零零博客

打开腾讯电脑管家——工具箱——修复漏洞，进行漏洞扫描和修复。建议设置开启自动修复漏洞功能，开启后，电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下：进入电脑管家“修复漏洞”模块—“设置”，点击开启自动修复漏洞即可。

可以说基本上死透了，现在除非那种笨蛋程序员谁还会用手动拼接SQL语句的方式呢？都是框架自动生成，而框架层面，基本上杜绝了SQL注入的可能性。必须要承认一点，技术在不断地发展。当年用C++语言动不动就忘了释放指针，内存泄漏。于是有了后面Java等一大票带GC的语言，你放心用，碰到忘了释放的我帮你找出来释放。现在也是一样的，各种框架早就替你想好了SQL注入问题，它们把类库做得越来越好用，甚至很多类库已经是傻瓜式调用，目的就是为了让程序员们用的爽，彻底根除SQ注入问题。当然，社会工程学是永远也逃避不开的问题。就算世界上所有类库都解决了SQL注入问题，也还是避免不了有人用123456做密码。所以搞渗透的也不要老是纠结于SQL注入这个层面，从更高处思考问题，才能更好的解决问题。

网络安全从事的岗位还是很多的，比如。1.安全运维岗维护网络系统的正常，安全运行，如果遭到黑客攻击，则需要进行应急响应和入侵排查。2.攻防工程师模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。3.渗透测试Web，App，应用系统等渗透测试，根据网络流量，安全日志，安全事件分析，发现异常或攻击。4.等保测评服务配置、安全策略、日志分析、权限访问等。灾备，权限，日志分析等。希望回答对你有帮助。

第一PHP语言本身漏洞相当多，尤其是很多人不喜欢用最新版本，现在PHP8都发布了，现在竟然还有一大批人用PHP5.2，越早的版本漏洞越多。漏洞多自然就好做渗透。第二PHPweb框架漏洞也非常多。国内最常用的PHP框架thinkphp经常爆出各种严重漏洞，比如5.x的远程可执行命令漏洞，导致大量使用此框架的网站中招。这个漏洞利用之容易，做个程序可以随便感染一大批网站。有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。反观Javaweb，大多数人都会用sprint全家桶。而SpringMVC和Springsecurity提供的安全认证，起安全性都是非常强的。虽然Spring也出一些漏洞，但是我印象中还没有出过非常容易利用，非常简单就能拿到最高权限的傻瓜式漏洞

收集域名信息Whois查询通过在线网站：站长之家域名WHOIS信息查询地址  http://whois.chinaz.com/爱站网域名WHOIS信息查询地址  https://whois.aizhan.com/通过kali自带的工具：备案信息查询通过在线网站查询：http://www.beianbeian.com  ICP备案查询网http://www.tianyancha.com  天眼查http://icp.chinaz.com  站长工具http://www.beian.mit.gov.cn  工业和信息化部http://cha.fute.c

以下为信息安全各个方向涉及的面试题，星数越多代表问题出现的几率越大，没有填答案是希望大家如果不懂能自己动手找到答案，祝各位都能找到满意的工作。注:做这个List的目标不是全，因为无论如何都不可能覆盖所有的面试问题，更多的还是希望由点达面，查漏补缺。TODOLIST 渗透测试 Web安全 PHP安全 Java安全 Linux相关 Windows相关 内网渗透 安全研发 甲方安全运营渗透测试如何绕过CDN找到真实IP，请列举五种方法(★★★)redis未授权访问如何利用，利用的前提条件是？(★★★)mysql提权方式有哪些?利用条件是什么?(★)windows+mysql，存在sql注入，但是机器无外

首先拿到了主页面查看源码后发现了source.txt，这个页面给出了php的代码，简单查看后是php异或加密和解密代码，我对代码注释了一下接着说说异或加密和解密<?php $string="asd"; $key="1234567890"; $result1=$string^$key; $result2=$result1^$key; echo$result1^$string;//获取$key值?>这里说几个坑的位置，首先是$key会每几秒变一次，所以不能手工获取admin的加密值然后带入代码获取flag，这个可以通过bp发包看出来。这一点是遇到最大的坑，在代码这一段代码里面能获取到

很多朋友问我，想搞网络安全，编程重要吗，选什么语言呢？ 国内其实正经开设网络安全专业的学校很少，大部分同学是来自计算机科学、网络工程、软件工程专业的，甚至很多非计算机专业自学的。因此不像这三个专业，有系统的课程体系，大一教什么，大二教什么，大三又教什么，那么清晰明白，网络安全这条路很多都是自学摸索。 我从大二开始入坑网络安全，至今也有十个年头了，也见过许许多多自学成才的例子，工作这些年，先后学习过C、C++、Java、Python、Objective-C、JavaScript、TypeScript，现在回过头来，有一些自己的思考。 很多培训班，一上来就给你讲一堆各种攻击手法、各种工具使用，很多人搞得一头雾水，为什么要学这些，这些背后的原理是什么全都不知道。&nb

攻击者在入侵网站后，常常会通过恶意劫持流量来获取收益，从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防，正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。我们可以按照基于不同隐藏目的的常见劫持手法，来做一个简单的分类：1、将爬虫与用户正常访问分开，实现搜索引擎快照劫持2、将移动端与PC端的访问分开，实现移动端的流量劫持3、根据用户访问来源进行判断，实现特定来源网站劫持4、如果获取管理员的真实IP地址，实现特定区域的流量劫持5、按照访问路径/关键词/时间段设置，实现特定路径/关键词/时间段的流量劫持基于以上，实现的方式有很多种，比如客户端js劫持、服务端代码劫持、301重定向、恶意反向代理、IIS模块劫持等。01、客户端js劫持在网页中插入js脚本，通过js进行ur

在进行渗透测试的过程中，会用到大量的开源工具，每次在各种网站、论坛看到很多很好的工具，所以使用该文章将每次碰到的优秀工具记录下来，然后在后期在进行归纳整理，既方便他人，也方便自己。好用工具1、B-XSSRF用于检测和跟踪BlindXSS，XXE和SSRF的工具包https://github.com/SpiderMate/B-XSSRF2、BurpSuite-collectionsBurpSuite收集：包括不限于Burp文章，破解版，插件（非BAppStore），汉化等相关教程https://github.com/Mr-xn/BurpSuite-collections3、排查网盘信息泄露https://github.com/dongfangyuxiao/py-study/tree/mas