网络安全_入门教程-CSDN博客

原创从0到1，SQL注入（sql十大注入类型）收藏这一篇就够了，技术解析与实战演练

SQL 注入是比较常见的网络攻击方式之一，它不是利用操作系统的 BUG 来实现攻击，而是针对程序员编写时的疏忽，通过 SQL 语句，实现无账号登录，甚至篡改数据库。由于以下的环境都是 MySQL 数据库，所以先了解点 MySQL 有关的知识。在 MySQL5.0 之后，MySQL 中默认添加了一个名为的数据库，该数据库中的表都是只读的，不能进行更新、删除和插入等操作，也不能加载触发器，因为它们实际只是一个视图，不是基本表，没有关联的文件。mysql中注释符：# 、/**/ 、 --

2025-07-04 09:26:28 428

原创一文带你进入黑客的世界：Kali Linux 中的Metasploit渗透测试利器

本文仅用于信息安全学习，请遵守相关法律法规，严禁用于非法途径。若观众因此作出任何危害网络安全的行为，后果自负，与本人无关。

2025-07-04 09:20:43 345

原创弱口令扫描工具有哪些？检测的主要方法及常用弱口令密码

弱口令工具主要用于密码破解、安全评估和网络防御测试。这些工具通过尝试一系列常用的弱口令来检测系统或账户的安全性。

2025-07-04 09:17:07 801

原创《CTF 特训营》：网络安全竞赛的进阶指南

在网络安全领域日益受到重视的今天，CTF（Capture The Flag）竞赛作为一种检验和提升网络安全技能的方式，受到了越来越多爱好者的关注。而《CTF 特训营》这本书，无疑是一本帮助读者深入了解 CTF 竞赛的优秀读物。

2025-07-03 10:04:31 555

原创 CF-Hero：自动绕过CDN找真实ip地址

CF-Hero 是一个全面的侦察工具，用于发现受 Cloudflare 保护的 Web 应用程序的真实 IP 地址。目前仅支持Cloudflare的cdn服务查找真实ip，但从原理上来说查找方法都是通用的，所以非Cloudflare cdn服务也可以尝试使用此工具查找ip。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。大家最喜欢也是最关心的。

2025-07-03 10:00:48 392

原创现在学习网络安全有前景吗？入行八年，本科网工，阴差阳错入行安全，简单聊聊

入行八年，本科网工，阴差阳错入行安全，简单聊聊。网安前景肯定是有的，这个毋庸置疑。不过，这个行业本身属于IT领域中的一个细分领域。还处于大力发展阶段。从长远来看肯定是没有太大问题的。不过，入行的话，还是要对这个行业真正的感兴趣的比较好，这个行业的最底层，也确实有不少人在了。在这里怕是要给准备入坑的同学泼盆冷水了。网安这东西真不建议一般人学。

2025-07-03 09:58:51 487

原创逆向工具——IDA Pro的使用，从零基础到精通，收藏这篇就够了！

交互式反汇编器专业版 (Interactive Disassembler Professional)，江湖人称IDA Pro。这货是个递归下降反汇编器，在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码，简直是安全分析师的秘密武器！IDA 是 Hex-Rays 公司的王牌产品，这家公司在比利时，能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口，所有函数都在这儿列着。拿到一个题目，一般从main函数开始，但main。

2025-07-02 11:08:30 906

原创 JNDI 注入：从零基础到精通，收藏这篇就够了！

在 Oracle JDK 11.0.1、8u191、7u201、6u211 之后，属性的默认值也被调整为 false，还被分配了一个漏洞编号 CVE-2018-3149。根据的值是否为 true 来进行判断，它的值默认为 false。jdk8u191 之后的版本通过添加trustURLCodebase 的值是否为 true这一判断语句，让我们无法加载 codebase。

2025-07-02 11:07:27 922

原创信息收集之子域名收集技巧总结

子域名是指顶级域名（一级域名）的下一级域名，如和www.qq.com都是qq.com的子域。从旁站查找漏洞往往比主站容易，因此子域名信息的收集显得尤为重要。

2025-07-02 11:03:34 840

原创测试人必看！Fiddler抓包在工作中的7种妙用_fiddler抓取数据后怎么使用，从零基础到精通，收藏这篇就够了！

1、常用设置2、快捷功能3、会话框4、请求内容（Request）5、响应内容（Response）6、命令行工具：如：输入cls清空会话框7、快捷按钮：第一格是抓包开关，第二格是过滤器，第三格是断点控制器。

2025-07-01 09:15:50 650

原创国家护网行动如何防止不被打穿？战前篇

一个资产一个资产的和业务相关方确认，关闭非必要的端口，或者在防火墙上加白名单进行访问控制，或者将资产进行分类，哪些可以互联网访问，哪些属于合作商访问，哪些属于内部访问，然后通过vlan进行逻辑隔离，比如合作商/供应商需访问的放置DMZ区域并添加合作商与供应商的IP作为白名单，拒绝其他一切外部IP。我认为，在演练正式打响之前，至少需要有一个月的准备时间，这个时间内需要做的事情很多，从制定作战计划到开展各项安全自查，信息化越复杂，需要耗费的精力就越大。每当发现一个漏洞，都要进行记录，做好台账。

2025-07-01 09:14:04 768

原创 hvv，红蓝队，攻防比赛演练，告警，研判

一种是在伪装的网站上插入特定的js文件，该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。之类的数据），接口在JavaScript代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。

2025-07-01 09:12:12 795

原创一文读懂密码基础，从零基础到精通，收藏这篇就够了！

佛系随性笔记，记录最好的自己！个人水平比较有限，每篇都尽量以白话+图文的方式去说明原理。01什么是密码？密码就是一种用于保护信息安全、确保信息机密性和完整性的加密方式。从广义上讲，密码可以是字符、数字、符号或它们的组合，通过特定的规则或算法进行变换，只有掌握密钥的人能够理解其真实含义。举两个栗子：这里的藏头诗"芦俊义杀人"是一个暗号，暗示了行动计划的关键人物和行动内容。2、阿塔兰塔密码：是一种古老的希伯来字母替换密码，其中明文的每个字母被其在字母表中的反向字母替换。

2025-06-30 09:37:12 351

原创网络工程师成长之路：从零基础到技术大牛的进阶指南！_网络工程师学习路线

在信息时代，网络工程师扮演着不可或缺的角色。从构建稳定的企业网络到支持全球互联网基础设施，网络工程师的成长路径充满挑战与机遇。如果你正在探索这条路，或者想了解如何从一名初学者成长为资深网络专家，那么这篇文章将为你提供详尽的指引！🎯。

2025-06-30 09:35:15 767

原创【2025版】最新内网渗透之远程控制软件利用总结！从零基础到精通，收藏这篇就够了！

在内网渗透过程中，会碰到远程控制soft或者其他，这里针对远程控制软件做如下总结。

2025-06-30 09:33:29 338

原创通过Kali模拟CC攻击进行WEB压力测试实操，网络安全零基础入门到精通教程建议收藏！

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，前身名为Fatboy攻击，也是一种常见的网站攻击方法。攻击者经过代理服务器或者肉鸡向向受害主机不停地发大量数据包，形成对方服务器资源耗尽，一直到宕机崩溃。相比其它的DDOS攻击CC彷佛更有技术含量一些。这种攻击你见不到真实源IP，见不到特别大的异常流量，但形成服务器没法进行正常链接。最让站长们忧虑的是这种攻击技术含量低，利用更换IP代理工具和一些IP代理一个初、中级的电脑水平的用户就可以实施攻击。

2025-06-28 09:44:31 293

原创 SSRF服务端请求伪造详解（附带ctfhub靶场实战-保姆级）网络安全零基础入门到精通实战教程！

是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况况下SSRF攻击的目标是从外网无法访问到的内部系统（正因为它是由服务端发起的，所以它能够请求到与自身相连而与外网隔离的内部系统）。Gopher协议是比HTTP协议更早出现的协议，现在已经不常使用了，但是在SSRF漏洞中可以利用gopher协议发送各种格式的请求包，这样便可以解决漏洞点不在GET参数的问题。它显示对攻击者的响应，因此在服务器获取攻击者要求请求的URL后，他将会把响应发送回攻击者。会返回这个网址的界面或对应的HTML代码。

2025-06-28 09:39:27 935

原创 0 基础小白如何快速入门网络安全？这份指南帮你少走弯路

给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包，需要点击下方链接即可前往获取读者福利 |CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

2025-06-28 09:36:49 311

原创 2025国家护网HVV高频面试题总结来了（题目+回答）

攻击者通过在输⼊的SQL查询中注⼊恶意代码，来执⾏他们想要的操作，⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证和清理的情况下，例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊，开发者应该使⽤参数化查询和预编译的查询，对⽤户的输⼊进⾏严格的验证和清理。tomcat⽇志默认路径：在安装⽬录下的logs⽂件夹下nginx的⽇志主要分为access.log、error.log两种，可通过查看nginx.conf⽂件来查找相关⽇志路径。

2025-06-27 09:53:00 582

原创一文教会你HVV红队开发基础-基础免杀！网络安全零基础入门到精通实战教程！

本文总结了5种常见的免杀技术，主要是静态的免杀。其中c#搭配静态字符串加密，异或加密，沙箱绕过，EtwpCreateEtwThread上线的技术，vt检测结果为13/68因为还是基于开源的恶意工具改的，其中依旧有一些其他的静态特征影响，单独出来实现效果应该会更好一些。c++的程序使用disableETW，shellcode加密，隐藏导入表的免杀方式，vt检测结果为4/68，比想象的好很多。c++的程序更换shellcode的加密方式过definder应该没有问题。静态的免杀还是比较容易的。

2025-06-27 09:51:17 927

原创 Web安全攻防入门教程——hvv行动详解

的开发、部署和运行过程中，保护Web应用免受攻击和恶意行为的技术与策略。这个领域不仅涉及防御措施的实现，还包括通过渗透测试、漏洞挖掘和模拟攻击来识别潜在的安全问题。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。，我也为大家准备了视频教程，其中一共有。大家最喜欢也是最关心的。

2025-06-27 09:48:28 680

原创每年 HVV 比赛中，「弱密码」贡献了多少扣分

03**破局密码困局的一个路径，消灭密码*人们倾向于选择阻力最小的道路来完成任务，当安全措施增加了工作的难度时，他们会寻找绕过这些障碍的方法，从而导致潜在的安全风险。传统基于账号和密码的身份验证方式存在固有的弱点。即使用户选择了强密码，并定期更换，也无法完全避免被钓鱼网站或恶意软件捕获的风险。当涉及到复杂的密码管理和多平台的账户时，用户体验也会变得非常糟糕，导致很多用户选择更容易记住但也更不安全的简单密码，或是重复使用相同的密码。

2025-06-26 09:19:27 942

原创网络防火墙、WAF、IDS、IPS的定义、功能与区别

➡️ **2025 相关性：**仍然很流行，现在可以使用 Arjun 和 Dalfox 等工具编写成模糊测试链。➡️**用例：**红队或后漏洞利用场景中的内部枚举。➡️ **2025 相关性：**仍然很快，现在对动态 JS 和基于令牌的重定向有了更好的支持。请记住：重要的不是拥有_所有的_工具，而是知道_何时_以及_如何_使用正确的工具。请记住：重要的不是拥有_所有的_工具，而是知道_何时_以及_如何_使用正确的工具。➡️ **2025 相关性：**红队博客中关于分段网络中横向移动和可见性的趋势。

2025-06-26 09:17:59 337

原创 CTF入门到精通，收藏这篇就够了

CTF，即 Capture The Flag，中文名为夺旗赛，是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中，参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”，这些挑战通常涵盖了多个领域的知识和技能，例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说，在密码学相关的挑战中，可能需要参赛者破解加密的信息或算法来获取关键线索；Web 安全挑战可能要求找出网站存在的漏洞并加以利用；逆向工程则可能涉及对未知软件或程序的分析和理解。

2025-06-26 09:16:21 282

原创为了成为黑客，我的大学四年自学计算机之路是怎么过来的？

毕业参加工作这几年，在不同的公司遇到过不同的团队，也认识了许多不同的人。身边的同事经常问我：“你成都的啊，川大还是电子科大？每当这个时候，我就很尴尬了，心里问对方一句：成都难道就这两所大学吗？笔者高考遭遇滑铁卢，只去了一个普通学校，学的也不是计算机专业，而是一个偏硬件的：通信工程。在之前的自我介绍里说过，来自农村的我从小就被身边的人灌输各种妖魔化电脑、网络的思想。所以直到高三，我也没玩过几次电脑，没上过几次网。也因为这个原因，高考选择专业时，对计算机专业有了抵触，最后稀里糊涂的选了个通信工程。

2025-06-25 09:42:38 211

原创【2025最新版】黑客入门教程｜三分钟手把手教会，非常简单

以我的理解，“黑客”大体上应该分为“正”、“邪”两类，正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善，而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情，因为邪派黑客所从事的事情违背了《黑客守则》，所以他们真正的名字叫“骇客”（Cracker）而非“黑客”（Hacker），也就是我们平时经常听说的“黑客”（Cacker）和“红客”（Hacker）。无论那类黑客，他们最初的学习内容都将是本部分所涉及的内容，而且掌握的基本技能也都是一样的。即便日后他们各自走上了

2025-06-25 09:16:51 921

原创电脑黑客技术新手入门，自学黑客技术入门教程

最近经常有小伙伴联系我说要学黑客技术，当然目的各种各样，有的就是觉得黑客很酷，单纯想要学技术，还有的就是想找人帮忙攻击赌博网站或者监听别人的电话（以女朋友的电话居多），对于想要单纯学技术的朋友我很欢迎他们问我问题，但对于那些想做违法事情的人我一般都是拒绝帮忙的，毕竟网络安全法已经颁布很久了，没人会为几百块钱把自己搭进去。

2025-06-25 09:15:26 943

原创多少岁转行网络安全不算晚？零基础想跳槽（转行）网络安全，看这篇就够了

奉劝所有零基础想入门（转行）网络安全的朋友，麻烦转行前，一定要对网络安全行业做一个大概了解，不要一点都不懂就盲目转行。网络安全是什么？网络安全就是保障网络环境里的信息、数据安全，今年西北工业大学遭受网络攻击，武汉地震监测中心遭受网络攻击，便是典型的网络安全事件，一个国家、一个企业如果没有网络安全，就如同在互联网中“裸奔”，隐私暴露无遗。可以理解为，网络安全从业人员，是一群保卫国家数据安全、企业数据安全的卫士。网络安全如今前景如何？

2025-06-24 09:40:57 797

原创 Windows和Linux系统查看端口和文件占用

在Windows环境中要知道当前端口被哪个进程所占用，或者是查看当前系统网络的会话连接，操作如下：（1）、查看端口被那个进程ID（PID）所占用查看指定端口，使用命令：netstat -ano | findstr “445”上边这个445端口当前正在监听0.0.0.0地址，可以看到占用进程PID为4findstr更多用法可以通过findstr /?查看（2）、通过PID查看进程上边已知进程PID为4，使用命令：tasklist | findstr "4"查找进程。

2025-06-24 09:37:56 755

原创想成为顶尖黑客吗？先学会这五大“绝学”吧！

是一种面向对象、直译式电脑编程语言，具有近二十年的发展历史，成熟且稳定。它包含了一组完善而且容易理解的标准库，能够轻松完成很多常见的任务。它的语法简捷和清晰，尽量使用无异义的英语单词，与其它大多数程序设计语言使用大括号不一样，它使用缩进来定义语句块。与Scheme、Ruby、Perl、Tcl等动态语言一样，Python具备垃圾回收功能，能够自动管理内存使用。它经常被当作脚本语言用于处理系统管理任务和网络程序编写，然而它也非常适合完成各种高级任务。Python虚拟机本身几乎可以在所有的作业系统中运行。

2025-06-24 09:34:54 694

原创一文了解Linux操作系统

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。因为创始人在上大学期间经常需要浏览新闻和处理邮件，发现现有的操作系统不好用, 于是他决心自己写一个保护模式下的操作系统，这就是Linux的原型，当时他21岁，后来经过全世界网友的支持, 现在能够兼容多种硬件，成为最为流行的服务器操作系统之一。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。

2025-06-23 09:48:32 678

原创文件上传漏洞学习（非常详细），零基础入门到精通，看这一篇就够了

定义：以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的，可以实现文件上传下载、修改文件、操作数据库、执行任意命令等操作。这个后门文件就是所谓的 Webshell。

2025-06-23 09:47:29 953

原创网页防篡改系统的原理_动态网网站_网页防篡改概述

网页防篡改系统的原理_动态网网站_网页防篡改概述\网页防篡改主要通过在应用运行时注入探针，监控数据和环境，识别并阻止非授权的修改行为。对于网站运营者来说，了解和实施有效的网页防篡改措施是保障网站安全、维护用户信任的重要环节，下面将详细探讨动态网站网页防篡改的多个方面，包括技术手段、策略以及常见问题的解答。1、网页篡改的基本概念定义：网页篡改指的是攻击者未经授权地修改网站内容，包括替换网页文件、修改网页代码等。

2025-06-23 09:45:44 802

原创 2025年大学生就业怎么样？双一流高校就业率仅15%，到底是咋了？

现在正好是就业季，大家可以做两件很简单的事儿。第一，上BOSS直聘，或者是你知道的那些招网安的大公司，用网络安全作为关键词去搜一搜具体的岗位。把岗位描述里面的技能要求都截出来，自己看看高频关键词。第二，等到你们学校的就业双选会，到摊位上面去问一问HR，我想投递你们公司，我熟悉XX/我的研究方向是XX。我能投什么岗位?两者加起来，基本上就是市场上的网络安全。你可以再和你们学校的老师们的研究方向对比一下，看看是否一致这中间，往往有很大的差距网络安全包含了太多领域，我们究竟该掌握什么是一个很麻烦的问题。

2025-06-23 09:44:16 1005

原创普通人如何转行程序员？这个10个高赞回答，越早知道越好

（web）工作内容是负责把设计做的界面，用技术的手段还原出来。我做的就是前端，这个岗位对计算机专业基础要求不高，只要你有耐心，肯坚持，半年能学会。(以java为主)不涉及到前端页面部分，主要两者岗位薪资差距不大。你要确定学什么技术，做什么岗位？web前端，还是后台开发，还是算法、大数据？事实上，创业公司一般比较喜欢招全栈，这和创业公司的需求有关系，因为创业初期的公司可能需要一个人做几个人的活。。有人说找教程看，找个BAT大厂师傅带之类的… 真正起到学习效果微乎其微。

2025-06-21 09:47:58 550

原创黑客入门教程｜三分钟手把手教会，非常简单

以我的理解，“黑客”大体上应该分为“正”、“邪”两类，正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善，而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情，因为邪派黑客所从事的事情违背了《黑客守则》，所以他们真正的名字叫“骇客”（Cracker）而非“黑客”（Hacker），也就是我们平时经常听说的“黑客”（Cacker）和“红客”（Hacker）。无论那类黑客，他们最初的学习内容都将是本部分所涉及的内容，而且掌握的基本技能也都是一样的。即便日后他们各自走上了

2025-06-21 09:41:33 749

空空如也

空空如也