- 博客(432)
- 收藏
- 关注
RSS订阅原创 100道CTF题目,收好了~(附答案)
CTF(Capture The Flag),中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。很多朋友对此都非常感兴趣。正好昨天搜集到一份**CTF题目,共100道,85页,**免费分享出来给大家看看~一定要收好了。
2025-04-08 15:21:17
140
原创 63.接口安全设计(活动管理系统:三)
对返回值这样封装之后,即使在接口的底层出现了数据库的异常,也不会直接提示用户,而是内部判断错误后,给用户提示的是服务器内部错误。此时,如果你的接口将这些异常信息直接返回给外网的用户,有些黑客拿着这些信息,将参数做一些调整,拼接一些注入。如果我们把接口请求参数的校验做好了,可以拦截大部分的无效请求,节省了机器资源,也避免了程序报错。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2025-04-08 15:16:35
720
原创 20位大佬,勾勒出一个中国网络安全江湖
周鸿祎本科就读于西安交通大学电信学院计算机系,后获得西交大管理学院系统工程系硕士学位。1999 年,周鸿祎出现在行业时,给人的印象更多是一个技术专家。他创立的 3721 公司,为用户提供了中文上网服务,用户无需记忆复杂的域名,在浏览器地址栏中直接输入中文名字,即可直达企业网站或找到企业、产品信息。他带领 360 在美国纽交所上市,又从美股私有化回归 A 股,两年后,“360 企业安全”更名为“360 政企安全”。他领导下的 360,诞生了无数网络安全大牛。
2025-04-08 15:05:30
758
原创 16个网络安全常用的练习靶场(小白必备)
mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境,通过将乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以让乌云帽子们获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式 中英双字,如果您语文学的不好不必担心了,界面提示英文的(DVWA原厂),内容提示中英双字(后来觉得比较眼花,所以去掉了部分英文)
2025-04-08 11:58:59
655
原创 15个程序员常逛的宝藏网站!!从零基础到精通,收藏这篇就够了!
作为一名程序员在日常工作和学习中,需要掌握各种复杂的技能和知识点,而借助论坛和技术网站可以帮助程序员提升自己的能力,以满足不断变化的技术需求。现在的技术网站和论坛五花八门,让人看花了眼,不知道哪些对自己有帮助,甚至还会浪费自己的时间和精力。今天小编整理了程序员常用的15大宝藏网站,包含技术交流、编程刷题、岗位招聘等内容,分享给大家,希望对大家的学习有所帮助。1、GitHub-让开发变简单GitHub作为最知名的开发者网站之一,提供了丰富的功能,如代码托管、问题追踪、代码审查等。
2025-04-08 11:55:01
1138
1
原创 10种计算机视觉算法及其实际应用(非常详细)零基础入门到精通,收藏这一篇就够了
至于能学习到多少就看你的学习毅力和能力了。我已将重要的AI大模型资料包括AI大模型入门学习思维导图、精品AI大模型学习书籍手册、视频教程、实战学习等录播视频免费分享出来。作为普通人,入局大模型时代需要持续学习和实践,不断提高自己的技能和认知水平,同时也需要有责任感和伦理意识,为人工智能的健康发展贡献力量。:将图像划分为若干个区域,每个区域包含相似的像素,常用方法有K-means聚类、GrabCut、FCN(全卷积网络)。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2025-04-08 11:50:06
893
原创 10个练习Web渗透测试的最佳网站
这是一个故意存在漏洞的 Web 应用程序,旨在练习 Web 应用程序安全技能。这是一个用于练习渗透测试技能的流行平台,具有一系列可供攻击和利用的虚拟机 (VM)。它还拥有一个活跃的用户社区,分享提示和技巧。该平台提供各种挑战,测试您在网络安全、密码学和网络开发等领域的技能。对于想要学习和练习新技能的初学者来说,这是一个很好的平台。该平台提供 Web 应用程序安全挑战,可满足初学者和高级用户的需求。这是一个免费的在线平台,用于学习和练习网络安全技能,特别是在计算机安全、密码学、逆向工程和网络开发领域。
2025-04-08 11:45:25
278
原创 10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了
SQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。The MoleThe Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。
2025-04-07 16:21:21
675
原创 07-Docker 安全:基于内核的弱隔离系统如何保障安全性?
容器技术带来的技术革新是空前的,但是随之而来的容器安全问题也是我们必须要足够重视的。本课时解决 Docker 安全问题的精华我帮你总结如下:!到此,相信你已经了解了 Docker 与虚拟机的本质区别,也知道了容器目前存在的一些安全隐患以及如何在生产环境中尽量避免这些安全隐患。**下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用!
2025-04-07 14:14:01
571
原创 5个自学网络安全的网站,全是技术干货!
自学肯定少不了去技术网站“偷师学艺”,今天也整理了一些我常看的技术网站,给想自学网络安全的朋友一点参考建议。话不多说,直接开整(全是自己看过的真实感受,仅供参考,有不当之处欢迎指出改正)
2025-04-07 14:09:28
408
原创 3种方法删除7-Zip压缩包的密码
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2025-04-07 12:22:01
990
原创 【运维安全】运维界葵花宝典:Nginx配置与优化秘籍
● Nginx 里有一个master进程和多个worker进程.master进程并不处理网络请求,主要负责调度工作进程:加载配置,启动工作进程及非停升级.worker进程负责处理网络请求与响应.● master进程主要用来管理worker进程,具体包括如下4个主要功能:接收来自外界的信号向各worker进程发送信号监控worker进程的运行状态当worker进程退出后(异常情况下),会自动重新启动新的worker进程● worker进程主要用来处理基本的网络事件:多个worker进程之间是对等其相互独立
2025-04-07 12:17:25
723
原创 【已解决】“X-Content-Type-Options”头缺失或不安全
Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。
2025-04-07 12:13:05
450
原创 【无需卸载,丝滑关闭奇安信天擎开机自启动(步骤超简单)】
网上找到了好多资料都是步骤如下:1,安全模式2,找到360Safe\EntClient\conf\EntBase.dat修改配置参数。但是NO NO NO!我找不到这个EntBase.bat配置文件估计我这个是企业专门定制款、和网上的不一样(PS:后来我发现,网上说的那些都是旧版本的天擎,而我现在遇到的这个是版本更高的天擎是,所以新旧版本的天擎的文件目录都不一样)但是我可以借助大致的思路。。。于是乎,我另向思考。既然可以用配置文件修改,那么就去找找类似的配置文件将将~终于被我找到了!
2025-04-07 12:06:24
540
原创 【网络安全零基础入门必知必会】TCPIP协议深入解析(非常详细)零基础入门到精通,收藏这一篇就够了
TCP/IP协议包含了一系列的协议,也叫TCP/IP协议族(TCP/IP Protocol Suite,或TCP/IPProtocols),简称TCP/IP。TCP/IP协议族提供了点对点的连结机制,并且将传输数据帧的封装、寻址、传输、路由以及接收方式,都予以标准化。
2025-04-06 16:49:27
443
原创 【网络安全】大学信息安全技术 期末考试复习题_信息安全技术选择题
区域建成后,右键单击区域名称,在如图2-4所示的下拉菜单中点击“新建主机”,在图2-5中为www.test.com建立正向搜索区域记录,名称栏应填入 (2) ,IP地址栏应填入 (3)。RSA便于确认安全性,它使用一对公开密钥和私有密钥,它的保密性取决于大素数的运算难度,与Hash报文摘要结合使用,实现对报文的完整性确认,以及防拒认,适合于对小数据量报文的加密。常见的踩点方法包括:在域名及其注册机构的查询,公司性质的了解,对主页进行分析,邮件地址的搜集和目标IP地址范围查询。
2025-04-06 11:13:11
479
原创 【网络安全】APT攻击
Google Aurora极光攻击是由一个有组织的网络犯罪团伙精心策划的有针对性的网络攻击,攻击团队向Google发送了一条带有恶意连接的消息,当Google员工点击了这条恶意连接时,会自动向攻击者的C&C Server(Command and Control Server)发送一个指令,并下载远程控制木马到电脑上,成为“肉鸡”,再利用内网渗透、暴力破解等方式获取服务器的管理员权限,员工电脑被远程控制长达数月之久,其被窃取的资料数不胜数,造成不可估量的损失。常用的手法包括邮件的附件、网站(挂马)、U盘等。
2025-04-05 17:27:08
946
原创 【网络安全】《网络安全法》制定背景和核心内容
随着互联网的普及和信息技术的迅猛发展,数字时代已经深刻影响着人们的生活、工作和社会运行。然而,随之而来的是网络安全面临的挑战不断增加。网络攻击、个人隐私泄露、恶意软件传播等问题逐渐凸显,迫使各国纷纷制定相关法规来维护网络安全。中国《网络安全法》的制定标志着国家对网络安全问题的高度重视,并为网络安全提供了法律保障。对于小白用户而言,加强网络安全意识,采取实际操作建议,是维护个人和社会网络安全的重要步骤。通过共同努力,可以更好地建设一个安全、稳定的数字社会。网安零基础入门。
2025-04-05 17:22:48
872
原创 【网络安全】 网络安全审计
网络安全审计是一种重要的网络安全活动,它可以帮助我们了解网络的安全状况,识别潜在的安全威胁,检查安全策略和程序的有效性,以及满足法规和合规性要求。通过理解网络安全审计的步骤,工具,和挑战,我们可以更好地进行网络安全审计。下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用!
2025-04-05 10:37:59
433
原创 【网络安全】 安全的系统配置
系统配置是网络安全的重要组成部分。一个不安全的系统配置可能会使网络暴露在攻击者面前,而一个安全的系统配置可以有效地防止攻击者的入侵。在本文中,我们将详细介绍如何配置一个安全的系统,包括操作系统配置,网络服务配置,应用程序配置,以及如何处理系统安全事件。
2025-04-05 10:34:15
920
原创 【网安神器篇】——WPScan漏洞扫描工具
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,特别是学校网站非常爱用,这也导致白帽子都会去跟踪WordPress的安全漏洞,Wordpress自诞生起也出现了很多漏洞。Wordpress还可以使用插件主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集Wordpress的各种漏洞,形成一个Wordpress专用扫描器WPScan是Kali Linux默认自带。
2025-04-05 10:30:12
790
原创 【加解密篇】Passware Kit Forensic暴力美学-已知部分密码自定义解密详细参数设置
都说"自制武器不一定是最强的,但最强的武器一定是自制的",对于取证工具也是一样,虽然默认配置足够强,但如果我们能根据实时情景自定义参数配置,那么往往能事半功倍—【蘇小沐】
2025-04-04 14:19:49
391
原创 【黑客技术】黑掉一个摄像头只要3步!看着家里的摄像头,我陷入了沉思…_摄像头入侵教程
现在,许多人出于“看家”的目的,选择在家里安装可旋转的云台网络摄像头。实际上,现在家庭摄像头被入侵的技术门槛已经相当低,大多数入侵行为并非由黑客实施,而是一些为了售卖摄像头利益的人在背后捣鬼。如今,网络上售卖家庭摄像头已经形成了一条完整的产业链。目前,通过漏洞入侵摄像头的事件报道相对较少,而通过弱密码入侵摄像头的事件却时有发生。许多用户购买摄像头后并未修改默认密码,例如“abc123”“12345”“admin”“888888”等。甚至,一些所谓的硬币大小的摄像头根本没有设置密码的功能。
2025-04-04 14:15:19
1615
原创 【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
2025-04-04 14:10:19
611
原创 【安全】网络安全态势感知
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别理解分析响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。态势感知的概念最早在军事领域被提出,覆盖感知理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。获取、理解、显示、预测、响应。
2025-04-04 10:43:58
698
原创 【安全】Java幂等性校验解决重复点击(6种实现方式)
幂等是一个数学与计算机科学概念,英文 idempotent [aɪˈdempətənt]。。比如 求绝对值 的函数,就是幂等的,abs(x) = abs(abs(x))。计算机科学中,幂等表示一次和多次请求某一个资源应该具有同样的作用。满足幂等条件的性能叫做幂等性。
2025-04-04 10:33:34
1001
原创 【SQL】SQL数据聚合必备:10个核心函数一网打尽
数据处理是专业人士经常面对的问题,尤其是在大型数据集的情况下。有效总结和分析数据非常重要,能从数据中获取有价值的见解。SQL提供了一组强大的聚合函数,可以帮助数据科学家和数据分析师更好地处理和分析数据。本文介绍10个实用的SQL聚合函数,并举例说明其在实际应用中的使用方法,有助于读者更好地理解SQL聚合函数的工作原理和应用场景。
2025-04-03 16:21:06
285
原创 【reverse】手把手带你基于dll实现多次SMC
问题1比较棘手,我采用的可行但粗糙的做法是:让每个SMC函数结构相同,于是它们的大小也都相同。Code/blob/master/Examples/SMC2.cpp)看到的一种很简洁的SMC方案。本文CSDN:https://blog.csdn.net/hans774882968/article/details/130469189。)的函数体,使得一个变量的初值改变,从而随心所欲地控制函数走向的分支。本文juejin:https://juejin.cn/post/7228629361652727845/
2025-04-03 16:13:49
593
原创 【mysql】mysql安装使用教程(非常详细),零基础入门到精通,看这一篇就够了
6、电脑缺少C++时,上一步中点击next后,会进入check requirements页,选择服务,并点击【execute】进行安装(没有此步骤说明电脑已安装,无需重复安装)11、填写密码后点击下一步,Windows server name中修改名称为MySQL以方便使用,其他选项默认即可,然后点击【next】7、installation中继续点击【execute】,安装完成后,点击【next】弹出安装弹窗后,同意协议并点击【安装】,成功后点击c++安装的【关闭】
2025-04-02 15:12:59
1757
原创 【Linux】Shell 脚本实战:一线工作必备的18个高效工具
假设服务器环境为 lnmp,近期访问经常出现 502 现象,且 502 错误在重启 php-fpm 服务后消失,因此需要编写监控脚本,一旦出现 502,则自动重启 php-fpm 服务。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。Expect是一个自动交互式应用程序的工具,如telnet,ftp,passwd等。加个死循环,如果IP可用就退出,不可用提示继续输入,并使用awk判断。
2025-04-02 15:10:21
214
原创 【java安全扫描】 HCL AppScan Standard安全报告:API 成批分配问题
如果 API 端点自动将提供数据的客户机转换为内部对象属性,而不考虑这些属性的敏感度和暴露水平,则 API 端点容易受到成批分配攻击。④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。②网络通信原理、OSI模型、数据转发流程。
2025-04-02 15:06:03
346
原创 【CTF】CTF竞赛介绍以及刷题网址
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。
2025-04-02 11:15:21
590
原创 【burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)
一、服务器端请求伪造(SSRF)1、SSRF简述:2、影响二、SSRF常见攻击1、SSRF攻击服务器本身实验1:针对本地服务器的基本SSRF2、SSRF攻击其他后端系统实验2:基本SSRF与另一个后端系统三、绕过SSRF的普通防御1、SSRF具有基于黑名单的输入滤波器实验3:SSRF具有基于黑名单的输入滤波器2、SSRF具有基于白名单的输入过滤器实验6:具有基于白名单的输入滤波器的SSRF3、通过开放重定向绕过SSRF滤波器实验4:SSRF通过开放重定向漏洞绕过过滤器。
2025-04-02 11:12:38
992
原创 【2025年最新】Anaconda3的安装配置及使用教程(超详细),从零基础入门到精通,看完这一篇就够了(附安装包)
网安零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
2025-04-02 11:09:35
976
原创 【2025版】Kali Linux 渗透测试技术大全
Legba是一个使用 Rust 和 Tokio 异步运行时构建的多协议凭证暴力破解器/密码喷雾器和枚举器,以便实现更好的性能和稳定性,同时消耗比类似工具更少的资源(请参阅下面的基准)。
2025-04-01 10:13:27
709
原创 “先加密后签名”是不是安全?看完这篇就秒懂!
很多安全规范及安全文章中都提到一条规则:先加密后签名是不安全的,应当先签名后加密。这条规则背后的原理是什么?先加密后签名一定不安全吗?本文为您一一解答。先签名后加密是指先对消息进行签名,然后对消息的签名值和消息一起进行加密。如果采用先加密后签名的方式,接收方只能知道该消息是由签名者发送过来的,但并不能确定签名者是否是该消息的创建者。比如在发送一个认证凭据时采用先加密后签名的方式,消息在发送过程中就有可能被第三方截获并将认证凭据密文的签名值修改为自己的签名,然后发送给接收方。
2025-04-01 10:02:23
863
原创 [翻译]盲SSRF利用链术语表
SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。当服务端提供了从其他服务器获取数据的功能(如:从指定URL地址获取网页文本内容、加载指定地址的图片、下载等),但是没有对目标地址做过滤与限制时就会出现SSRF。
2025-03-31 16:37:14
439
原创 [CTF夺旗赛] CTFshow Web1-14 详细过程保姆级教程~
CTFShow通常是指网络安全领域中的“Capture The Flag”(夺旗赛)展示工具或平台。这是一种用于分享、学习和展示信息安全竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或软件。参与者会在比赛中收集“flag”,通常是隐藏在网络环境中的数据或密码形式,然后通过分析、破解等手段找到并提交。CTFShow可以帮助人们了解最新的安全技术和挑战,同时也促进了安全知识和技术的交流。
2025-03-31 16:33:32
277
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人