摘要： 认证崩溃是错误使用应用程序的身份认证或会话管理功能，攻击者能够破译密码、密钥或会话令牌。加强自身安全意识，通过增加口令的复杂度或定期修改账号密码的方式来避免。 阅读全文

摘要： 在网络安全技能学习过程，有很多需要实战演练的技能点。这时需要有环境和让我们熟悉、从简单到难的练习靶场。本文介绍靶场环境工具phpStudy，和三个常用的靶场：pikachu、dvwa和sqli-labs。 阅读全文

摘要： 本文主要介绍WEB客户端一些漏洞类型，漏洞产生的原因、有哪些危害、可能产生漏洞的场景，如何防范。后面会有对应的文章对应具体漏洞类型展开详细说明，提供靶场实战演练，主要用于理解挖掘漏洞的思路。 阅读全文

摘要： 本文主要介绍Web发展史、URL、Web访问流程和抓包工作原理和简单介绍BurpSuite工具。为什么需要了解这些基础知识点呢？因为漏洞攻击是需要知道分析定位可哪里入手去攻击，先理论再实战。 阅读全文

摘要： Python是一门编程语言经常用它来写脚本。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求时，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这时就需要具备一定的编程能力。 阅读全文

摘要： Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。它是网络管理员必用的软件之一，可以用来评估网络系统安全。 阅读全文

摘要： 1、kali系统介绍 kali是一个基于Linux kernel的操作系统，由BackTrack(简称BT)发展而来。BackTrack是2006年推出的一个用于渗透测试及黑客攻防的专用平台，基于Knoppix(linux的一个发行版)开发。BackTrack版本周期：2006年的起始版本BackT 阅读全文

摘要： 使用Cobalt Strike工具做渗透测试，本文包含搭建CS服务器，通过生成克隆钓鱼网站和生成木马进行后渗透，熟悉使用CS工具和理解测试原理。 阅读全文

摘要： 后门的生成是为了更好的理解渗透过程中的方法以及途径，进而达到更好的防护，而不是利用技巧去做攻击等不合理的行为。 思路：利用社会工程学中人的心理，为某些软件利用msf生成一些后门程序，进而通过带有后门的软件实现渗透获取shell 。 阅读全文

摘要： 今天分享我之前读《网络安全人才实战能力白皮书》2022年版本的整理思维导图，主要分4个方面： 网络安全产业人才状况分析 网络安全人才攻防实战能力分析 网络安全人才攻防实战能力评价分析 网络安全攻防实战经验分析 我们走进哪个行业有必要了解行业情况，未来发展，值得花点时间了解。 如果想看完整版本的白皮书 阅读全文