芮城网站开发,网页制作与网站建设实战大全光盘,浙江建设职业继续教育学院网站,网页qq游戏怎么登陆注#xff1a;本文章源于泷羽SEC#xff0c;如有侵权请联系我#xff0c;违规必删
安全见闻1
泷哥语录#xff1a;安全领域什么都有#xff0c;不要被表象所迷惑#xff0c;无论技术也好还是其他方面也好#xff0c;就是说学习之前#xff0c;你得理解你要学的是什么…注本文章源于泷羽SEC如有侵权请联系我违规必删
安全见闻1
泷哥语录安全领域什么都有不要被表象所迷惑无论技术也好还是其他方面也好就是说学习之前你得理解你要学的是什么
希望大家明白自己的渺小知识的广博时时刻刻保持平等的心。
以后遇到问题要能够举一反三
编程语言安全学习重要排序
PythonJavaScriptPHPGoCC
※所有语言不可能都精通但是都要能看懂都要知道所有编程语言方向
攻击面
网址→程序→二进制
前端 JavaScript、css、PHP、html
后端 Java、C、C
漏洞叫什么名字
根本不重要不要被表象所迷只需要懂原理需了解事物的本质
常见系统
windows mac ios linux 是非实时操作系统
vxworks, RT-Thread,wince 是实时系统
网络通讯
网络安全是以网络为基础后期的方向一定是在所有的网络通讯设备上有网络的地方就存在渗透)
计算机硬件
中央处理器cpu)内存存储正在运行的程序和数据硬盘长期存储数据如操作系统 应用程序 文件显卡:处理图形和图像数据主板计算机的核心电路板连接各种硬件如cpu 内存 硬盘 显卡
网络硬件
网络服务器提供网络服务如电子邮件、文件存储、云服务器网络存储设备存储网络中的数据如网络附加存储NAS)和存储区域网络SAN网络打印机通过网络连接被多台计算机共享方便用户打印。网络摄像头用于视频监控和远程会议
移动设备硬件
智能手机平板电脑可穿戴设备如智能手表、智能手环
硬件发展趋势
小型化高性能化智能化互联互通
网络类型
局域网LAN)城域网MAN)广域网WAN)
网络协议
TCP/IP协议互联网基础协议HTTP协议超文本传输协议FTP协议 文件传输SMTP POP3 IMAP协议 电子邮件的发送与接收
其中FTP SMTP POP3 IMAP 为渗透常用端口协议
网络设备
路由器连接不同网络实现网络数据转发。根据IP地址和路由表确定数据的传输路径交换机区域网中连接多台计算机设备实现数据的交换。根据MAC地址转发数据帧网卡安装在计算机上用于连接网络。将计算机的数据转换为网络信号进行传输并接收网络信号转换为计算机可识别的数据无线接入点AP提供无线网络连接使无线设备能够接入区域网或广域网
网络安全
防火墙分硬件防火墙和软件防火墙加密技术SSL\TLS协议用于Web浏览器和Web服务器之间进行加密通信身份认证确保只有授权的用户可以访问网络资源
人工智能
机器学习python 安全见闻2
渗透学习语言 python php java (三选二)
不要被网络安全的专有名字所迷惑一定要了解本质
语言
html(点击劫持)
css(也有注入) 一定要觉得自己是渺小的不要觉得什么都会了其实很多东西自己都不懂你得保持着你觉得什么都不会才有更多的东西去学
JavaScript(xss dom型 反射型 存储型 点击劫持 请求走私) 很多知识杂糅在一起了得理解你说信息泄露那数据库信息泄露在前端上了怎么算呢 你得理解
※假设你根本不懂这三门语言 那么xss 点击劫持 web缓存漏洞你也不可能会请求走私跨域这些问题你也不可能会。-------web渗透这些都得学习
代码库
JQueryB00tstrapelementui
代码库是干什么的我们不可能用原生的语言去写太费精力了可以封装成一些库让他很方便的其调用
框架
vuereactangular
框架怎么写最本质的三种语言html css javascript .通过框架解析分析xss,框架太多知道就行
※漏洞解析
前端
信息泄露 xss csrf 点击劫持 访问控制 web缓存漏洞 跨域漏洞请求走私
后端
信息泄露xss,csrf ,ssrf ,反序列化漏洞sql注入漏洞命令注入漏洞服务端模板注入漏洞跨域漏洞访问控制
数据库
数据库存在什么漏洞呢
存在sql注入xss,命令注入等
数据库分类
关系数据库mysql, access, postgresql非关系数据库 mongodb, counchdb ,neo4j, redis
数据库语言必须学一种知道什么是数据库
就好比你想当警察你不知道枪是什么一样所以说想学漏洞之前对以上的要有所了解起码得会一点
服务器程序
潜在漏洞星系泄露 文件上传漏洞文件解析漏洞目录遍历 访问控制
服务器程序
apachenginxiistenginetomcatweblogic
web程序前端语言就只有三种但是它的库非常的多框架也多
后端语言就更多了很多人要进红队比如java 代码审计首先你得会java呀这是避不开的
再比如反序列化漏洞 Java php python 反序列化漏洞你得想好搞哪一个你还得会编程语言
懂攻击知防守。
万丈高楼平地起学的不需要很精通 但是得知道。
师傅领进门修行在个人
安全见闻3
脚本
脚本语言php, go ,python ,java script
脚本程序golang, python ,node.js
python,js 编写木马比如beefxss, 学习语言只是第一步还得会怎么去用比如学中文从认字→看懂文章→写作文→写小说。你会js你也不一定会写js病毒因为你可能对病毒的写法不了解。
还是那句话写任何病毒脚本之前先有编程基础基础语法库的调用再去了解病毒的编写并且尝试编写病毒
病毒
macro(宏病毒)
利用metaploit生成宏病毒常见的是微软word ppt 等 wps不可以。学习必须了解宏代码的构成无论什么软件病毒都是代码构成的
宏代码是由哪个编程语言写的呢VB/C#类似语言去写的
CAD LISP(脚本病毒)
争对cad绘图软件写的病毒
AUtolt3(脚本病毒)
bios程序(bios病毒)
※一定没有好的病毒只要能够把病毒植入并执行不被杀死才是王道往往安全越冷门病毒越好用
※内网渗透必学命令
bat
powershell
了解用法和使用命令
域渗透与内网渗透的关系
内网渗透并不是单指内网渗透中的与渗透这么讲太狭隘了
总的来说内网渗透和公网渗透没啥区别就是多了一个域渗透的一个东西域渗透是需要知道的但是域渗透代表不了内网
tolt3(脚本病毒)
bios程序(bios病毒)
※一定没有好的病毒只要能够把病毒植入并执行不被杀死才是王道往往安全越冷门病毒越好用
※内网渗透必学命令
bat
powershell
了解用法和使用命令
域渗透与内网渗透的关系
内网渗透并不是单指内网渗透中的与渗透这么讲太狭隘了
总的来说内网渗透和公网渗透没啥区别就是多了一个域渗透的一个东西域渗透是需要知道的但是域渗透代表不了内网
安全见闻4
计算机学习的底层永远都是代码一定要明白本质不要坐井观天不要坐井底之蛙
操作系统
windows操作系统和linux系统→内网渗透or 逆向分析or 病毒编写or 免杀or红队
注册表以下必须自己手动操作并且了解防火墙自启动计划任务事件日志内核驱动系统服务进程线程系统编码
注册表 只有在windows系统中 linux中没有
web渗透对windows操作系统要求不大
驱动
内核驱动设备驱动
安全见闻5
安全是指先有相对应的程序。如果没有web开发哪里来web安全呢他们是相辅相成的懂进攻知防守。先正向后逆向
人工智能
医疗领域金融领域交通领域客户服务图像识别和语音识别
对称信息博弈围棋、象棋、五子棋等
非对称信息博弈斗地主、麻将等不知道对方数量
人工智能涉及安全问题
数据安全对坑攻击AI钓鱼AI免杀
安全见闻6
为什么学通讯协议搞安全的要特别注意通信协议这块
潜在安全问题所涉及的领域
无线电安全协议分析web渗透逆向分析
通信协议涉及的安全问题主要包括以下几个方面
1.保密性问题 数据泄露风险 密钥管理不善
2.完整性问题 数据篡改风险 重放攻击
3.身份验证问题 假冒身份攻击 身份验证漏洞 cookie
4.可用性问题 拒绝服务攻击 (DDOS) 协议漏洞导致可用性问题
5.协议实现问题 编码错误 第三方库和组件的安全问题
6.协议设计缺陷
缺乏安全考虑设计协议升级带来的风险
7.移动通信协议安全问题
无线网络的特殊性移动应用的安全风险
8.物联网通信协议安全问题
大量设备的管理难题异构型带来安全问题 ※设备版本不更新
9.工业控制系统通信协议安全问题
实时要求与安全的冲突传统IT系统的融合带来的风险
