- 博客(982)
- 收藏
- 关注
RSS订阅原创 vulnhub靶场之tiki靶机
该靶机从头到尾的重点就是漏洞,就是tiki的CMS漏洞。构造路线如下:SMB服务---->网站信息获取---->CVE漏洞利用---->获取ssh凭证---->sduo提权黑客/网络安全学习路线。
2025-04-29 11:08:20
1019
原创 数据库类型以及判断方法(渗透测试篇)
有小伙伴私信说想了解一些关于数据方面的知识,在测试时如果发现问题,如何判断数据库类型,从而进一步渗透测试(红队方向)数据库共有2种类型:关系型数据库、非关系型数据库。1、MySQL、MariaDB(MySQL的代替品)、Percona Server(MySQL的代替品·)、PostgreSQL、几乎所有的数据库管理系统都配备了一个开放式数据库连接(ODBC)驱动程序,令各个数据库之间得以互相集成。延申:如果发现了注入点(sql注入)如何判断是哪种数据库,在这里列举常用的几种数据库。
2025-04-29 11:07:44
1103
原创 护网面试汇总,全网最全!
越权(失效的访问控制), 指未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据( 直接的对象引用或限制的URL )。例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。表现形式:水平权限、垂直权限水平越权:本来有个账号(即只能操作自己的数据,比如增删改查),但是通过越权操作,能操作其他同等权限账号的数据。垂直越权:本来有个账号只有小权限,但是通过越权操作,获取了大权限。
2025-04-29 11:07:08
821
原创 CISSP考试经验分享(全流程详解),从零基础到精通,收藏这篇就够了!
刚从CISSP考场的泥潭里爬出来,一身疲惫,百感交集。先别急着恭喜我,也别盲目羡慕。这玩意儿,真不是你想的那么简单。两个月的折磨,换来一张证书,值不值?说实话,我现在有点怀疑人生。01我在安全圈摸爬滚打了七年,现在在一家互联网公司死磕应用安全,特别是SDL那一块。CISSP?如果你已经入了这行,有点经验,考一个傍身,没毛病。但如果你是小白,或者只是想转行,我劝你冷静。以前CISSP还能靠背题库、钻空子,现在?呵呵。2023年改版后,变成了丧心病狂的CAT模式。
2025-04-29 11:03:53
932
原创 30个网络安全专有名词详解(黑话指南)
肉鸡”是一种很形象的比喻,比喻那些被黑客控制的电脑,对方可以是Windows系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,一旦你的电脑称为“肉鸡”,就意味着别人可以随心所欲地操作你的电脑,而不会被你发觉。那些表面上伪装成正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客热衷于使用木马程序来控制别人的电脑。比如:灰鸽子、黑洞、PcShare等。
2025-04-28 11:27:53
916
原创 黑客神器 Kali Linux 2025.1a 重磅发布,新桌面与渗透工具齐登场
2025年3月19日,kali官方发布了最新版本的kali-Kali Linux 2025.1a Release。那为啥叫1a呢?官方宣称在生成镜像后,在最后一刻发现一个软件包中存在错误。因此,需要重新构建并修复。自2024年4月份发生了那些变化呢?一直以来,每年发布新版本时,kali官方都会对主题进行更新,目的是让软件界面和强大的工具一样,紧跟时代潮流。在 20XX.1 版本中,kali精心设计了全新主题。
2025-04-28 11:27:20
591
原创 HW重保蓝队Top 30类高频面试题清单
SQLi 攻击与防御正向代理类似跳板,通过正向代理机器访问外部互联网,如果正向代理机器在海外,可以连接 GFW 外部互联网正向代理可以收集用户上网信息,进行权限认证等反向代理类似镜像,实现对服务的转发,实际上对外相当于一台服务器反向代理能有效分隔内网机器,防止攻击或者进行负载均衡相同:都是用来连接 Web Shell 的工具 不同:冰蝎有流量动态加密。
2025-04-28 11:26:31
698
原创 渗透工程师手册:60个SQL注入Payload清单集合
联合注入Payload报错注入Payload堆叠注入Payload盲注Payload获取第一个列名的第一个字符。
2025-04-28 11:24:15
918
原创 CTFer常见高频工具清单
介绍CyberChef是一款强大的编码转换器,地址在:https://gchq.github.io/CyberChef/它简单易懂易上手,集成了多种编码转换的功能,如:base64加解密、hex转换、char转换、正则表达式等,能辅助大家方便快捷地解密出恶意脚本。下载地址在线地址介绍跨平台密码学工具箱。包含编解码,编码转换,加解密, 哈希,MAC,签名,大数运算,压缩,二维码功能,CTF等功能。下载地址介绍CTF(Capture The Flag)比赛中常用的工具集之一。
2025-04-28 11:23:45
628
原创 云安全SRC漏洞挖掘,从零基础到精通,收藏这篇就够了!
各位靓仔靓女们,大家好!最近沉迷于云安全漏洞挖掘,发现了不少骚操作。今天就来和大家聊聊,如何玩转云安全,成功拿下SRC。文章里满满的都是我实战中挖到的漏洞案例,绝对干货满满,看完保证你功力大增!本文将由浅入深,带你了解云安全的那些事儿。从云安全的发展和未来趋势,到可能面临的各种安全问题,给你一个全方位的解读。
2025-04-15 11:25:28
861
1
原创 IT运维、网络工程师失业后可以尝试的18个副业方向!从零基础到精通,收藏这篇就够了!
话说最近这两年,网络安全圈也不太平,经济大环境就像过山车,产业结构调整也让人眼花缭乱。不少运维和网络安全工程师,可能因为公司战略调整或者技术更新太快,被迫暂时“待业”。但是!各位技术大佬们,别慌!你们的核心竞争力————在数字化时代,那可是香饽饽,是各家企业争抢的“硬通货”!今天,咱就来聊聊,结合当下最火的行业趋势和各位的技术特点,给咱们的网络安全工程师们安排了18个能快速上手、收益看得见的副业方向。
2025-04-15 11:24:43
1051
原创 网络安全五大漏洞,从零基础到精通,收藏这篇就够了!_pass漏洞是什么
说白了,就是个人习惯和安全意识掉线了。为了不让自己忘密码,就搞个超级好记的,比如生日、名字缩写啥的。更离谱的是,直接用系统默认密码,简直就是给黑客开了后门!:跨站脚本攻击,怕和CSS(层叠样式表)搞混,所以就叫XSS了。:黑客往网页里塞一些恶意代码(通常是JavaScript脚本),等你用浏览器打开这个带毒的网页时,这些恶意代码就会在你浏览器里执行,然后黑客就“借你之手”搞事情了。CSRF(Cross-Site Request Forgery),中文名叫跨站请求伪造。
2025-04-15 11:23:43
756
原创 弱口令(Weak Password)总结和爆破工具.md,从零基础到精通,收藏这篇就够了! (2)
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
2025-04-15 11:23:14
951
原创 彻底搞懂网络安全中的 CSRF 攻击,从零基础到精通,收藏这篇就够了!_aras中打开外部网址提示csrf error
各位网络安全爱好者,今天咱们来聊聊一个老生常谈但又不得不防的安全漏洞——,也就是跨站请求伪造。别看它名字挺唬人,其实理解起来一点都不难。保证你看完这篇文章,就能像躲避老板突击检查一样,轻松应对 CSRF 攻击!
2025-03-28 16:03:27
783
原创 还在愁Linux环境?从零基础到精通,收藏这篇就够了!
到这里,你的Linux开发环境就搭建完成了!是不是感觉成就感满满?快去探索Linux的奥秘吧!```黑客/网络安全学习路线。
2025-03-28 16:02:37
956
原创 2025网络安全漏洞平台大盘点,从零基础到精通,收藏这篇就够了!
挖掘SRC漏洞需要全面的计算机安全知识和经验,不断学习和实践才能不断提升自己的技术水平。可以参考一些安全网站、博客和书籍来增加自己的知识储备,多花时间进行实践练习,不断完善和提升自己的技能。记住,网络安全的道路没有终点,只有不断学习,才能成为真正的“漏洞猎手”!黑客/网络安全学习路线。
2025-03-28 16:01:53
1092
原创 弱口令(Weak Password)总结和爆破工具.md,从零基础到精通,收藏这篇就够了!
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
2025-03-28 15:59:38
1086
原创 Src挖掘技巧分享 谈谈业务逻辑漏洞,从零基础到精通,收藏这篇就够了!
业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。简单理解:就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞逻辑漏洞还是一种虽然没有在中提及到,但是往往会存在的漏洞。好像一名隐士,大隐隐于市,然而造成的破坏可能一点不比sql注入,xss等漏洞小。逻辑漏洞大概出现在如下几处。下面我们根据出现位置来一处一处进行总结了解越权访问的概念,首先要了解授权和验证的概念:授权是指网站赋予特定人对网站特定资源的读写权限。
2025-03-28 15:50:35
941
原创 【黑客技术】2025年三个月自学手册网络安全
什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客。
2025-03-20 14:22:31
1054
原创 MySQL保姆级教程(基础篇)从小白到高手的进阶指南,从零基础到精通,收藏这篇就够了!
本教程精心编撰,旨在为初学者提供一条从零开始的MySQL学习路径。系统地掌握MySQL的核心知识,包括但不限于数据库的无缝安装、底层架构揭秘、存储引擎解析、高效索引构建、锁机制探秘、两阶段提交详解,以及高可用架构的设计与实现。无论你是数据库领域的新人,还是希望深化MySQL技能的从业者,这都是一份不可多得的学习资料,助你全方位、多层次地掌握MySQL的精髓。MySQL 5.6 算是 MySQL 历史上的的一个的一个里成本。
2025-03-20 14:21:47
950
原创 内网渗透初探 小白简单学习内网渗透
以上便是我学习的简单地从外网获取shell,经过提权或不提权直接进行内网渗透的一个简单过程,其中涉及一些概念问题没有说的很明白,希望表哥们提点提点。以上仅为个人学习过程,可能知识点过于简单,望理解。黑客/网络安全学习路线。
2025-03-20 14:20:47
893
原创 网络安全知识核心20要点
攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。
2025-03-20 14:19:46
731
原创 一学就会!50条Web渗透快速打点技巧
Web渗透快速打点是一个涉及多个阶段和技巧的过程,从信息收集到漏洞利用,再到防御与修复建议,每一步都可能成为获取目标系统访问权限或提升安全性的关键。安全从业者需要不断学习和实践这些技巧,以应对日益复杂的网络威胁。同时,这些操作必须在合法授权的范围内进行,以确保不违反法律法规。通过持续学习和实践,从业者可以不断提升自己的技能水平,为Web应用的安全性保驾护航。黑客/网络安全学习路线。
2025-03-20 14:19:00
1223
原创 2025年零经验想跳槽转行网络安全,需要准备什么?
最近在后台收到了部分私信,大部分都是关于网络安全转行的问题,其中,目前咨询最多的是:觉得现在的工作没有发展空间,替代性强,工资低,想跳槽转行网络安全。没有经验怎么学习?需要准备什么?发展前景好吗?能拿到高薪吗?等等这类的话题。网络安全行业现状如何?网络安全如何学习?想入坑网络安全需要做哪些准备?
2025-03-19 11:47:40
1012
原创 运维想转行?运维工程师的出路在哪里,尤其是 35 岁以后?
最近在知乎看到个问题,“运维的出路在哪里,特别是35以后?”,除了往正方向冲击、方向等原因,回答也代表了各种不同人需求和看法,摘取一些分享给大家,也欢迎留言讨论。打好基础,网络,安全,数据库,服务器系统,虚拟化,存储,这些是最起码的。提前布局,数通(网络/安全产品/WLAN)/IT(服务器硬件、存储、服务器系统,数据库,这些精几门,熟悉几门)/弱电(数据中心机房,综合布线,安防监控,智能化等等)争取达到两精一熟的水平。别说什么学得杂,如果连全面这一关都过不了,混吃等死吧。
2025-03-19 11:43:34
666
原创 Linux命令大全(非常详细)零基础入门到精通,收藏这一篇就够了
做软件开发的朋友,相信大家或多或少都接触过Linux,知道Linux中的命令是非常多的,但是我们也不必因此而烦恼,因为我们只需要掌握常用的命令,就可以满足我们日常工作开发了。下面汇总了果冻做开发以来最常用的32个命令,分享给有需要的朋友。
2025-03-19 11:35:31
819
原创 MySQL数据库安全加固:防注入与权限管理策略,从零基础到精通,收藏这篇就够了!
亲爱的朋友们,今天我们一起学习了如何在MySQL数据库中加强安全防护,包括防止SQL注入和管理用户权限。虽然这段旅程充满了技术细节,但只要跟随我们的指引,相信你也能建立起坚实的防线。如果你觉得这篇文章对你有所帮助,请不要吝啬你的赞和分享,让更多的人受益吧!
2025-03-18 11:59:49
469
原创 恶意代码逆向分析,从零基础到精通,收藏这篇就够了!
我们的目标是撰写一系列有关恶意软件分析的文章,并解释从简单的恶意软件二进制文件到最复杂的恶意软件,涵盖大量主题,例如。
2025-03-18 11:59:01
1665
原创 [开源]一套实现SSR服务端渲染的CMS系统,适合企业搭建SEO型网站,从零基础到精通,收藏这篇就够了!
使用 nest.js 基于 node.js 和 nuxt.js 基于 vue.js 开发的 CMS 系统,实现 SSR 服务端渲染,且可生成静态HTML,有利于SEO。适合企业搭建SEO型网站。
2025-03-18 11:58:11
764
原创 通俗的讲,网络爬虫到底是什么?零基础入门到精通,收藏这一篇就够了
互联网是一个庞大的数据集合体,网络信息资源丰富且繁杂,如何在数据的海洋里找到自己需要的信息呢?网络爬虫技术顺应互联网时代的发展应运而生。网络爬虫,又称为网络蜘蛛,实际上音译 Spider 得到,此外 Crawler,bots, robots 以及 wanderer等都是其同义词。定义网络爬虫时,可从广义与狭义两个角度进行,从狭义角度看,该软件程序采取标准 http 协议对万维网信息空间的遍历依靠超链接与Web 文档检索办法完成;广义角度出发,网络爬虫是对 Web 文档进行检索依靠 http 协议就能够实现。
2025-03-18 11:38:35
588
原创 【2025版】最新SQL 三种注入方式详解,零基础入门到精通,收藏这一篇就够了
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。可见该网络安全专业的技术性很强,具有鲜明的专业特点,是一门能够学到真正技术的工科类专业之一。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
2025-03-18 11:37:58
994
原创 一张图解释TCP和UDP有啥区别,太精辟了!
TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的传输层协议。它确保数据包按顺序且无误地传送到接收方。连接建立:TCP是面向连接的协议,这意味着在发送数据之前,通信双方需要先建立一个连接。这通常通过“三次握手”机制完成。可靠性:TCP通过序列号和确认机制确保数据包按顺序传输,并使用重传机制处理丢失的数据包。流量控制:TCP使用流量控制机制,确保发送方不会淹没接收方,避免网络拥塞。拥塞控制。
2025-03-18 11:37:08
538
原创 如何学习 Linux 内核网络协议栈
下面将介绍一些内核网络协议栈中常常涉及到的概念。内核显然需要一个数据结构来表示报文,这个结构就是 sk_buff ( socket buffer 的简称),它等同于在<TCP/IP详解 卷2>中描述的 BSD 内核中的 mbuf。sk_buff 结构自身并不存储报文内容,它通过多个指针指向真正的报文内存空间:sk_buff 是一个贯穿整个协议栈层次的结构,在各层间传递时,内核只需要调整 sk_buff 中的指针位置就行。内核使用 net_device 表示网卡。网卡可以分为物理网卡和虚拟网卡。
2025-03-18 11:36:13
444
原创 【网络安全零基础入门到精通教程】XSS跨站脚本攻击详解及分类,一文搞懂XSS攻击原理!
跨网站脚本(Cross-site scripting,简称XSS) 又称为跨站脚本攻击,它是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。XSS允许恶意用户将代码注入网页,其他用户在浏览网页时就会执行其中的恶意代码。恶意用户利用XSS代码攻击成功后,可能得到很高的权限(执行操作)、私密网页内容、会话和Cookie等各种内容。与XSS相关的攻击类型包括Cookie窃取、会话劫持、钓鱼欺骗等,这类攻击通常包含了HTML以及用户端脚本语言。
2025-03-17 18:14:20
683
原创 【2025版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
2025-03-17 18:13:26
1068
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人