- 博客(1275)
- 收藏
- 关注
RSS订阅原创 普通人如何转行程序员?这个10个高赞回答,越早知道越好
(web)工作内容是负责把设计做的界面,用技术的手段还原出来。我做的就是前端,这个岗位对计算机专业基础要求不高,只要你有耐心,肯坚持,半年能学会。(以java为主)不涉及到前端页面部分,主要两者岗位薪资差距不大。你要确定学什么技术,做什么岗位?web前端,还是后台开发,还是算法、大数据?事实上,创业公司一般比较喜欢招全栈,这和创业公司的需求有关系,因为创业初期的公司可能需要一个人做几个人的活。。有人说找教程看,找个BAT大厂师傅带之类的… 真正起到学习效果微乎其微。
2025-06-21 09:47:58
421
原创 黑客入门教程|三分钟手把手教会,非常简单
以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》,所以他们真正的名字叫“骇客”(Cracker)而非“黑客”(Hacker),也就是我们平时经常听说的“黑客”(Cacker)和“红客”(Hacker)。无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一样的。即便日后他们各自走上了
2025-06-21 09:41:33
420
原创 黑客技术之黑客常见10大攻击技术,你知道几个?_黑客一般采用哪些网络攻击技术
黑客们以“该邮件来自信任的机构”的名义发送邮件给受害者,受害者很容易就会上当,泄露自己的用户名、密码、社会安全号码、银行账户等。黑客们常使用“肉鸡”来进行Ddos攻击,许多人在不知道的情况下,电脑就会被感染,成为僵尸机,受控于黑客。黑客会分析目标受害者的网络活动规律,比如常用APP、工作IP等,定点投放病毒,让你避无可避。如今,越来越多的攻击者转向窃取与证书相关的“cookie”,来复制当前或最近的web会话。也称作UI纠正攻击,黑客会使用多个实体层来欺骗用户,让你最终点进他想让你进入的页面。
2025-06-21 09:39:38
455
原创 【2025版】最新SQL注入漏洞挖掘工具使用指南,零基础入门到精通,收藏这篇就够了
介绍两个好用的burpsuite sql被动扫描插件,一键挖掘SQL注入漏洞,能够很大程度节约渗透测试时间。插件一BurpSuite 版本需满足(>=2023.12.1)才能使用,这个相对另外那一个插件,默认支持很多类型的sql测试报错类型判断数字类型判断order类型注入字符类型注入布尔类型注入。
2025-06-20 09:23:31
615
原创 【网络安全】七个最常见的黑客攻击技术,98%的人都遇到过(通俗易懂版)
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2025-06-20 09:21:53
722
原创 常见网络攻击以及防御方法大全,从零基础到精通,收藏这篇就够了!_网络攻防入门基础知识
网络安全威胁类别网络内部的威胁,网络的滥用,没有安全意识的员工,黑客,骇客。木马攻击原理C/S 架构,服务器端被植入目标主机,服务器端通过反弹连接和客户端连接。从而客户端对其进行控制。病毒一些恶意的计算机程序,具有传播性,破坏性,隐蔽性的特点。网络攻击类型**侦查攻击:**搜集网络存在的弱点,以进一步攻击网络。分为扫描攻击和网络监听:扫描攻击有端口扫描,主机扫描,漏洞扫描。**网络监听:**主要指只通过软件将使用者计算机网卡的模式置为混杂模式,从而查看通过此网络的重要明文信息。
2025-06-20 09:20:35
745
原创 网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
当初我刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…对于小白来说,工具就是第二生命呀,用都用不上了怎么渗透?有WAF拦截,基本限制了包含特殊字符POC的报文,那渗透报告眼瞅着就要交付了,总不能写个空报告交差吧…那肯定是不可以的,上上上期没写逻辑漏洞,今天我就简单说一说逻辑漏洞都有哪些可以凑凑数量(当然,这些漏洞用来打SRC也很好用)~~~
2025-06-19 09:39:41
675
原创 网络安全新手必读:一文轻松掌握Kali Linux核心命令与基础概念!
想象这个场景:当你第一次打开 Kali Linux,桌面上是琳琅满目的黑客工具,终端里闪烁的光标正在等待你的输入。然而,除了几个最基础的 cd、ls 命令外,你完全不知从何下手。在论坛中看到高手们行云流水般敲打各种命令轻松达成目标,而你却需要不断搜索最基本的操作方法。这种感觉,就像拿着一把瑞士军刀,却只会用它来开瓶盖。事实上,很多人在开始学习网络安全时都会遇到这个问题:工具虽然强大,但因为不熟悉命令行而寸步难行。这就像在玩游戏时,你拥有最顶级的装备,却不懂得如何使用最基本的技能。
2025-06-19 09:38:12
933
原创 【网络安全】又要到每年HVV时刻了,这几个常用威胁情报平台你收藏 了么?
叮咚~,又是一年HVV时刻,又要值守了,下文为您介绍 7个国内常用威胁情报平台, 助您构建 “懂中国网络” 的防御体系,形成"监测 - 分析 - 响应" 全闭环!▶ 亿级样本库(含 “海莲花” 等 APT 组织最新攻击链)▶ 动态 IP 信誉评分(实时标注 “暗网矿机”" 诈骗跳板 ")▶ 实战案例:2024 护网行动中提前预警某省政务云 0day 攻击▶ 特色服务:免费威胁情报订阅(含行业专属报告)▶ 网站地址:https://ti.360.cn/
2025-06-19 09:36:03
889
原创 七个合法学习黑客技术的平台,让你从萌新成为大佬
提供在线 IRC 聊天和论坛,让用户交流更加方便。网站涵盖多种主题,包括密码破解、网络侦察、漏洞利用、社会工程学等。非常适用于个人提高网络安全技能涵盖多个领域,包括黑客技术、科技、工程和DIY等内容,站内提供大量有趣的文章、视频、教程和新闻,帮助用户掌握黑客技术和DIY精神。一个专门提供网络安全培训和认证的公司,课程包括渗透测试、网络侦察、漏洞利用等。此外,还会提供一系列的实验室环境和虚拟机,让用户在真实环境下进行实践。一个广泛使用的漏洞利用框架,可以帮助黑客自动化漏洞利用过程,提高攻击效率。
2025-06-18 10:57:40
821
原创 网络安全(黑客技术)——学过编程就是黑客?
黑客,相信经常接触电脑的朋友们对这个词都不陌生,各类影视视频中黑客总是身处暗处,运筹帷幄,正是这种神秘感让我走向学习编程的道路,也正是如此让我明白黑客远没有我想象中那么“帅气”。
2025-06-18 10:55:54
802
原创 什么是CISP?零基础入门到精通,收藏这一篇就够了
CISP即"注册信息安全专业人员",系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全测评中心实施国家认证。“注册信息安全工程师”,英文为Certified Information Security Engineer,简称 CISE。证书持有人员主要从事信息安全技术领域的工作,具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。
2025-06-18 10:53:52
377
原创 网络安全行业,为什么绝大多数牛马都觉得薪资被平均了
与其抱怨,不如成长;与其争取,不如改变;与世无争,默默成长。大家好,我是JUN哥,一个普通的IT牛马,一直在深深思索身边的人、事和物。最近很多圈内群都在讨论网络安全行业的平均工资的问题。据统计数据显示,网络安全行业平均年薪32万、销售平均63万 、研发平均30万。有宝子们说,被平均的技术兄弟们,又在被窝里默默流泪。其实,这是一种数据统计错觉,可以用成语“苦乐不均”来形容。圈内很多老师傅们都没有达到这个平均水平,更别说绝大部分网安牛马们了。同是牛马,为什么差距这么大?
2025-06-17 10:49:34
958
原创 网工小白,闭眼把这些命令记住,就对了!
从圈外认知来说,黑客一直被认为是高收入群体,黑客有白帽和黑帽处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。可能很多人都会觉得黑帽黑客会赚的非常多,让我们一起看看吧。一个黑客年薪是多少呢?以下数据来源上万名相关从业者的问卷统计,不分黑白帽,数据仅供参考,不排除有人调皮乱填。白帽黑客:收入稳定白帽说白了也就是网络安全从业者,可以到公司上班,少数人自己接单。从招聘网站上搜索网络安全的职位,一万到数万是正常水平。
2025-06-17 10:03:34
935
原创 程序员一般可以从什么平台找兼职?(非常有用)想靠技术赚米的看这篇就够了!
外包接单作为兼职最为丝滑和无缝衔接,程序员没有太高的学习成本;程序员有着丰富的人脉和资源,能够较为轻松地入行,开始进行外包接单的工作;比起其他的兼职,外包接单收入高,稳定性强,投产比高才是第一生产力!互联网外包软件服务平台,码市上的项目门槛高,任务比较难,但是报酬也十分丰厚。在码市上找项目需要仔细甄别,量力而行,如果你连码市都能hold住,那国内的大多数项目你都能搞定。国内领先的自由远程工作平台,提供程序员兼职、程序员外包、程序员自由工作等相关内容。
2025-06-17 09:50:38
489
原创 从菜鸟到专家,必备的网络安全工程师证书要如何报考?
CISP是由中国信息安全测评中心于2oo2年推出的、业内公认的国内信息安全领域最权威的国家级认证,自推出以来累计为国家培养了近2万名持证人员。培训的学员涵盖了中央和国家机关、地方政府部门、军队和各企事业单位。通过CISP培训及认证,为各单位的信息安全岗位储备了专业型的技术人才,大大提高了各单位信息安全保障的综合能力。同时,通过CISP认证的人员,具备了符合国际标准要求的信息安全知识和能力,并为其今后的发展提供新的机遇。二、
2025-06-16 09:58:40
663
原创 WEB安全攻防入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以轻松的找到,快去看看你的原创文章有没有被搬运吧。谁在复制粘贴,抄袭你的文章,通过谷歌。的事情了,而工作绕不开的就是。推荐指数:★★★★★。推荐指数:★★★★★。推荐指数:★★★★★。推荐指数:★★★★★。
2025-06-16 09:47:27
976
原创 黑客比程序员高在哪里?_黑客和程序员哪个厉害
黑客其实和一般的程序员一样,但是他们的关注点不一样。黑客关注的是如何破坏,通过这些有创造性的破坏来获取利益,展现自己的能力。而程序员关注的是如何创造,通过创造来获取利益,展现自己的能力。就如同一个硬币的两面,一个新技术出现时,黑客总会关注其缺陷,而程序员更多的是关注它的优点。程序员把一个东西的技术吹的再厉害,但是黑客总会通过技术手段找出它的缺陷,并证明出来。程序员一般只是跟着技术明面上的内容走,但是黑客总会看到技术明面之外的东西,别人看不到的、意想不到的地方,这些地方会被黑客挖出来并且利用。
2025-06-13 10:18:34
619
原创 WebLogic漏洞复现(附带修复方法)_weblogic漏洞修复
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
2025-06-13 10:16:03
996
原创 BurpSuite教程——渗透测试第一关:BP工具使用
BurpSuite的核心功能是Proxy——“代理”。代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。Proxy向下又分为四个部分:Intercept、HTTP history、Websockets history、options。
2025-06-13 10:13:24
683
原创 我与红队:一场网络安全实战的较量与成长,网络安全零基础入门到精通实战教程!
在网络空间安全领域,红队作为模拟攻击方,是攻防演练中至关重要的角色。我们致力于通过实现控制业务、获取数据、系统提权等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。本人作为网络安全公司红队Team leader,与队友共同取得了一些成绩。
2025-06-12 09:56:21
955
原创 实现了一下CSRF原来不像背的那么简单,网络安全零基础入门到精通教程!
之前面试经常被问到 CSRF, 跨站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个跨域请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
2025-06-12 09:52:26
875
原创 黑客如何进行跳板攻击与防御详解,跳板攻击如何防御?网络安全零基础入门到精通教程建议收藏!
这是一台计算机被攻破并完全控制之后,黑客要做的第一件事。很多黑客宣称自己是非恶意的,只是对计算机安全感兴趣,在进入别人的计算机时,不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的黑客会为这些计算机打补丁,做一些安全加强。但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思,不过他们都不会反对把"肉鸡"上的数据弄回来保存。
2025-06-12 09:51:16
568
原创 离谱,网安人的薪资差别真的很大…
在很多文章里,我们经常能看见有人把“网络安全”和“高薪”划等号。但圈内人怎么不知道网络安全能这么高薪?我去某直聘搜了搜发现,网安人的薪资差别真的很大…这是上海平均薪资大概在15K左右,还算可观。这还是上海的,但是薪资普遍不过10K。都是上海一线城市,但是薪资差别都能很大,这到底是为什么?具体我打开了招聘详情。这是7K的任职要求,都是一些基础统称条件,没什么含金量。这个是15K的任职要求,除了上面基础的操作系统、网络基础之外,还得具备行业认证,及安全产品、体系建设等能力。
2025-06-11 09:47:14
250
原创 八个合法学习黑客技术软件,让你从萌新到大佬!
awk是一种编程语言,用于linux下对文本和数据进行处理。数据可以来来自标准输入、一个或多个文件,或其他命令的输出。更多作为脚本来使用。awk处理数据的方式:逐行扫描文件,寻找匹配的特定模式的行,并在这些行上进行你想要的操作。如果没有指定动作,则把匹配的行显示到标准输出(屏幕)。如果没有指定模式,则所有被操作所指定的行都被处理。2、选项选项 含义 备注-f 从脚本文件中读取awk命令。常用。
2025-06-11 09:44:06
806
原创 八个合法学习黑客技术软件,让你从萌新到大佬!
八个合法学习黑客技术软件,让你从萌新到大佬!但是不能乱用哦~所有工具下载方法文章末尾提供这是一个博客网站,主要面向初级水平的黑客。网站上有许多非常有用的工具以及检验分享,包括渗透测试、测试实践、移动黑客等。一个免费的在线网络安全网站,提供来自不同行业专业人士的培训材料和资源。可以选择适合自己的道德黑客课程,如渗透测试或网路工程师,甚至创建自己的教学大纲。你还可以根据技能类型,级别或证书搜索课程。提供来自不同行业专业人士的基础知识、漏洞实战演练、教程等资料。
2025-06-11 09:39:35
421
原创 2025年转行进入网络安全领域薪资及工作安排与前景如何
进入网络安全行业后,随着技术的积累和经验的积累,个人职业发展空间非常大。许多高级职位不仅仅局限于技术岗位,还包括管理岗位(如CISO等),此外,安全咨询和创业也为有经验的专业人员提供了多样化的职业发展路径。技术的不断升级,网络安全领域对专业人才的需求只会增加。网络安全职位逐渐细化,除了传统的渗透测试、安全分析、运维管理等,云安全、区块链安全、物联网安全等新兴领域也提供了更多的就业机会。网络安全不仅是国内企业的需求,全球企业和组织对网络安全的需求也非常强烈,特别是在跨国公司中,网络安全人才将成为重要的资源。
2025-06-10 09:39:26
653
原创 Windows隐藏计划任务技术及排查方法
使用计划任务进行权限维持之前使用已经比较多了,但创建隐藏计划任务目前使用的还比较少,对于攻击方,可作为权限维持和防御规避的手段之一,作为防守方我们也需要了解如何对这种攻击手段进行检测和响应。成功: 成功创建计划任务 "\Microsoft\Windows\WlanSvc\Autopilot"。操作成功完成。bat脚本%~1 计划任务位置格式建议放置\Microsoft\Windows下%~2 要执行的命令 或运行的脚本、程序。绝对位置%~3 每多少分钟执行一次需要以system权限执行。
2025-06-10 09:36:22
352
原创 一次SSH爆破攻击haiduc工具的应急响应
2022年3月底,我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。二、检测定位****阶段工作说明**2.1、**异常现象确认服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。**2.2、**溯源分析过程通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。三、抑制阶段工作说明。
2025-06-10 09:34:03
725
原创 国家超重视,高薪又缺人:这8个专业都很“吃香”!(非常详细)从零基础到精通,收藏这篇就够了!
等。与信息安全相比,网络空间安全属于新兴网络安全专业,教育部于2015年在工学门类下增设网络空间安全一级学科并增设网络空间安全专业。
2025-06-09 09:56:54
884
原创 CVE-2022-22965:Spring远程代码执行漏洞复现
电邮炸弹的设计很简单,因为简单也意味着垃圾邮件过滤器可以非常容易地检测出来。这些电子邮件都只针对一个或几个攻击者希望淹没的地址。这种形式的电邮炸弹与其它DDos洪水攻击的目的相似。还有一种的订阅了邮箱之后发送轰炸,称为。
2025-06-09 09:54:37
736
原创 邮件轰炸机,最多能发送993封邮件,万一被谁诈骗了就炸他!(附黑客技术实战)
电邮炸弹的设计很简单,因为简单也意味着垃圾邮件过滤器可以非常容易地检测出来。这些电子邮件都只针对一个或几个攻击者希望淹没的地址。这种形式的电邮炸弹与其它DDos洪水攻击的目的相似。还有一种的订阅了邮箱之后发送轰炸,称为。
2025-06-09 09:53:18
857
原创 红队视角:揭秘内网提权的技术迷宫
红队内网提权技术是一把双刃剑,对于网络安全研究和防御测试有着重要的价值,但一旦被不法分子利用,就会对个人、企业乃至国家的网络安全造成巨大的威胁。通过对 Windows 和 Linux 系统常见提权技术的学习,以及实际案例的剖析,我们深入了解了提权的过程和方法。同时,我们也认识到,防范提权攻击需要从系统加固和安全监测等多个方面入手,构建一个全方位的网络安全防护体系。随着技术的不断发展,未来的提权技术可能会更加复杂和隐蔽,对安全防护提出了更高的挑战。
2025-06-07 09:38:51
547
原创 还在死记硬背?网络安全工程师必备CMD命令,这篇让你秒变老司机!
还在苦哈哈地背那些枯燥的CMD命令?别闹了!今天,咱就来点不一样的,带你用最接地气的方式,玩转网络安全运维中的CMD命令。保证你看完这篇,不仅能记住,还能灵活运用,成为真正的安全界老司机!1、calc:启动你的专属“葛优瘫”计算器,算算今天又掉了多少头发。2、appwiz.cpl:程序和功能,卸载那些占内存又没用的软件,让你的电脑重获新生!3、certmgr.msc:证书管理实用程序,管理各种“良民证”,确保你的网络身份安全可靠。4、charmap:启动字符映射表,当你想输入一些稀奇古怪的字符时,它就是你的
2025-06-07 09:37:09
671
原创 我是你的破壁人:网络入侵的攻与防
一般情况下,在入侵防御的配置中还会包含白名单过滤,由管理员根据网络和业务情况手工配置响应条目,使设备只对筛选出的行为进行防御,避免在泛洪式攻击产生的海量日志中丢失关键的攻击情报。在实际应用中,入侵检测与入侵防御往往会被部署为两个独立的系统。入侵检测系统主要检测系统内部,对网络行为、系统日志、进程和内存等指标进行监控。
2025-06-07 09:34:28
331
原创 【网络安全】2025新手如何上手挖漏洞(非常详细)零基础入门到精通,看这篇就够了!
有不少阅读过我文章的伙伴都知道,笔者本人17年就读于一所普通的本科学校,20年6月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。我从事网络安全行业已经好几年,积累了丰富的技能和渗透经验。在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了互联网安全防护水平。也有很多小伙伴给我留言问我怎么学?怎么渗透?怎么挖漏洞?
2025-06-06 09:17:05
554
原创 如何在不出网的环境下做好渗透测试?网络安全零基础入门到精通实战教程!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。用到的工具有vshell,suo5,哥斯拉,proxifier,navicat。,但是数据库的ip被db顶替了,端口为5432,我们用curl查看。我们拥有了正向shell之后,我们可以在。至此,渗透后利用就可以由此展开了。
2025-06-06 09:15:52
443
原创 网络安全中的0-day漏洞是什么意思?如何防护0-day漏洞攻击?黑客技术零基础入门到精通教程
0day漏洞,也称为零日漏洞或零时差漏洞,是指那些尚未被公众发现、官方尚未发布补丁的安全漏洞。攻击者利用这些未公开的漏洞,可以在目标系统或应用中执行恶意代码,获取敏感信息,甚至完全控制目标系统。由于0day漏洞的隐蔽性和利用的高效性,它往往成为黑客进行高级持续性威胁(APT)攻击的首选手段。当前“零日”现在已经不再局限于漏洞被公开的时间长短。“零日”不一定是真的刚刚发现,黑客完全有可能在很久之前发现了漏洞,但是一直未被发现公开。那么对于外界来说,漏洞公开的那一刻才能称为零日漏洞。
2025-06-06 09:14:41
756
原创 反射XSS和CORS漏洞组合拳
CORS,跨域资源共享(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。其实漏洞挖掘的乐趣就在于不断的发掘有趣的利用姿势,在遇到一些看似“鸡肋”的漏洞时,可以不用忙着提交,多思考一下是否可以和其他漏洞形成组合拳,这样技术才会有上升的空间,漏洞危害也会因此而提高,相应的白帽子能获得的收益也最大。
2025-06-05 09:32:57
604
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人