由于我之前写了不少网络安全技术相关的故事文章，不少读者朋友知道我是从事网络安全相关的工作，于是经常有人在微信里问我： 不同于Java、C/C++等后端开发岗位有非常明晰的学习路线，网路安全更多是靠自己

攻击者构造出特殊的 URL，其中包含恶意代码。 用户打开带有恶意代码的 URL。 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。…

许多的Web应用程序一般会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名 形如：http://www.nuanyue.com/getfile=image.jgp 当服务器处理传送过来

金九银十的秋招季近在眼前，想必大家也都心痒难耐，准备挑战更好的工作机会。那么，面试肯定是最大的挑战。 对于面试来说，平时的积累肯定是必须的，但是在面试前的准备也是至关重要的。 在几月前我个人组建了一个小团队，花了将近半年的时间寻找大厂的面试题，筛选出了近百个知识点然后成文，并全…

前言 说起基于网络的攻击，大家可能都会想到 SQL注入、SSRF、CSRF 这些比较常见的因为软件漏洞造成的攻击，但网络远不止如此。本文会介绍一些常见的网络安全问题及攻击方式，提高安全上网以及保密意识

0x00:概述本文从实例代码出发，讲解了Python在网络安全分析中的作用，以最基础的示例向读者展示了Python如何解析、发送、以及嗅探网络中的数据包系统环境：kali并且具备了scapy，由于涉及

Web 世界是开放的，任何资源都可以接入其中，我们的网站可以加载并执行别人网站的脚本文件、图片、音频、视频等资源，甚至可以下载其他站点的可执行文件。 甚至还可以将这些信息上传至自己的服务器，这样就可以在你不知情的情况下伪造一些转账请求等信息。 所以，在没有安全保障的 Web 世…

常见的网路安全设备及功能作用总结\ 一、 WAF 应用防火墙 二、IDS 入侵检测系统： 三、IPS 入侵防御系统（入侵检测+入侵防御） 四、SOC 安全运营中心 五、SIEM 信息安全和事件管理 六

XSS又叫CSS（Cross Site Script），跨站脚本攻击：指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意