所有成功的背后，都是痛苦的坚持，所有的痛苦，都是傻瓜般的不放弃!

在危机四伏的网络世界，看不见的威胁最致命。后门IP如同潜伏的“数字间谍”，悄无声息地窃取你的隐私、消耗你的资源、甚至将你卷入犯罪链条。无论掌握netstat这样的基础命令行工具，还是“IP雷达”这样的图形化利器，都如同给你的电脑装上了全天候、无死角的网络监控探头。实时感知网络流动，揪出异常流量。精准定位可疑连接，看清谁在“敲门”。深度分析进程行为，斩断黑客黑手。建立主动防御意识，不再被动受害。行动建议技术有价，安全无价。一次用心的排查，或许就能避免一场灾难性的数据泄露或财产损失。

本文旨在为对网络安全领域感兴趣的粉丝读者提供一份全面的职业指南。我们将探讨网络安全领域中各种不同的职业角色，包括其职责、所需技能以及职业发展路径，帮助你了解网络安全领域的职业选择，并为你的职业规划提供参考。

全流量解析如同网络的“历史记录仪+预警雷达”，让安全防御从“被动挨打”升级为“主动狩猎”。无论是应对APT攻击，还是满足合规需求，它都已成为企业网络安全体系的基石。正如安全圈常说的：“没有全流量，安全分析就是盲人摸象。两问两答Q1：全流量分析会拖慢网络吗？A1：专业设备采用旁路镜像，对业务零影响。一般千兆网络解析延迟<3ms。Q2：流量分析与日志分析有何区别？A2：日志是文字记录，流量分析是全程录像。前者告诉你"有人刷卡进门"，后者能还原"进门后做了什么"。参考文档全流量检测分析系统技术规范.pdf。

到了5月25号，CISSP相关的总结已经全部完成，相着放在自己的电脑上太浪费了，还是发布出去吧，帮助一个是一个，谁知这时打开公众号后台时发现我消息的几个月，第一篇文章的阅读量已经好几百了，还增加了20多个粉丝，也有收到小伙伴的私信（当时文章没还没打开留言功能）！我写公众号的初衷是分享网络安全知识、技术、法律法规，在分享的同时，加深自身的写作能力及对知识的沉淀，目的是为了能在不久的将来出版几本安全相关的书籍（源于我一直有一个出书梦），让每个人都能懂安全，帮助构建一个安全的网络空间环境。还有很多答疑解惑的，

博主基于自身十多年的网络安全工作经验并结合CISSP认证官方教材按照不同的主题和层次梳理出如下高层次的网络安全概览地图，并持续更新相关技术文章，帮助大家理解网络安全领域的主题知识、掌握全栈安全技能。感兴趣的同学可以关注我！

DVWA靶场中的每个漏洞均有四个安全级别的代码，级别越高，攻击难度越大。这次我们以文件上传场景来看看攻防双方是如何组织攻击和防御的，经过安全考虑后原来不到10行的文件上传功能代码是如何膨胀到40+行的。Note：DVWA作为Web安全入门必刷的靶场，包含了最常见的web漏洞，界面简单易用，通过设置不同的难度，可更好地理解漏洞的原理及对应的代码防护。若想了解DVWA环境的快速搭建可以参阅往期文章《搭建Web安全入门漏洞靶场DVWA其实只要10分钟！（附30个免费docker镜像加速源）

点评：目录清晰，内容90%以上正确，但不够细致（如原理介绍的比较浅，缺少工具的横向比较），感觉讲得很全但仔细回想又感觉什么都没讲，通篇缺乏案例说明和实际数据支撑。总的来说，3分钟能得到这样一份PPT已经很不错了，在此基础上完善也能节省作者30%左右的时间。不到三分钟AI便完成了材料的生成，整体风格比较协调，配图与文字也较为匹配。我抱着怀疑的态度试用了一下AI自动生成PPT培训材料，用到的提示词是：漏洞扫描原理及常用工具介绍。注：工具功能对比只给了4个方向和工具举例，并没有做横向对比，也没有具体数据支撑。

多数公开文档、网站内容都需要对内容进行敏感词过滤（如恐怖色情、政治、暴力言论相关的词汇）。这些词汇也经常被定义为禁用词、违禁词、极限词及限制词。为了介绍方便，下面统一用敏感词表示。敏感词检测技术可以应用于多个场景，包括社交媒体平台、论坛、聊天室、电子邮件系统等，以确保内容符合相关法律法规和社区标准。通过实时监控和分析用户生成的内容，系统可以自动识别并处理包含敏感词汇的信息，从而有效减少网络欺凌、恶意言论、泄露隐私和其他网络犯罪行为。因此，敏感词检测技术应运而生，成为保障内容合规的重要手段。正则匹配。

FOFA（FlexibleObjectFindingandAnalysis）是由白帽汇推出的一款网络空间搜索引擎，FOFA专注于网络空间资产发现和信息收集的搜索引擎。它通过大规模数据采集、智能分析和索引技术，帮助研究人员或者企业快速定位和分析网络资产（例如进行漏洞影响范围分析、应用分布统计等）。FOFA广泛应用于网络安全、企业资产管理、威胁情报收集等多个领域。FOFA的基本原理是通过搜索引擎的方式，按照关键词对互联网资产进行分类和筛选，帮助用户快速定位目标资产并进行风险评估。

SSH（Secure Shell）协议是一种用于在不安全的网络上提供安全通信的网络协议。SSH客户端和服务器应用程序可广泛用于大多数操作系统。它已成为远程登录和X隧道的首选方法，并迅速成为嵌入式系统之外加密技术最普遍的应用之一。最初的版本SSHv1侧重于提供安全的远程登录设施，以取代Telnet和其他不提供安全的远程登录方案。新版本SSHv2修复了原始方案中的许多安全漏洞。相关标准文档可以参阅RFC 4250至RFC 4256。SSH协议主要由三个子协议组成：传输层协议、用户认证协议和连接协议。

从《黑客帝国》中对虚拟世界的无限想象，到《黑客军团》中一位孤独黑客如何挑战全球金融体系，再到《匿名者》里个人记忆的授权分享，篡改……这些影片不仅展示了安全技术的力量，更引发了我们对于信任、自由和正义的深层次思考！

安全设计原则是指那些在安静业界实践中已经证明是成功的抽象概念的集合，设计师可以运用这种基本的设计原则来进行与开发语言、平台无关的架构设计，保护整个计算机系统避免受到从研发到运营过程中的各种安全故障。自从1974年麻省理工学院的Jerry Saltzer教授提出了安全设计的八大原则，快50年过去了，后人在其基础上又扩展了2条，共计10条。如果你恰好是架构师、系统工程师或是开发组长，那这十大原则一定要熟记于心！

内网用户通过加密流量下载的可执行文件中潜藏着病毒；内网用户在不知情的情况下访问了使用HTTPS协议的恶意网站；未授权的内部机密信息以加密数据传输的方式被泄露到外网。

数字信封、数字签名、数字证书经常会组合使用，公钥密码作为数字信封、数字签名、数字证书的基础。针对以上不同密码技术，博主总结了如下表格，方便大家理解与记忆。技术简介主要解决的问题重点公钥密码一种非对称加密技术对称密码存在密钥配送问题（要在通信双方之间的不安全通道上共享密钥，很难做到！），公钥密码根本不需要密钥配送，从根本上解决了此问题用公钥加密，用私钥解密数字信封数字信封是指发送方采用接收方的公钥加密对称密钥后与密文组合在一起所得的数据。

CyberEdge成立于2012年，由50多名经验丰富的顾问组成，他们几乎为所有IT安全行业领域提供服务。CyberEdge是最大、增长最快的营销和研究公司，CyberEdge的年度网络威胁防御报告（CDR）在IT安全行业中发挥着独特的作用。CyberEdge官网：https://cyberedgegroup.com/

eCapture是一个C语言开发的开源项目，于2022年3月创建，一经发布广受大家喜爱，截止目前已经超过1.3万个Star。它是基于eBPF技术的先进网络数据捕获工具，能够无需CA证书即可捕获HTTPS和TLS通信的明文内容，非常适合于网络监控、安全审计和故障排查等场景。eCapture的中文名字为旁观者，意为"当局者迷，旁观者清"，与其本身功能旁路、观察 契合。核心特点用户态捕获：主要在用户态进行数据捕获，减少了对系统内核的依赖；内核态支持。

如果想搞懂一个漏洞，最好的方法是先编写出这个漏洞，然后利用它，最后修复它。漏洞靶场模拟真实环境，它为网络安全人员提供了一个安全可控的平台，用于发现、评估和测试应用程序、系统或网络设备的安全漏洞。WEB漏洞靶场可帮助安全人员熟悉SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）等漏洞利用过程。

博主原计划通过搭建一条DNS隧道来详解其工作原理，花了些时间尝试了几个免费域名申请网站，均无法正常使用。就连Freenom都暂停提供免费域名了，因其托管了大量滥用域名被起诉了。而收费的域名又需要进行实名认证，认证及审核流程复杂暂且就算了吧~后续有机会博主会再利用文中提到的隧道工具进行实战演练，敬请关注~

在前期博文中，我们知悉HTTPS通信内容是用会话密钥加密的，但不少细心的读者存在疑问：为何对于使用HTTPS协议的站点，在Burp Suite中拦截到的数据包却是“”的？如下图所示，这又是什么原理呢？那公司电脑的HTTPS流量是否也被监控了呢？为了让大家容易理解文章内容，博主先举一个实际案例进行演示说明，基于实际情况再进行分析解疑。

HTTPS 被称为 HTTP Over SSL (基于SSL加密的HTTP)，这里的SSL (Secure Socket Layer) 被称为安全套接层，它是一种加密协议，不仅可应用于HTTP协议、还可应用于POP3协议、SMTP协议、VPN等。TLS (Transport Layer Security) 被称为传输层安全，TLS相对于SSL 3.0版本做了些修改和功能增强，相当于SSL的升级版本，所以有时也一起统称为 SSL，接入来本文若不明显强调，SSL就默认表示SSL/TLS。我们可以用公式。

Trivy是一款全面且多功能的安全扫描器，是以色列在2015年成立的云原生安全技术软件公司Aqua Security提供的开源项目。Trivy的原理是利用静态分析技术，对镜像进行深度扫描，从而发现其中存在的安全漏洞，支持以下6种扫描对象容器和镜像文件系统Git仓库（可远程扫描）虚拟机映像KubernetesAWS扫描器能力正在使用的操作系统包和软件依赖关系（SBOM）已知漏洞（CVE）IaC问题和配置错误敏感信息和秘密软件许可证Trivy支持多种报告格式表格。

ISC2(国际信息系统安全认证联盟) 成立于1989年，是全球网络、信息、软件与基础设施安全认证会员制非营利组织，是为信息安全专业人士职业生涯提供教育及认证服务的全球领导者。总部位于美国，区域办公室设在伦敦、香港及北京（授权中国代理办事处）。ISC2以其一流的信息安全人才教育与培养计划，以及 “金牌标准” 安全认证而享誉全球。

在渗透测试或黑客攻击的早期阶段会通过自动化工具来收集目标环境的信息，尤其是执行网络发现扫描来识别系统开放的高危端口。系统中的高危端口及其防护是网络安全管理的重要组成部分。快来看看以下26类端口是否有开放的必要吧！

DevSecOps 是一种融合了开发（Dev）、安全（Sec）和运维（Ops）的集成方法论，旨在通过将安全实践融入软件开发和部署的整个生命周期，提高软件系统的安全性、可靠性和效率。这种模式强调安全左移（Shift Left）、持续自动化和人人参与安全，以尽早发现并修复安全问题，从而降低成本，并通过CI/CD将安全检测集成到研发流水线中，实现自动反馈和跟踪。

CVE（Common Vulnerabilities and Exposures）是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息，进而根据漏洞评分确定漏洞解决的优先级。在CVE中，CVE编号是识别漏洞的唯一标识符。

网络空间的竞争，归根结底是人才竞争。建设网络强国，没有一支优秀的人才队伍，没有人才创造力迸发、活力涌流，是难以成功的。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。2020年，教育部颁布了《普通高等学校本科专业目录（2020年版）》，网络空间安全专业为工学门类专业，专业代码为080911TK，属计算机类专业，授予工学学士学位。

要彻底搞懂公钥密码、数字签名和数字证书，我们需要从它们的基本概念、工作原理以及实际应用等方面进行详细探讨。在探讨之前，可以看一下三种技术的概览。技术简介主要解决的问题重点公钥密码一种非对称加密技术对称密码存在密钥配送问题（要在通信双方之间的不安全通道上共享密钥，很难做到！），公钥密码根本不需要密钥配送，从根本上解决了此问题用公钥加密，用私钥解密数字签名一种将现实世界中的盖章签字的功能在计算机世界中进行实现的技术。使用数字签名可以识别篡改、伪装，并可以防止否认消息到底是谁写的数字证书。

SQL注入是最常见的注入攻击类型之一，攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句，来操控数据库执行未授权的操作（如拖库、获取管理员信息、获取 WebShell权限等）。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本，通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令，通常通过在输入字段中插入系统命令来实现。

没有网络安全就没有国家安全，网络安全已成为每个人都重视的话题。随着技术的飞速发展，各种网络攻击手段层出不穷，保护个人和企业的信息安全显得尤为重要。**然而，在这个复杂的领域中，许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语，博主整理了20多个常见且容易混淆的专业术语。** 接下来，让我们一起深入探讨这些术语，掌握它们的真正含义！

恶意软件（malware）是指被专门设计用于损坏或中断系统、破坏保密性、完整性和／或可用性的软件，我们常说的病毒和特洛伊木马都属于恶意软件。定义范围： 恶意代码是一段具有恶意目的的程序代码片段，可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念，通常指完整的、可执行的恶意程序。功能完整性： 恶意代码可能只是实现特定恶意功能的一部分代码，不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。传播方式： 恶意代码可能嵌入在正常的软件或文件中进行传播。

容器技术在云原生应用和微服务架构中得到了广泛应用，其轻量、灵活和高效的特点使其成为现代IT环境中的重要工具。然而，尽管容器带来了许多优势，但其安全性问题也不容忽视。接下来跟随博主一起探索如何构建全生命周期的安全体系架构以确保容器的安全。

随着大数据、人工智能、区块链、云计算等新技术和产业的快速发展，数字化数据呈指数级增长，数据共享流通、开发利用的诉求愈发强烈。由于这类数据本身存在易于复制、确权困难的特点，数据在快速释放价值的同时，数据的安全风险也与日剧增。根据《中华人民共和国数据安全法》（2021年9月1日实施）的定义，数据安全是指通过采取必要措施对数据进行有效保护和合法利用，以及确保数据在使用过程中的安全性。数据+安全”强调的是数据的合法利用和有效保护间的动态平衡与持续保护。数据存储安全：确保数据在存储过程中不被非法访问、泄露或破坏。

护网行动是由公安部牵头组织的一系列网络安全攻防演练活动，旨在评估和提升企事业单位的网络安全防护能力。每年的国家级护网行动一般在7、8月左右开始，持续2~3周时间，省级和市级的护网行动则相对短一些。攻防两方的组织：护网行动通常由公安部统一指挥，分为红队和蓝队两方。红队模拟黑客进行网络攻击，而蓝队则负责防守和应对这些攻击。实战攻防演习：每支队伍由3-5人组成，明确目标系统，并不限制攻击路径。进攻方会在一个月内对防守方发动网络攻击，以发现并暴露存在的安全漏洞。漏洞扫描与应急响应。

我们常见的.pem.pfx后缀的文件就是X.509证书，X.509是最广泛使用的数字证书格式，由X.509标准定义，用于身份验证和加密。在互联网上，如HTTPS、SSL/TLS等安全通信中，服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么？它有哪些字段？分别代表着什么含义？它又有哪些存储格式呢？

此全景地图提供了一个大致的框架，是网络安全领域的一个高层次概览，可以帮助个人和组织理解网络安全领域的主题。每个主题都可以进一步细分为更具体的内容，并且随着技术、新威胁及新法律法规和标准的发展，新的主题和工具也会不断出现。因此，保持持续的学习和适应是网络安全专业人员的重要职责，如果你也关注网络安全领域，请关注博主，我们一起跟随并学习、掌握与应用网络安全的前沿技术。

黑客入侵电脑是一种严重的安全威胁，不仅会对个人，甚至可能对组织造成多方面的影响。我们在日常生活及工作中应该注意防范并能做到及时感知。

由于泄露事件的数量不断增加，各组织日益重视应用安全。他们希望识别应用中的漏洞，并提早降低风险。有两种不同类型的应用安全测试：静态应用安全测试 SAST 和动态分析测试 DAST。这两种测试方法都能识别应用中的安全漏洞，但它们却又截然不同。

市面上的静态代码检测SAST工具越来越多，除了业界比较知名的Coverity、Fortify、CheckMax，还有CodeQL、SonarQube、CppCheck等，国内也涌现了一大波检测工具，如鸿渐SAST、奇安信代码卫士、北大Cobot、酷德啄木鸟等，市场上能叫上名的SAST工具约200+种。不同SAST工具检测能力差异较大，比如支持的扫描规则，扫描规则能力。如何有效衡量这些检测工具规则扫描能力，给企业选型SAST工具提供参考，成为了一项业界难题。

在计算机科学中，漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures，即通用漏洞披露，它是MITRE公司维护和更新的安全漏洞列表，列表中的每个条目都会有一个唯一的CVE编号，即CVE ID，供安全研究员和受攻击的软件供应商使用，以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据（即简要描述和至少一个参考）。

美国国家标准与技术研究院 (NIST) 运营的世界上最全面的漏洞数据库国家漏洞数据库 (NVD) 开始面临漏洞丰富的挑战。根据其自己的数据，NIST 仅分析了今年迄今为止收到的 14,228 个常见漏洞和暴露 (CVE) 中的 4523 个，分析占比不足32%。据了解NIST内部目前正在发生一些神秘的事情，如果此类问题不能迅速解决，可能会对安全研究人员社区和全球所有组织产生重大影响，甚至可能会使许多组织容易受到威胁行为者的攻击。