- 博客(45)
- 收藏
- 关注
RSS订阅原创 等保系列(三):等保测评的那些事
1、测评准备阶段(1)确定测评对象与范围明确被测系统的边界、功能模块、网络架构及承载的业务。确认系统的安全保护等级(如二级、三级)。(2)签订测评合同选择具备资质的测评机构(需公安部认可的等保测评资质)。签订合同并明确测评目标、时间、费用等。(3)资料收集与沟通收集系统资料:网络拓扑图、资产清单、安全策略、管理制度、以往测评报告等。与客户沟通系统现状、特殊需求及安全建设情况。2、测评方案编制(1)制定测评计划确定测评人员分工、工具使用(如漏洞扫描器、渗透测试工具等)。
2025-05-09 21:49:55
730
原创 等保系列(二):等保建设的具体要求
1、定级明确系统的安全保护等级。2、备案向公安机关提交系统定级信息,完成备案。3、建设整改对标等保要求,补齐安全短板。差距分析:依据等保2.0的安全通用要求和扩展要求,评估现有防护措施差距。制定方案:技术整改:部署防火墙、入侵检测系统(IDS)、日志审计等安全设备。管理整改:建立安全管理制度。实施整改:完成设备部署、策略配置、漏洞修复及制度落地。4、等级测评通过第三方测评验证系统合规性。技术测评:渗透测试、漏洞扫描、配置核查(如身份鉴别策略、访问控制)。
2025-05-07 18:16:58
729
原创 等保系列(一):网络安全等级保护介绍
网络安全等级保护(以下简称:等保)是根据《中华人民共和国网络安全法》及配套规定(如《信息安全技术 网络安全等级保护基本要求》等)建立的系统性安全防护机制,要求网络运营者根据信息系统的重要性及受破坏后的影响程度,实施不同等级的安全防护。
2025-05-01 16:43:01
1143
原创 网络安全法律法规简介
1、《网络安全法》施行日期:2017年6月1日明确网络空间主权原则,规定网络运营者的安全义务(如等级保护制度)、关键信息基础设施保护要求、个人信息处理规则等。2、《数据安全法》施行日期:2021年9月1日建立数据分类分级保护制度,规范数据交易和跨境流动,要求重要数据出境需安全评估。3、《个人信息保护法》施行日期:2021年11月1日为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益4、《密码法》
2025-03-27 09:00:09
684
原创 网络安全可以去哪些单位工作
每年都有大批网络安全公司成立,也有大量公司倒闭关门,网络安全行业已经进入大浪淘沙的阶段,只有竞争力足够的公司能够坚持到最后。培训机构这里我分为两类,一是主要做网络安全认证培训,比如CISP、CISAW等认证培训,二是卖课的培训公司,主要是通过课程盈利。很多体制内的单位都会招录计算机相关的岗位,比如很多信息中心、信息科等都需要计算机、网络安全人才,进入体制内工作也许是个不错的选择。每个省份都有几个不错本土集成商,集成商也是网络安全厂商销售的重要渠道,所以好的集成商待遇也不错。二、网络安全测评机构。
2025-03-27 08:57:05
347
1
原创 网络空间安全专业培养方案及学习建议
随着网络安全人才培养,网络安全行业必将趋于专业化,今后无论甲方还是乙方都会有更多专业人员担任网络安全相关职务。专业化趋势也对从业人员提出了更高的要求,更全面的理论基础,更好的技术素养,更强的探索学习能力。可以预见,未来会有一批价值产出低的人员会被逐渐淘汰,无论是科班还是非科班出身,都有可能面临这个挑战。
2025-03-20 09:15:21
277
原创 网络空间安全专业发展历程及开设院校
1. 早期探索阶段(1990年代末—2000年代初)(1)背景:1990年代互联网进入中国,计算机病毒、黑客攻击等问题逐渐显现,社会对信息安全人才的需求开始萌芽。(2)高校尝试1997年,西安电子科技大学在密码学领域积累深厚,率先开设与信息安全相关的选修课程和研究方向。1998年,武汉大学依托其计算机学院和数学学科优势,开始探索信息安全方向的本科教育。2. 正式设立本科专业(2001年)2001年,武汉大学获批设立中国首个“信息安全”本科专业。
2025-03-19 17:19:52
768
原创 网络安全证书培训机构有哪些
记得刚入行的时候,想考一个证书来装装门面,结果发现费用太高了,比当时一个月的工资都高,感叹网络安全这帮人真舍得花钱,遂放弃。后来入职网络安全公司,考了一个CISP,在工作中逐渐发现,证书这个东西还是要根据自身需求来,并非越多越好。当前笔者的主要任务还是通过学习来增强自己的能力,后续看看是否有机会既能让读者享受物美价廉的考试认证服务,又能让培训机构及时找到生源,实现双赢。如果找到合适的培训机构,我会及时告知大家。
2025-03-17 19:10:56
1020
1
原创 同源策略漏洞学习
同源策略是浏览器的一个安全功能,它规定了来自一个源的脚本在没有特殊授权的情况下,不能访问或操作来自其他源的文档、对象或脚本等资源。这里的 “源” 由协议、域名和端口号共同决定,只有当这三个部分都完全相同时,才被认为是同源。
2025-02-24 08:39:27
898
原创 JWT漏洞学习
用于在网络应用环境间安全传递声明。通常用于身份验证和信息交换,因其紧凑、自包含且易于传输的特性而被广泛使用。JWT 由三部分组成,用点号.分隔:Header(头部)、Payload(负载)、Signature(签名)
2025-02-10 14:44:36
336
原创 XXE漏洞学习
XML 指可扩展标记语言(EXtensible Markup Language)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML 被设计为传输和存储数据,其焦点是数据的内容。HTML 被设计用来显示数据,其焦点是数据的外观。
2025-02-06 15:29:41
1077
原创 服务端请求伪造SSRF漏洞简单练习
SSRF(Server - Side Request Forgery),服务器端请求伪造漏洞,攻击者利用该漏洞,通过目标服务器发起对其他服务器或服务的恶意请求。
2025-01-23 16:04:28
770
原创 聊一聊网络安全证书的那些事
如果你很迷茫,想提升自己,请反复阅读本文并思考,相信能给你一些启发。以下内容仅属于笔者个人观点,请大家理性批判地阅读。
2025-01-21 10:59:37
1434
原创 跨站请求伪造CSRF漏洞介绍
CSRF概念CSRF(Cross - Site Request Forgery),跨站请求伪造。它是一种网络安全漏洞,攻击者通过诱导用户访问恶意网站,利用用户当前已登录的身份在被攻击的网站(目标网站)执行非用户本意的操作。
2025-01-15 08:50:29
1161
原创 文件包含漏洞等你来看
文件包含漏洞是指由于应用程序在包含文件时,没有对包含文件的路径和内容进行严格的验证和过滤,导致攻击者可以利用这个机制,让服务器包含并执行非预期的文件。
2025-01-14 10:12:54
499
原创 一起通关XSS-Labs(Level 1-18)
练习xss-labs靶场就像做题目一样,知道有答案,所以心里压力会小很多,如果多次尝试还没有思路的时候,可以参考一下本文的内容。Level 14靶场引用的链接失效,无法完成实验,Level 17-20需要使用到Flash插件,因为Flash已经停用,了解一下即可!
2025-01-06 09:13:02
813
原创 XSS跨站脚本攻击漏洞练习
XSS 是跨站脚本攻击(Cross-Site Scripting)的缩写,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。XSS 漏洞主要是因为 Web 应用程序没有对用户输入的数据进行充分的验证和过滤,或者没有正确地对输出内容进行编码,从而导致攻击者可以将恶意脚本注入到网页中,这些恶意脚本能够在受害者的浏览器中执行。
2024-12-24 09:30:18
1445
原创 如何用PhpStudy搭建网络安全靶场
建议在虚拟机中安装,后期如果有问题可以通过快照恢复,而且不会造成数据库混乱。这个主要是对一些靶场和网站无法兼容最新版本,可以下载以前的版本。修改用户名为刚才查看的用户名和密码,修改完保存退出。如果提示:没有’pikachu’数据库,不用管它。安装步骤就按照常规软件进行操作就好。把鼠标放到密码上即可显示密码。安装路径为全英文路径。这样就可以开始练习了。
2024-12-23 11:09:33
728
1
原创 常见的编码方式及特征
Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。Base64,就是包括小写字母a-z、大写字母A-Z、数字0-9、符号"+“、”/"一共64个字符的字符集。
2024-12-16 09:44:42
1906
原创 【工具推荐】网络安全新手必备One-Fox集成工具箱推荐
One-Fox集成工具箱是由One-Fox安全团队开发的一款工具,里面集成了多种网络安全测试工具。
2024-12-14 15:16:39
2294
2
原创 BurpSuite使用(三):暴力破解及验证码绕过
1、安装好python环境,python版本选择3.9以下的;2、不要使用最新的BurpSuite,会报错;
2024-12-09 08:50:53
998
原创 BurpSuite使用(二):小白的我也会网页和APP抓包了!
Proxy(代理)是BurpSuite核心功能组件之一。它位于客户端和服务器之间,就像一个中间人,拦截并转发 HTTP/HTTPS 请求和响应,使得安全测试人员能够对这些通信进行检查、修改和重放等操作。
2024-12-07 21:16:21
895
原创 BurpSuite模块使用(一):Decoder、Compare和Logger使用方法
本文将逐一介绍BurpSuite的Decoder、Compare和Logger使用方法。
2024-12-06 08:39:54
739
原创 聊一聊网络安全行业的那些岗位
在网络安全行业工作需要持续不断地学习和知识更新,一方面是由于安全理论和技术不断迭代更新,另一方面也是因为行业竞争日趋激烈,对人员素质提出来更高的要求。很多人提到网络安全职业脑海浮现就是黑客,渗透测试这些词语,渗透服务工程师确实是网络安全行业重要的岗位,但网络安全行业不只是有这些岗位。
2024-11-30 19:29:40
1174
原创 BurpSuite配置及功能界面介绍
Burp Suite 是一款用于 Web 应用程序安全测试的集成平台,深受安全研究人员和渗透测试人员的喜爱。
2024-11-29 08:49:47
1682
原创 shell编程(完):脚本调用及输入输出重定向
输出重定向是指改变命令输出的目的地。默认情况下,命令的输出会显示在标准输出(终端屏幕),但通过输出重定向,可以将输出发送到文件或其他设备。
2024-11-27 14:47:39
1533
原创 shell编程(五):条件判断和循环结构
声明:学习视频来自B站up主有兴趣的师傅可以关注一下,如涉及侵权马上删除文章。笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!
2024-11-26 08:56:36
476
原创 shell编程(四):算术、逻辑和字符串运算
声明:学习视频来自B站up主有兴趣的师傅可以关注一下,如涉及侵权马上删除文章。笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!
2024-11-25 08:45:08
448
原创 shell编程(三):参数传递与用户交互
从以上实验可以得出,参数传递一般为nn表示数字,可递增),n(n表示数字,可递增),nn表示数字,可递增),*是将参数当做统一的字符串显示出来,而是将每个字符串当做独立的字符串显示,这也是@是将每个字符串当做独立的字符串显示,这也是是将每个字符串当做独立的字符串显示,这也是*和的区别。@的区别。的区别。#代表参数的个数,?是查看命令执行状态的,如果显示为0,则命令就是正常执行的,其他数字就是出错。?是查看命令执行状态的,如果显示为0,则命令就是正常执行的,其他数字就是出错。?
2024-11-24 19:40:09
1194
原创 shell编程(二):永久环境变量和字符串显位
PATH是一个环境变量。它定义了操作系统在执行命令时搜索可执行文件的路径列表。当在终端中输入一个命令,系统会根据PATH变量中列出的目录顺序,依次查找对应的可执行文件,直到找到为止。
2024-11-24 10:52:59
620
原创 shell编程(一):脚本编写竟如此简单
Shell 脚本是一种为 Shell(命令行解释器)编写的脚本程序。它是一系列命令的集合,这些命令可以是系统命令、实用工具命令或者是其他已经安装的程序的调用命令,通过将这些命令按顺序组合在一个文本文件中,让 Shell 能够自动地依次执行它们,从而实现自动化的任务处理。
2024-11-23 13:07:06
973
原创 信息收集:原来黑客都是这样使用搜索引擎
声明:学习视频来自B站up主有兴趣的师傅可以关注一下,如涉及侵权马上删除文章。笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!
2024-11-22 08:49:11
1266
原创 还在为看不懂HTML代码而烦恼?
HTML(HyperText Markup Language)即超文本标记语言,它是一种用于创建网页的标准标记语言。所谓 “标记语言”,是指通过一系列的标签(tag)来描述文档的结构和内容。超文本(HyperText)这一概念意味着文档中可以包含链接,这些链接能够指向其他文档或者同一文档的不同部分,从而形成一个相互关联的网络。例如,一个简单的 HTML 文档可以包含文本、图像、链接等元素,浏览器能够读取这些 HTML 代码,并将其渲染成可视化的网页呈现在用户面前。
2024-11-21 08:59:30
1613
原创 黑客必须掌握的HTTP知识
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。超文本传输协议是一种用于分布式、协作式和超媒体信息系统的应用层协议,是万维网WWW(World Wide Web)的数据通信的基础。
2024-11-20 14:41:17
1249
原创 【请收藏】一文带你走进云安全
云安全是指一系列用于保护云计算环境中数据、应用程序、基础设施和用户免受各种安全威胁的策略、技术和措施。它涵盖了云计算服务提供商和使用云服务的用户共同的安全责任,涉及数据在云端存储、处理和传输过程中的完整性、保密性和可用性。
2024-11-19 15:28:03
1238
原创 网络安全之如何编写Linux无限弹窗程序
看一百遍不如实际操作一遍,看完本是否跃跃欲试了呢。温馨提示,请在虚拟环境进行实验,以免造成不必要的损失。
2024-11-18 21:11:49
587
原创 (干货)Linux基础命令
软连接文件包含目标文件的路径,当访问软连接时,系统会自动跳转到目标文件。所有硬连接都指向同一个inode,即同一份数据。"g+rw"表示文件所属组(group)增加读(r)、写(w)权限,“+"表示增加权限,”-“表示减少权限。“-exec rm -rf {} ”表示对找到的每个结果执行“rm -rf"命令,即删除找到的文件和目录。删除目标文件或硬链接文件不会影响其他硬链接,只有当所有硬连接被删除后,文件数据才会真正被删除。"u=rw"表示文件所有者(user)具有读(r)、写(w)、执行(x)权限。
2024-11-17 13:09:28
1197
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人