日，有多名网友反馈唯品会“崩了”，用验证码登录时显示网络错误，登不上去。随后，唯品会官方微博表示：因系统短时故障，导致主站“加购”等功能或出现异常。图源：微博截图时隔

启动管理器，一旦更改将是无法撤销的，它会导致现有的启动媒介无法启动。修复这个漏洞还有一个潜大的麻烦，就是：无论你是从微软官方直接下载的

作者：悠悠链接：http://uusama.com/69.html好不容易买了服务器，如果因为自己的疏忽，被黑客黑掉的话，那真的是太糟糕了！下面告诉你一些简单的方法提高服务器的安全系数，我的云服务器就是这么配置的，虽然有些麻烦，但是感觉安心一些。修改

始终坚信自己的老练和狡猾能帮助他骗过他人、掩盖罪行。”Sharp“提出的陈述”称他所犯下的罪行只是一次偏离轨道的安全演习，检方“严重怀疑”Sharp

Avatarify，即用户可以在视频会议过程中“换脸”。不仅可以选择马斯克、爱因斯坦、蒙娜丽莎等名人，还可以自己去网上找名人大头照放进

来自公众号：Java知音功能说明nginxWebUI是一款图形化管理nginx配置的工具，可以使用网页来快速配置nginx的各项功能，包括http协议转发、tcp协议转发、反向代理、负载均衡、静态html服务器、ssl证书自动申请、续签、配置等。配置好后可一建生成nginx.conf文件，同时可控制nginx使用此文件进行启动与重载，完成对nginx的图形化控制闭环。nginxWebUI也可管理多个nginx服务器集群，

ASDFCongratulations!!!CTF{you_made_it_past_the_hurdles}最后，Congratulations！5、写在最后至此，借助

来自：FreeBuf.COM，作者：Zicheng链接：https://www.freebuf.com/news/364654.html据BleepingComputer

诞生以来，也引发了不少从业者的焦虑，甚至认为自己在一定程度上可以“摆烂”，最后借助自动化工具还快速填坑，以便交差。但是根据多项研究发现，仅从编码的维度来看，ChatGPT

网站披露，网络安全研究人员将在本周展示如何夺取欧洲航天局（ESA）卫星控制权，此次演示也被称为世界上第一次卫星网络攻击演习。法国国防巨头泰雷兹（Thales）的网络安全专家宣布将与

作者简介：本文作者刘欣，著有畅销书《码农翻身》，《半小时漫画计算机》，前IBM架构师，领导过多个企业应用架构设计和开发工作；洞察技术本质，擅长用故事去讲解复杂技术。---END---推荐↓↓↓

来自公众号：信安之路本文仅供技术学习。之前一位学员分享了一个关于自动化挖洞的方法论《我的渗透测试方法论》完整讲述了如何从一个域名开始到最终的漏洞扫描，但是对于初学者而言，知道思路，从思路到实践又有很长的路要走，今天来分享下第一阶段的工作如何做。多工具组合收集子域名主要完成以下工作：1、使用

来自公众号：小白debug大家第一次接触HTTPS的时候是不是和我一样，非常困惑。这玩意概念又多又繁琐。尤其是里面的公钥私钥啥的。当时我就特别想知道，为什么用公钥加密却不能用公钥解密？看完这篇文章你会弄明白，同时还会解锁很多HTTPS里的细节知识点。今天，我们就先从对称加密和非对称加密聊起吧。对称加密和非对称加密小学上课的时候，都传过小纸条吧？传纸条的时候每个拿到纸条的同学都会忍不住看一眼，毫无隐私可言。假设班花想对我表白，又不想在传的过程中让别人发现她的情意绵绵。就会在课间十分钟里告诉我，"每个字母向左移动一位，就是我想对你说的话"。然后在上课的时候，递出纸条，上面写了

,damn这样脏话，这似乎成了一种Linux的文化，在后续Linux源码中各种脏词不断出现。在2005年7月28号，fuck*达到了顶峰，足足出现了68次，随后逐渐下降。而

来自：FreeBuf.COM，作者：lyc链接：https://www.freebuf.com/vuls/358037.html今天给大家伙分享一个网络安全的案例，程序员和网安同学都可以看看。前言：本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担0x00

查看文章尾部参与活动说起数据库领域的技术图书，相信很多小伙伴都会想到《高性能MySQL》~~没错！它绝对称得上这个领域当之无愧的霸主！这可不是博文菌瞎说的，我们今天就来看看，它为什么值得！《高性能MySQL（第3版）》中文版自从2013年出版至今，已畅销10年，销量近20W册，豆瓣评分9.3，看看这评价人数，这评分也绝不是刷出来的！读者们都给出了最真实的评价！有人说它是“非常全面的一本有关MySQL应用的书籍”！也有人说它是“在‘如何更好使用

来自：CSDN，作者：疾风劲草_链接：https://blog.csdn.net/qq_38058241/article/details/127357274注：本文仅供技术学习，请勿其他用途；谢谢观看！基础环境及前置说明1.win10电脑2.VMware虚拟机3.Kali-linux镜像4.支持监听模式的无线网卡5.wifi密码字典文件所谓暴力破解就是穷举法，将密码字典中每一个密码依次去与握手包中的密码进行匹配，直到匹配成功，能否成功破解wifi密码取决于密码字典本身是否包含了这个密码。步骤1.Kali-linux连接无线网卡：虚拟机-可移动设备-连接网卡。

综合自网络先问一下大家，你最常用的密码是什么？「12345678」还是「88888888」？其实这也正常，因为全球的人都是这么用的！11月24日，Nordpass发布了2022年全球最常用的密码名单，今年最常用的密码是「password」，除此之外123456、123456789等密码榜上有名。前十名排行如下↓无论排第一还是第十都没关系，它们破解起来，大部分连1秒都不到！在网络安全领域，这类密码有个专业名词「弱口令」。弱口令没有严格和准确的定义，通常认为容易被别人猜测或破解的口令即弱口令，很多企业自以为投入了大量人力物力建设尽可能完善的安全防御机制，但却设置了个弱口令，本以为万无一失，结果“千里之堤，溃于蚁穴”。弱口令漏洞在安全漏洞中很危险，但也很常见，那么如何发现并防御弱口令漏洞呢？---END---推荐↓↓↓

/home/wifi-01.cap“这将会耗费很多时间，最终获取到密码或者没有获取到密码（那需要你更换一个密码词典再次尝试）7.

来自：码农翻身（微信号：coderising）“从前”有一门编程语言叫Smalltalk，它是世界上第一个纯粹的面向对象编程语言。Smalltalk有很多忠实拥趸，在Java崛起之前，它独自可以抗衡C++。著名的《设计模式》一书，其中的代码示例就是C++和Smalltalk。但是Smalltalk运行速度太慢（尤其是是计算密集型任务），比C语言慢很多，并且很吃内存。Smalltalk还是动态语言，对于a+b这样的操作，不到运行时，不知道是整数还是字符串。此外，动态类型虽然极端灵活，但对于大规模软件开发来说，并不十分友好。190年代中期，一个豪华的创业团队秘密组建，开发了一个叫做Strongtalk的语言。Strongtalk保留基本的

表示将密切关注并及时修复短期内出现的问题和威胁。相关链接：https://twitter.com/riotgames/status/1617900236172857345---END---推荐↓↓↓

跑出来，就上自动化工具吧，快速且简单，手工测试，主要是为了应对特殊情况下的场景，作为一个高级安全工程师，手工测试是基础，如果你还不会，赶紧动手搞起来吧。---END---推荐↓↓↓

首先，对于网络安全初学者，选择适合的方向和方法至关重要！有的同学完全没有计算机功底，上来就去学渗透、学逆向破解App，结果折腾半天，学了点皮毛就被“劝退”了。因此，学网络安全，是先网络后安全；学Web安全，也是先Web再有安全。安全不是独立存在的，而是建立在其他技术基础之上的上层应用技术。脱离了这个基础，就很容易变成纸上谈兵，变成“知其然，不知其所以然”。最后，网络安全行业是一个非常依赖实践经验的行业，如果你有网络或者Web基础，当然加分！如果没有，那么实战经验是你的筹码！安全的本质是攻防实战。普通学习者没有数十万、上百万的经费搭建实验室，想要学习攻防实战技术，可以找开源项目来学习，或者参加所在城市的护网或重保项目，也可以去CNVD和SRC漏洞平台尝试挖洞，如果发现了原创漏洞还能够获得相应证书，成为简历亮点。尽管现在有很多书籍和其他资料来教你如何做“攻防实战”，但这些教材的通病就是内容编排脱离实际。有些内容过于简单，有些又过于复杂，缺少一些基础性的引导材料，学着学着你会发现本来打算做一个实验，结果连安装软件三四天都弄不好，实验也不想做了，学了个寂寞！•

也从安全性限制方面总结了几点建议，希望对大家有所裨益：一、限制工程师、运维等岗位员工对代码的访问。企业可以设置单独的代码存储库，只允许员工访问他们需要查看和处理的部分代码。或许也可以为此使用

dropbear你可以选择密码认证，也可以选择公钥认证。虽然推荐使用公钥认证，但作为尝试的话，密码认证是最简单的。运行以下命令：passwdNew

编程语言社区排行榜是编程语言流行趋势的一个指标，每月更新，这份排行榜排名基于全球技术工程师、课程和第三方供应商的数量，其中包括了流行的搜索引擎以及技术社区，如

函数来打印错误信息，那么也无法使用报错注入的方式来回显数据。唯一可以利用的技术就只有盲注了，而当前环境的代码中对常见的特殊字符进行了过滤，过滤列表如下："

转眼间，2022年余额已不足，开卷有益，打牢底层基础知识，不断提高业务能力才是破局的关键。这一年，Java圈口碑炸裂的好书，今天给大家做个大盘点。查看文章尾部参与赠书活动1/8《Java核心技术

好用是真的好用，但就是要付费呀！还不便宜，每次续费的时候我多多少少都有点心疼～～Multipass最近有读者给我推荐了一款虚拟机工具：Multipass，非常轻量级的虚拟机命令管理工具。运行环境支持

来自公众号：编程技术宇宙最近玩这个ChatGPT是越来越上头了。我一直在思考着，这玩意儿除了拿来玩，能不能真正帮助我们工作？昨天晚上，在我的“指导”下，我让这家伙帮我写了一个“木马”。当然，之所以要打上引号，是因为这个木马功能很简单，也没做啥过杀毒软件、隐藏等工作，我们单纯来看一下这家伙的编程能力。让我们开始吧！一开始，就被它给教育了一番：好吧，对这种死脑筋的机器人，就不能硬来，我们换个表达方式，一步一步来：首先，来编写一个扫描进程列表的函数：代码比较长，我就截取一点，大家看个意思就行了。接下来再来编写一个扫描指定进程模块的函数：接下来是扫描网络连接的：再来一个扫描文件列表的：篇幅所限，就先实现这么多功能吧，你可以让它实现更多的功能，什么杀进程、上传文件、记录键盘输入等等。现在来编写一个函数，用来将上面这些函数执行的结果上传到我们的服务器上：接下来，我们实现一个远程线程注入的功能，可以通过云端下发shellcode，把我们的代码注入到explorer进程中去执行。先来实现一个查找explorer进程的函数：接下来来实现远程线程注入功能：再然后就是实现一个从网络端获取指令的函数。这里我就不贴图了···从我实际使用来看，ChatGPT的编程能力堪称恐怖，它已经不是停留在玩具这个级别，而是真正能帮助到我们编程开发。就我的经验来看，只要我们把复杂的编程需求一步步拆解，直到拆解成它可以理解的功能单元，交给它来实现，最后我们将这些功能单元融合在一起，加工一下基本就能使用。听说有人已经把它封装成插件集成到IDE里面去了，这以后用起来不要太爽啊，虽然说取代我们程序员有点危言耸听，但用它来提升开发效率还是一个不错的选择。就拿这个简单的“木马”程序来说，我自己来写可能坑次坑次要整上一个小时，但用这个工具，可能几分钟就搞定了。以后从面向百度编程，面向博客园和CSDN编程，迈向面向ChatGPT编程，未尝不可啊！---END---推荐↓↓↓

来自公众号：编程技术宇宙本文仅供技术学习！最近这个ChatGPT人工智能是真火啊，身边的小伙伴都注册开始调戏了。看看，它可以帮你解答感情问题：它可以帮你写代码：写代码这个还不算啥，关键是你给它代码，它能看懂，能分析代码功能：上面两个功能，学生党是不是狂喜？你以为这就很离谱了，接下来才让你大跌眼镜，不仅是高级语言，它还可以分析机器码：再看一个：你就说离不离谱：现在，有人又开了脑洞，把它跟反汇编神器IDA结合起来，帮助你提升逆向分析的效率。IDA是一款逆向工程领域有名的神器，通过IDA可以将可执行文件中的程序指令还原出汇编指令，更进一步通过F5插件，还原出高级语言！但长久以来，逆向分析最头疼的一件事就是这个反编译出来的代码，可读性实在是太差了，函数名、参数名、变量名都是a1，a2，v1，v2，即便反编译出来，你也很难看懂这到底是什么意思。通常情况下，我们编写的程序在开发过程中，可执行文件中保留了很多符号信息，包括数据结构名称、变量名、函数名、参数名等等，通过IDA反编译后是能看到这些名字的。但程序发布之后，为了防止别人逆向分析我们的程序，就会去掉这些符号信息，导致反编译出来的东西看起来让人头大。不过没关系，现在有人用ChatGPT做了一个插件，一键帮你解读反编译的代码，还会用注释告诉你这段代码是在干嘛，简直不要太爽：某社交平台评论区一位网友的评论让人破防了：---END---推荐↓↓↓

来自：CSDN，作者：YF云飞链接：https://blog.csdn.net/flyTie/article/details/126146332[漏洞扫描]是一种安全检测行为，更是一类重要的网络安全技术，它能够有效提高网络的安全性，而且漏洞扫描属于主动的防范措施，可以很好地避免黑客攻击行为，做到防患于未然。那么好用的漏洞扫描工具有哪些？本文仅供技术学习。5

来自：先知社区链接：https://xz.aliyun.com/t/63本文仅供技术学习。在做安全测试的时候，随着资产的增多，经常会遇到需要快速检测大量网站后台弱口令的问题。然而市面上并没有一个比较好的解决方案，能够支持对各种网站后台的通用检测。所以WebCrack就应运而生。工具简介WebCrack是一款web后台弱口令/万能密码批量爆破、检测工具。不仅支持如discuz，织梦，phpmyadmin等主流CMS并且对于绝大多数小众CMS甚至个人开发网站后台都有效果。在工具中导入后台地址即可进行自动化检测。项目地址https://github.com/yzddmr6/WebCrack实现思路大家想一下自己平常是怎么用burpsuite的intruder模块来爆破指定目标后台的抓包

来自：码农翻身（微信号：coderising）1说起密码，你会想起什么？密码太多，记不住？图省事所有网站用同一个密码，一个泄露了，手忙脚乱地去改密码？网站被脱库，数据库信息泄露，密码丢失？这一切都的根本原因就是：服务器保存了我们的密码（不管是明文的还是Hash过的）。我们需要把自己记忆的密码发给服务器做验证，这就给了攻击者可乘之机。那能不能别保存密码了，换个方式，让服务器保存我们的指纹、虹膜等信息，行不行？万万不可，这样虽然不用记忆各种密码了，但攻击者一旦获得这些生物信息，那就可以假冒我们，真是可以为所欲为了。并且本质上它和保存密码是一样的，都是“和服务器共享了一个秘密”。2那就别和服务器共享秘密了吧！可是如果不共享，服务器怎么知道“你就是你”呢？服务器无法做身份验证(Authentication)了！这个问题早在几十年前就被迪菲和赫尔曼考虑过了，他们提出了非对称的密钥算法。这种算法中每个人可以持有一对密钥：public

3进行逆向工程而名声大噪。上周，Hotz在推特上表示支持马斯克对推特员工的提议（马斯克说，推特员工要么选择

来自公众号：OSC开源社区链接：https://www.oschina.net/news/213993/2022-infoworld-bossie-awardsInfoWorld

来自公众号：信安之路本文仅供技术学习。今天给大家安利几个不错的在线安全工具，无需安装配置即可使用，在实际工作中能够帮助我们提升效率，顺序的话，就根据渗透的顺序来。0x01

Language，面向通用商业语言)。格蕾丝·霍珀（图中右下角穿军装的那位女士）对COBOL的诞生做出了杰出的贡献，也被誉为“COBOL

jd-gui，下载地址：https://github.com/java-decompiler/jd-gui.git将代码克隆回本地然后编译：编译好之后启动：启动之后出现一个界面，打开要反编译的

安全的本质是攻防实战。无论是安全研发，还是安全服务，实战才是硬道理。网络安全的学习过程，就是不断在实战演练中积累实操经验的过程。除了通过开源安全项目学习外，通过在CNVD漏洞平台尝试挖洞是一条高效的实战路径。不仅能提升实战经验，如果发现了原创漏洞还能够获得相应证书。总的来说有以下好处：①

来自公众号：快学Python在刷抖音的时候都会看到类似的视频：营销号用txt记事本巴拉巴拉写几行代码，就可以伪装成黑客了。▲一顿操作猛如虎又比如下面这样，远看一顿操作猛如虎，近看代码原来是打开网页。▲打开某个网页简单看了几个视频，发现“黑客”营销号们最常用的套路就是

来自：FreeBuf.COM，作者：苏苏链接：https://www.freebuf.com/news/348957.html2022年10月底，沸沸扬扬的Twitter收购案已经落下帷幕，马斯克以440亿美元的价格买下推特。在消息公布的当天，马斯克端着一个洗手盆，以一种搞怪式的出厂方式正式入主Twitter。但是谁也没有想到，刚刚坐上Twitter大BOSS位置的马斯克转眼就掀起一场腥风血雨，发布了前所未有的大裁员命令。所有员工在毫无准备的情况下得知，马斯克将立马辞退至多

来自公众号：Bypass本文仅供技术学习。针对Exchange漏洞的利用有很多种方式，但大多数攻击手法首先要有一个邮箱账号，所以，最重要的一步就是获取邮箱账号。获取邮箱账号最常见的攻击方式有两种，钓鱼邮件以及暴力破解。本文整理了Exchange暴力破解的方式，以及记录和分享一些防范方面的小技巧。01、Exchange暴力破解（1）OWA登录爆破Exchange邮箱登录界面，默认没有验证码，也没有登录爆破限制，可通过BurpSuite尝试遍历用户名密码字段进行暴力破解。（2）Exchange接口爆破Exchange部分接口默认使用NTLM认证，可通过尝试验证各接口来进行暴力破解。这个分享一个自动化脚本，集成了现有主流接口的爆破方式。Github项目地址:https://github.com/grayddq/EBurst备注：python2的脚本，需要部分代码，以解决SSL证书验证问题。02、防护方案常见的防御方法有以下几种：增加密码复杂度，增加WAF防御，使用图形验证码验证，必要的情况下，考虑双因素验证等。当然，再多的防御，也挡不住用户自己在钓鱼页面输入自己的密码。最后，分享一些小技巧，使用PowerShell

网络安全应急响应是在特定网络和系统面临或已经遭突然攻击行为时，进行快速应急反应，提出并实施应急方案。作为一项综合性工作，网络安全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术，对安全管理和安全人也提出更高的要求。为此，给大家分享一份应急响应实战笔记，共168页6大章，包括入侵排查、日志分析、权限维持、实战等内容，图文并茂，内容详尽，非常适合安全人/爱好者学习参考。目录入侵排查篇日志分析篇权限维持篇Windows实战篇Linux实战篇Web实战篇入侵排查篇第1篇：Window入侵排查第2篇：Linux入侵排查第3篇：常见的Webshell查杀工具第4篇：如何发现隐藏的Webshell后门第5篇：勒索病毒自救指南日志分析篇第1篇:Window日志分析第2篇:Linux日志分析第3篇:Web日志分析第4篇:MSSQL日志分析第5篇:MySQL日志分析Linux实战篇第1篇：SSH暴力破解第2篇：捕捉短连接第3篇：挖矿病毒第4篇：盖茨木马第5篇：DDOS病毒第6篇：Shell病毒Web实战篇第1篇：网站被植入Webshell第2篇：门罗币恶意挖矿第3篇：批量挂黑页第4篇：新闻源网站劫持第5篇：移动端劫持第6篇：搜索引擎劫持第7篇：网站首页被篡改第8篇：管理员账号被篡改第9篇：编辑器入侵事件注：资料源自网络，仅作免费交流分享，侵删完整pdf如何获取？

还提供了大量的自定义选项。最受欢迎的是针对配置文件的选项，包括启动的可执行文件、起始目录、配置文件图标、自定义背景图像、颜色方案、字体和透明度。截至目前，Windows

来自公众号：电脑报近来，各种APP频繁调取用户相册、24小时获取用户定位等信息层出不穷，手机APP窥探用户隐私的现象引起大家的关注。其实不仅仅是手机APP，移动互联网时代，我们的隐私信息几乎每天都在泄露，包括手机维修这种看似平常的事，也很容易引发隐私泄露，因为维修人员很容易看到我们手机中的短信、照片、视频等信息。此前就发生过手机维修店人员趁着客户不注意，将客户的验证码发送到“拉新”群，导致客户的手机号码被注册多个热门平台账号。更有甚者，一些维修人员会将客户的个人信息、隐私照片等出售给他人获利，或者以此威胁机主等，行为十分恶劣。可见，无论是现场维修还是将手机寄到服务中心维修，都可能出现个人敏感数据泄露的风险。针对这类现象，好在手机厂商给出了解决办法。据媒体报道，三星正试图通过引入“维修模式（Maintenance

来自公众号：信安之路每一个已经入门一个领域的人都有自己的一套入门方法，在无人指点的情况下，通过自己的摸索加上努力的沉淀逐渐成为一个领域的专家，从入门到成为专家也只是时间的问题，如果有高人指点，那么入门的时间会大大缩短，将那些无意义且浪费时间的部分忽略掉，从而以最短的时间获得最高的收益。今天分享的一套学习路径，我认为是最好最有效的，可能不适用于所有人，只要有人从中受益，那么今天的分享就是价值的，那么如何更好更有效的入门

这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地，网络安全行业地位、薪资随之水涨船高。当你开始在网上搜索关于网络安全的学习资料，常常会陷入自我怀疑：尝试自学后能使用工具进行简单的扫描和挖洞，但总感觉后期学习很难有突破，不知道是哪里出现问题…于是又不得不推倒重来。了解网络安全，首先要搞清楚下面这些前提

来自：CSDN，作者：Tr0e链接：https://blog.csdn.net/weixin_39190897/article/details/119778471本文仅供技术学习前言本文将记录学习下如何通过

HTTPS，云服务器之间做了很严格的隔离，这种通过欺骗和嗅探的方式，在外网很难有所作为，通过明文传输的协议越来少。回想以前，还能嗅探到用户登录的账号密码，ftp、telnet