web安全入门笔记第2页

成为一名月薪2万的web安全工程师需要哪些技能？

现在web安全工程师比较火，岗位比较稀缺，现在除了一些大公司对学历要求严格，其余公司看中的大部分是能力。

闪现码狗·2024-02-19 19:58

Web安全-JWT认证机制安全性浅析

文章目录认证机制数据结构头部有效载荷签名数据转换安全缺陷密钥爆破认证机制JWT全称是JSONWebToken，是目前非常流行的跨域认证解决方案，在单点登录场景中经常使用到。JSONWebToken直接根据token取出保存的用户信息，以及对token可用性校验，大大简化单点登录。起源说起JWT，我们应该来谈一谈基于token的认证和传统的session认证的区别。传统的Session认证我们知道，

Tr0e·2024-02-19 16:54

Web安全攻防_渗透测试实战指南

目录第1章渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学第1章渗透测试之信息收集**1.1收集域名信息**①得知目标域名②获取域名注册信息（域名DNS服务器信息和注册人联系信息）1.1.1Whois查询标准互联网协议，收集网络注册信息

立志成为网安大牛·2024-02-19 15:40

【web安全】渗透测试实战思路

步骤一：选目标1.不建议太小的公司（可能都是请别人来开发的，用现成成熟的框架）2.不建议一线大厂：腾讯，字节，阿里等，你懂的3.不建议政府部门，安全设备多，每年有护网，报警你就死建议：找上市公司与子公司，有开发人员，就有漏洞重点：先在天眼查那些找域名所有上市公司链接：上市公司大全子公司：在官网上找步骤二：优先找登录入口1.用户名枚举2.寻找关键信息，看看官网有没有一些文章发布人的姓名，然后使用工具

星盾网安·2024-02-19 15:27

小白学安全--web安全入门（非常详细）零基础入门到精通，收藏这一篇就够了

作为一个从知道创与到自建安全团队的资深白帽子，一路也是从不止所谓的web小白历经磨难成长起来的我，给现在正在准备学习web安全的同学一些建议。

网络安全大白·2024-02-19 12:43

什么是SQL注入，有什么防范措施

通过了解这方面的网络安全知识，可以提高日常的web安全性。什么是SQL注入：SQL注入（SQLInjection）是一种常见的

·2024-02-19 10:08

Web安全研究（六）

文章目录HideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTs文章结构IntrojsobfuscationmethodologyExampleHideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTsCCS2019CISPA恶意软件领域，基于学习的系统已经非常流行，并且可以检测新

西杭·2024-02-15 10:04

ACM CCS 2020 · web安全研究学者

ACMCCS2020·web安全研究学者锁一下！最近打算整理下这些学者的论文，然后看一下他们的研究脉络。其他四大也应该锁一下。

丫丫二_97·2024-02-15 10:04

2022网络安全超详细路线图，零基础入门看这篇就够了

4.一辈子做信息安全吗这些不想清楚会对你以后的发展很不利，与其盲目的学习web安全，不如先做一个长远的计划。否则在我看来都是浪费时间。

技术宅不太宅·2024-02-14 17:04

（2022版）零基础入门网络安全/Web安全，收藏这一篇就够了

网络安全-无涯·2024-02-14 17:03

Web安全测试之XSS

XSS全称(CrossSiteScripting)跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。才能有效的防止XSS的发生。阅读目录XSS是如何发生的HTMLE

中科恒信·2024-02-14 14:35

典型Web安全防护策略

Web安全问题的凸显致使得安全防护人员实施大量的安全机制来抵御攻击，尽管各种安全机制设计细节和执行效率可能千差万别，但几乎所有Web应用采用的安全机制在策略上都具有相似性，都离不开核心的几个基本原则和主要措施

爱看时事的通信崔·2024-02-14 01:23

Web 应用安全发展的介绍

是安全的春天关于安全公司的甲方和乙方甲方：如腾讯、阿里等需要安全服务的公司乙方：提供安全服务、产品的服务型安全公司圈内熟知的安全公司：绿盟、知道创宇、安天、启明星辰、安恒、天融信Web与二进制Web，研究web

Wang's Blog·2024-02-13 06:05

Kafka 入门笔记

课程地址概述定义Kafka是一个分布式的基于发布/订阅模式的消息队列（MQ）发布/订阅：消息的发布者不会将消息直接发送给特定的订阅者，而是将发布的消息分为不同的类别，订阅者只接受感兴趣的消息消息队列消息队列应用场景：缓存/消峰、解耦、异步通信消峰：秒杀系统：10亿人发请求（数据量约为1T）全部存入消息队列，服务端只取前100条数据处理，避免了服务端压力过大解耦：异步通信：发布订阅模式：Kafka基

Daniel_187·2024-02-13 05:49

前端必备的 web 安全知识手记

文章内容包括以下几个典型的web安全知识点：XSS、CSRF、点击劫持、SQL注入和上传问题等（下文以小王代指攻击者），话不多说，我们直接开车（附带的例子浅显易懂哦）。

就是不吃苦瓜·2024-02-13 05:13

[web安全]深入理解反射式dll注入技术

一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性，通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大，很容易被edr等安

H_00c8·2024-02-13 03:09

风炫安全web安全学习第三十五节课文件下载和文件读取漏洞

风炫安全web安全学习第三十五节课文件下载和文件读取漏洞0x03任意文件下载漏洞一些网站由于业务需求，往往需要提供文件下载功能，但若对用户下载的文件不做限制，则恶意用户就能够下载任意敏感文件，这就是文件下载漏洞

风炫安全·2024-02-12 19:16

2021-12-10

新手小白学Java|零基础入门笔记｜原来学Java可以这么简单爱做程序的秋谨新手小白学Java|零基础入门笔记｜原来学Java可以这么简单刚开始学习java的时候，可能是一头雾水，不知道从何学起。

秋_bdbe·2024-02-12 07:10

jsp入门笔记

JSP动态页面技术脚本和注释jsp脚本jsp注释html注释:java注释://单行注释/*多行注释*/Jsp原理jsp第一次被访问的时候会被web容器翻译成servlet,在执行。Jsp翻译后会变成文件名_jsp.java此格式，保存在Tomcat根目录下的work文件夹内部其中Java代码会原封不动放置到翻译后的java文件中的service方法中,因此该java代码中不允许定义方法会翻译为o

61etj·2024-02-12 04:51

Content Security Policy (CSP) 中的 frame-ancestors 'self' 指令介绍

ContentSecurityPolicy(CSP)是一种Web安全标准，旨在减少和防止网站上的一些特定类型的攻击，例如跨站脚本攻击（XSS）。

·2024-02-11 17:43

Web安全

正确思维方式的重要性，因此我告知好友：安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。我是如此想的，也是如此做的。

Towain·2024-02-11 09:42

LabVIEW的编程-程序框图入门笔记

CSDN话题挑战赛第2期参赛话题：学习笔记学习之路，长路漫漫，写学习笔记的过程就是把知识讲给自己听的过程。这个过程中，我们去记录思考的过程，便于日后复习，梳理自己的思路。学习之乐，独乐乐，不如众乐乐，把知识讲给更多的人听，何乐而不为呢?在前面板的菜单栏上选择Window→ShowBlockDiagram或者利用快捷方式Ctrl+E就可打开程序框图窗口。LabVIEW程序框图如图3-7所示，每一个程

Mr Robot·2024-02-11 07:27

【python入门笔记】python中单引号、双引号、三引号的用法

首先所有的引号要成对出现，就像穿鞋要成双一、单引号和双引号1.单引号和双引号单独出现时，二者输出结果没有区别>>>str1="thegoodwife">>>str2='thegoodwife'>>>print(str1)thegoodwife>>>print(str2)thegoodwife2.当单引号和双引号同时出现时，最外层引号包含的内容则为字符串#输出字符串中的单引号>>>str3="hei

weixin_41042487·2024-02-10 23:02

白帽子讲web安全-跨站脚本攻击（2）

一XSS攻击进阶1XSS攻击平台攻击平台的主要目的就是为了演示xss的危害，以及方便测试使用，常见的有attackAPI，BeFF，XSS-Proxy2终极武器：XSSWorm（以往的蠕虫都是利用服务器端软件漏洞进行传播的）像有名的samyworm和百度空间蠕虫xssworm攻击是有一定条件的：一般来说，用户之间发生交互行为的页面，如果存在存储型XSS，则比较容易发起XSSworm攻击。3xss构

北邮小菜鸡·2024-02-10 12:18

红队系列-网络安全知识锦囊

网络安全免责声明法律科普学习资源网站靶场/CTF大佬博客笔记思维框图CTF/AWDAPT&&矩阵Web安全/渗透测试ToolsGolang工具FscanGolang工具ChYing信息收集注入攻击ToolsJNDIExploit

amingMM·2024-02-10 12:10

10、SpringSecurity自定义认证配置

A.声明配置类，定义用户名密码信息@Configuration@EnableWebSecurity//开启web安全设置生效publicclassSecurityConfigextendsWebSecurityConfigurerAdapter

敲代码的翠花·2024-02-10 09:59

运维技术分享：服务器管理需要注意的问题

一：安全的杂谈运维安全是企业安全保障的基石，不同于Web安全、移动安全或者业务安全，运维安全环节出现问题往往会比较严重。

云计算运维·2024-02-10 01:20

Spring MVC防御CSRF、XSS和SQL注入攻击

因为其实很多人做web开发，但涉及到web安全方面的都是比较资深的开发人员，很多人安全意识非常薄弱，CSRF是什么根本没有听说过。所以

Keith003·2024-02-09 10:07

深度学习入门笔记（九）自编码器

自编码器是一个无监督的应用，它使用反向传播来更新参数，它最终的目标是让输出等于输入。数学上的表达为，f(x)=x，f为自编码器，x为输入数据。自编码器会先将输入数据压缩到一个较低维度的特征，然后利用这个较低维度的特征重现输入的数据，重现后的数据就是自编码器的输出。所以，从本质上来说，自编码器就是一个压缩算法。自编码器由3个部分组成：编码器（Encoder）：用于数据压缩。压缩特征向量（Compre

zhanghui_cuc·2024-02-09 08:57

深度学习入门笔记（八）可以不断思考的模型：RNN与LSTM

8.1循环神经网络RNN之前学到的CNN和全连接，模型的输入数据之间是没有关联的，比如图像分类，每次输入的图片与图片之间就没有任何关系，上一张图片的内容不会影响到下一张图片的结果。但在自然语言处理领域，这就成了一个短板。RNN因此出现，它是一类用于处理序列数据的神经网络。其基本单元结构如下自底向上的三个蓝色的节点分别是输入层、隐藏层和输出层。U和V分别是连接两个层的权重矩阵。如果不考虑右边的棕色环

zhanghui_cuc·2024-02-09 08:56

Python入门笔记五（列表）

列表是Python以及其他语言中最常用到的数据结构之一，列表是可以存放任何数据，包括整型，浮点型，字符串，布尔型等等，Python中使用中括号[]来表示列表。一、列表的创建列表是由一组任意类型的值组合而成的序列，组成列表的值称为元素，每个元素之间用逗号隔开，具体示例如下：1.普通形式l=[1,2,3,4,5]---整型列表l=["a","b","c"]---字符串列表l=[True,False,1

Python百事通·2024-02-09 08:31

CTF--Web安全--SQL注入之Post-Union注入

一、手动POST注入实现绕过账号密码检测我们利用sqli-labs/Less-11靶场来进行演示：我们可以看到一个登录页面打开Less-11的根目录，我们打开页面的源代码(PHP实现)。用VS-code打开文件，找到验证登录信息的代码行。此形式的代码存在POST注入漏洞。我们可以注入一句万能密码。admin'or1=1#单看这句代码可能不是很直观，我们将这句万能密码写到源代码中进行观察。@$sql

给我杯冰美式·2024-02-09 05:23

CTF--Web安全--SQL注入之报错注入

一、报错注入的概念用户使用数据库查询语句，向数据库发送错误指令，数据库返回报错信息，报错信息中参杂着我们想要获取的隐私数据。通常在我们在页面显示中找不到回显位的时候，使用报错注入。二、报错注入常见的三种形式1、extractvalue报错注入2、updatexml报错注入3、floor报错注入除以上三种，还有大量的报错注入形式，以上三种最为常见，其中floor报错注入较复杂。三、extractva

给我杯冰美式·2024-02-09 05:53

CTF-Web安全--SQL注入之Union注入详解

一、测试靶场与使用工具浏览器：火狐浏览器--Firefox靶场：sqli-labs使用插件：HackBar操作环境：phpstudy二、判断字符型注入与数字型注入操作步骤：1、用F12打开控制台，打开HackBar,LoarURL，将当前靶场的URL信息复制到操作台上2、输入?id=1，观察到页面发生变化，显示的是id=1时数据库中的信息，？是用来分割URL和查询字符串的，查询到了id=1时的用户

给我杯冰美式·2024-02-09 05:52

CTF--Web安全--SQL注入之‘绕过方法’

一、什么是绕过注入众所周知，SQL注入是利用源码中的漏洞进行注入的，但是有攻击手段，就会有防御手段。很多题目和网站会在源码中设置反SQL注入的机制。SQL注入中常用的命令，符号，甚至空格，会在反SQL机制中被实体化，从而失效，这时就要用到绕过的方法继续进行SQL注入。二、过滤注释符绕过1、反注入形式：SQL注入语句中，常见的注释符有三种：分别写作?id=1'--+/?id=1'#/?id=1'%2

给我杯冰美式·2024-02-09 05:50

web安全学习

Day06--加密解密算法网站查询：cmd5.commd5：虽然说md5是不可逆，但是md5的解密实际上是枚举的算法（类似于在库中查找明文进行比对）时间戳：url编码：%+0-9或a-z组成的两位数。例如‘’的url编码是%20base64：0-9a-zA-Z组成，经常密文后面有一个或两个’=‘，区分大小写，长度随着明文的长度的增加而增加Unescape：%开始+u+四位的一个数字，与明文中两位相

lwwwa.·2024-02-08 22:43

kali系统搭建BlueLotus_XSSReceiver-master

1.访问GitHub-trysec/BlueLotus_XSSReceiver:XSS平台CTF工具Web安全工具下载BlueLotus_XSSReceiver-master2.我的kali系统已安装apache2

fengtianlei159·2024-02-08 07:41

lua入门笔记2 深入函数深入函数迭代器与泛型for 编译、协同程序(coroutine)执行与错误

这一篇章的内容深入函数迭代器与泛型for编译、执行与错误协同程序(coroutine)1.深入函数基础知识Lua中，函数是第一类值,和所有其他值一样都是匿名的，即他们都没有名称。当讨论一个函数名时（例如print）实际上是讨论持有某个函数的变量第一类值：表示Lua中函数与其他传统类型的值（数字、字符串）具有相同的权利。函数可以存储到变量中（无论是全局变量还是局部变量）或table中，可以作为实参传

Charon_ted·2024-02-08 05:00

Markdown入门笔记

hellomarkdown是一个重量级的标记语言我们一般用来写文档，这样来帮助我们更好的展示效果我是一级标题我是二级标题一级标题二级标题三级标题四级标题五级标题六级标题斜体文字斜体文字使用两个**星号两个下划线表示粗体粗体文字粗体文字使用三个***星号两个下划线表示粗斜体文字粗斜体文字粗斜体文字分割线：删除线用左右~~来表示删除线下划线无序列表可以使用-+*三种方法前端开发的技能htmlcssjs

星魂1·2024-02-07 21:10

R语言入门笔记2.3

for循环for循环用于多次执行相似的代码。其基本语法如下：for(variableinsequence){#在每次迭代中执行的代码}其中：variable是一个变量，用于在每次迭代中存储序列中的当前元素。sequence是一个向量，可以是数字序列、字符序列或其他可迭代对象。在每次迭代中，variable会依次取sequence中的每个元素的值，然后执行for循环中的代码块。例1：>n=c(1,2

Mrji1995·2024-02-07 19:04

R语言入门笔记2.2

ifelse语句结构：ifelse(条件,表达式1,表达式2)#满足条件，则进入表达式1，否则为表达式2例1：>a=1>ifelse(a<0,"a小于0",ifelse(a==0,0,"a大于0"))[1]"a大于0"a=1-这行代码给变量a赋值为1。ifelse(a<0,"a小于0",ifelse(a==0,0,"a大于0"))-这是一个嵌套的ifelse语句。它的结构是ifelse(condi

Mrji1995·2024-02-07 19:03

CTF之web安全

web安全CSRF简介CSRF，全名CrossSiteRequestForgery，跨站请求伪造。

不胜舟-·2024-02-07 18:43

Web安全基础：第4节：服务端请求伪造：SSRF漏洞-基础篇

1.SSRF简介SSRF（Server-SideRequestForgery，服务端请求伪造），是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护，导致攻击者无法直接入侵内网；这时攻击者可以以服务器为跳板发起一些网络请求，从而攻击内网的应用及获取内网数据。由于存在防火墙的防护，导致攻击者无法直接入侵内网；这时攻击者可以以服务器为跳板发起一些网络请求，从而攻击内网的应用及获取内网

花纵酒·2024-02-06 17:12

SSRF：服务端请求伪造攻击

服务端请求伪造（ServerSideRequestForgery）：是最近几年出现的一种web漏洞，2021年，SSRF被OWASP列为Top10web安全风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功

未知百分百·2024-02-06 17:10

chapter09_保护Web应用_1_Spring Security简介

SpringAOP和Servlet中的Filter过滤Web请求(1)SpringSecurity借助一系列ServletFilter提供各种安全性功能(2)但是我们只需要配置一个Filter，当我们启用Web

米都都·2024-02-06 03:13

深度学习入门笔记（五）前馈网络与反向传播

接着上一节，本节讲解模型自我学习的数学计算过程究竟是怎么样的。5.1前馈网络一个最简单的前馈神经网络如图所示，对于每一个隐藏层，输入对应前一层每一个节点权重乘以节点输出值，输出则是经过激活函数（例如sigmoid函数）计算后的值。在这样的网络中，输入的数据x经过网络的各个节点之后，即可计算出最终的模型结果。这样就完成了一个最基本的前馈网络从输入到输出的计算过程。5.2反向传播在实际工作中这部分的内

zhanghui_cuc·2024-02-06 01:25

（黑客）网络安全——自学

1.无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透2.也有Web防御技术（WAF）。

不会写代码的小彭·2024-02-05 17:43

风炫安全Web安全入门第一期课程总结

风炫安全Web安全入门第一期课程总结风炫安全Web安全入门第一期课程总结我们第一期的Web安全入门学习，已经基本完成了，这节课我们来最后做一下总结。

风炫安全·2024-02-05 14:12

深度学习入门笔记（1）——什么是深度学习？

深度学习入门笔记（1）——什么是深度学习？

ZRX_GIS·2024-02-05 05:56

深度学习入门笔记（6）—— Logistic Regression

对比第三节中的Adaline和LogisticRegression，可以发现它们只有两点不同：1、激活函数，Adaline中的激活函数是恒等函数（线性），而LogisticRegression中的激活函数是Sigmoid函数（非线性）；2、损失函数，Adaline中的损失函数是均方误差，而LogisticRegression中的损失函数则是交叉熵。Sigmoid函数如图所示，其值域为0到1，输入为

cnhwl·2024-02-05 05:55

推荐频道

web安全入门笔记