接的带外 (OOB) 方法来提取文件。不过要注意,目录枚举功能目前只对 Java 应用有效,而暴力破解攻击则可能需要与其他应用配合使用,才能发挥最大威力。
2025-05-12 18:07:39
994
原创 逆向工具——IDA Pro的使用,从零基础到精通,收藏这篇就够了!
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
2025-05-12 18:07:09
1099
原创 ADCS-ESC3漏洞环境构造与利用,从零基础到精通,收藏这篇就够了!
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
2025-05-12 18:06:38
515
原创 这18个黑客必备工具让你秒变安全专家,从零基础到精通,收藏这篇就够了!
网络安全就像一场没有终点的马拉松,我们需要不断学习,不断进步,才能在这个充满挑战的领域中立于不败之地。希望本文介绍的这些工具能够帮助你更好地保护自己的“数字家当”,成为一名合格的“网络特工”!专业的安全知识持续的学习更新系统的防护方案良好的安全意识团队的协同配合本文仅供安全研究和学习交流使用,严禁用于非法用途!转载请注明出处,否则…哼哼!
2025-05-12 18:06:08
866
原创 入侵检测系统(IDS)和入侵防御系统(IPS)有啥区别?,从零基础到精通,收藏这篇就够了!
在这个数字化生存的时代,网络安全问题就像夏天的蚊子一样,防不胜防!面对层出不穷的网络攻击,企业和个人都得练就一身“金钟罩铁布衫”。今天,我们就来聊聊网络安全界的两大“神兵利器”——入侵检测系统(IDS)和入侵防御系统(IPS),看看它们到底有啥不一样,谁才是你真正的守护神!
2025-05-12 18:05:37
597
原创 网络安全知识,速速码住!从零基础到精通,收藏这篇就够了!
各位冲浪达人,互联网时代,谁还不是个“网”红呢?但你有没有想过,在享受网络便利的同时,也可能一不小心就成了黑客眼中的“猎物”?今天就来跟大家聊聊网络安全那些事儿,都是干货,!对于国家来说,网络安全是国家安全的基石;对于个人来说,它关系到你的财产安全、隐私安全。想想看,要是你的银行卡密码被盗了,或者个人信息被泄露了,那可就不是一句“OMG”能解决的了。想要在网络世界里横着走,首先得树立正确的网络安全观。
2025-05-12 18:04:35
410
原创 秘网络安全钓鱼大作战:手把手教你反套路!从零基础到精通,收藏这篇就够了!
在网络安全界,**“钓鱼”**可不是指你周末去水库边挥杆甩线。这是一种老掉牙但又屡试不爽的网络诈骗术,堪称社会工程学攻击的“祖师爷”。简单来说,就是黑客蜀黍或者诈骗分子伪装成你信任的人(比如银行、朋友、甚至是你暗恋的小姐姐),忽悠你交出各种敏感信息,像账号密码、银行卡号之类的“小秘密”。“钓鱼”攻击最擅长的就是伪装!他们会把自己打扮成你最信任的模样,比如银行客服、社交平台、甚至政府部门,让你放松警惕,乖乖上钩。攻击者会炮制各种诱人的信息或者危言耸听的内容,引诱你“自投罗网”。比如,“恭喜你中奖啦!
2025-05-12 18:04:01
745
原创 网安面经!42 道 Web 安全面试题全解析,从零基础到精通,收藏这篇就够了!
可以利用进制转换、DNS解析、句号(127.0.0.1)、[::](http://[::]:80/)、@(http://example.com@127.0.0.1)、短地址(http://dwz.cn/11SMa)等方式绕过。支持Dict://、SFTP://、TFTP://、LDAP://、Gopher://等协议。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
2025-05-12 18:02:49
432
原创 懂XSS攻击,你的网站分分钟被黑客安排!从零基础到精通,收藏这篇就够了!
XSS攻击是Web应用程序中常见且危险的攻击方式,就像潜伏在你网站里的“隐形杀手”,随时可能窃取用户数据、篡改网页内容,甚至进行钓鱼诈骗!防御XSS攻击的关键在于对用户输入进行严格的过滤、验证和编码,确保恶意脚本不能在浏览器中执行。记住,“预防胜于治疗”,只有做好充分的防御措施,才能让你的网站远离XSS攻击的威胁!在PHP中,是防止XSS攻击的常见方法。同时,通过合理的HTTP头部设置和正确的DOM操作方法,可以进一步提高应用的安全性,让你的网站更加坚不可摧!```黑客/网络安全学习包。
2025-05-12 18:02:12
621
原创 红队必杀技:20种APT级权限维持手法全解剖!从零基础到精通,收藏这个就够了!
在网络安全的世界里,红队就像一群身怀绝技的“特工”,他们的目标是攻破系统,而权限维持则是他们成功潜伏的关键一步。想象一下,辛辛苦苦打下的“江山”,一重启就没了,岂不是白忙活一场?所以,红队必须掌握各种“不死”后门技术,确保即使系统重启、用户密码更改,甚至管理员亲自出手,也能牢牢控制住目标。红队想方设法在系统里留下“记号”,而蓝队则要擦除这些痕迹。红队会,比如Windows的注册表、计划任务,Linux的crontab、systemd服务等。
2025-05-12 17:59:28
726
原创 吐血整理40个网络安全漏洞挖掘姿势,从零基础到精通,收藏这篇就够了!
各位靓仔,搞网络安全,就像在雷区蹦迪,一不小心就 Boom Shakalaka!Web漏洞这玩意儿,说白了就是。开发者们啊,总是对用户输入、权限边界和系统交互爱的太深,结果翻车了!:用户输入没好好过滤,SQL注入、XSS啥的,直接把恶意代码当指令执行了,这不扯淡呢?:身份验证和会话管理一塌糊涂,越权、JWT篡改,黑客直接进你家后院溜达,想干啥干啥!:业务规则验证缺失,订单金额随便改,短信轰炸不要钱,这不等着被薅羊毛吗?:假设所有输入都是坏家伙,看看系统怎么处理这些妖魔鬼怪(比如,输入个'<
2025-05-12 17:58:47
421
原创 云计算的十大潜在威胁及防范策略全解析,从零基础到精通,收藏这篇就够了!
越来越多的人一股脑“上云”,图啥?无非就是那点看得见的便宜:好像能省钱,好像能随便扩容,好像IT管理就轻松了,数据安全也更上一层楼?醒醒吧!云没你想的那么美好,一不小心就掉坑里!真以为上了云就万事大吉了?别傻了,问题多着呢!今天我就来扒一扒云计算里那些暗藏的风险,再教你几招防身术,能不能学会就看你自己了。总之,上云不是万能的!别光想着省钱、方便,安全风险必须重视!做好功课,才能避免掉坑!```
2025-05-12 17:57:48
404
原创 网络安全工程师必知的“社会工程学”骚操作!从零基础到精通,收藏这篇就够了!
还在吭哧吭哧地敲代码、研究漏洞?小心被“社会工程学”的大佬们绕过你的铜墙铁壁!今天就来扒一扒这门“攻心”的黑科技,让你在网络安全的世界里,不仅懂技术,更懂人心!什么是社会工程学?别想歪了!社会工程学(Social Engineering)可不是什么“社会人”的哲学,而是一门融合了社会科学、计算机科学、心理学和经济学的“斜杠”学科。简单来说,它就是通过,来解决社会生活、经济发展和公共安全等领域的问题。是不是觉得有点高大上?其实它早就渗透到我们的生活里了!
2025-05-11 12:15:00
639
原创 深度探讨隐藏在你代码中的漏洞:变异型跨站脚本(mXSS),从零基础到精通,收藏这篇就够了!
mXSS利用了HTML处理方式的特殊性,让传统的数据清洗工具防不胜防。面对这种新型威胁,开发者们需要不断学习,提升安全意识,才能保护我们的网络世界!
2025-05-11 11:00:00
548
原创 网络安全出现“零日漏洞”?教你光速应对,从零收藏到精通,收藏这篇就够了!
在咱们网络安全圈里,“零日漏洞”(zero-day Vulnerability)这词儿,听着就让人虎躯一震!简单来说,它就是指那些。为啥叫“零日”?因为漏洞一曝光,开发人员就只剩下“零天”时间去修补,时间紧迫到令人窒息!你想啊,所有软件和硬件都可能藏着 Bug,一旦这些 Bug 变成了安全风险,那就是漏洞。而“零日漏洞”就是指。早些年,这种漏洞主要在软件、游戏圈子里混,搞搞破解啥的,属于“非营利”性质。但现在不一样了,信息这么值钱,越来越多的“零日漏洞”变成了黑市上的抢手货,影响范围也越来越广了!
2025-05-11 10:45:00
747
原创 云计算的十大潜在威胁及防范策略全解析,从零基础到精通,收藏这篇就够了!
越来越多的人一股脑“上云”,图啥?无非就是那点看得见的便宜:好像能省钱,好像能随便扩容,好像IT管理就轻松了,数据安全也更上一层楼?醒醒吧!云没你想的那么美好,一不小心就掉坑里!真以为上了云就万事大吉了?别傻了,问题多着呢!今天我就来扒一扒云计算里那些暗藏的风险,再教你几招防身术,能不能学会就看你自己了。总之,上云不是万能的!别光想着省钱、方便,安全风险必须重视!做好功课,才能避免掉坑!```
2025-05-11 10:45:00
684
原创 免杀如此简单!从零基础到精通,收藏这篇就够了
还在红蓝对抗里苦苦挣扎?免杀就像那 elusive 的独角兽,永远在远方召唤你?别慌!今天就给大家伙儿介绍一款的免杀神器——MaLoader,让你也能体验一把“”的快感!MaLoader这玩意儿可不是吃素的,它是一款基于打造的免杀马生成工具。目前战绩彪炳,,统统不在话下!简直是杀软界的“本文仅用于技术交流,请勿用于非法用途。如因操作不当导致“”的悲剧发生,本人概不负责!
2025-05-11 10:00:00
1185
原创 【万字长文】深入解析:Windows 提权技术全攻略,从零基础到精通,收藏这篇就够了!
注册表项的安全描述符定义语言(SDDL)字符串定义了谁可以访问该项。我们可以修改 SDDL 字符串,获得对某些注册表项的完全控制权。;GA;;;WD)" /f提权之路漫漫,需要不断学习和实践。记住,安全无小事,时刻保持警惕,才能在网络安全的世界里游刃有余!```
2025-05-10 11:29:55
753
原创 Linux提权漏洞CVE-2025-27591,从零基础到精通,收藏这篇就够了!
各位攻城狮、程序猿们,今天咱们来聊点刺激的!Linux 提权漏洞 CVE-2025-27591,听说过没?没听过?没关系,今天就带你把它扒个精光!这个漏洞存在于 Below 服务(版本低于 v0.9.0),简单来说,就是因为这个目录太奔放了,权限设置成了全局可写,导致任何阿猫阿狗都能往里塞东西。这就好比你家大门钥匙人手一把,想不进贼都难啊!
2025-05-10 11:29:19
1040
原创 逆向工具——IDA Pro的使用,从零基础到精通,收藏这篇就够了!
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
2025-05-10 11:28:03
1058
原创 揭秘网络安全钓鱼大作战:手把手教你反套路!从零基础到精通,收藏这篇就够了!
在网络安全界,**“钓鱼”**可不是指你周末去水库边挥杆甩线。这是一种老掉牙但又屡试不爽的网络诈骗术,堪称社会工程学攻击的“祖师爷”。简单来说,就是黑客蜀黍或者诈骗分子伪装成你信任的人(比如银行、朋友、甚至是你暗恋的小姐姐),忽悠你交出各种敏感信息,像账号密码、银行卡号之类的“小秘密”。“钓鱼”攻击最擅长的就是伪装!他们会把自己打扮成你最信任的模样,比如银行客服、社交平台、甚至政府部门,让你放松警惕,乖乖上钩。攻击者会炮制各种诱人的信息或者危言耸听的内容,引诱你“自投罗网”。比如,“恭喜你中奖啦!
2025-05-10 11:27:28
460
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人