【二】安全见闻 【B站泷羽SEC】
安全见闻,包罗了各种网络安全,网络技能.编程语言
C语言:一种通用的、面向过程的编程语言,广泛应用于系统软件和嵌入式开辟。
C++:在C语言基础上发展而来,支持面向对象编程,常用于游戏开辟、高性能计算等领域。
Java: -种广泛利用的面向对象编程语言,具有跨平台性,应用于企业级应用开辟等。
Python:简洁易学,拥有丰富的库,适用于数据分析、人工智能、Web 开辟等。
JavaScript:主要用于网页前端开辟,也可用于服务器端开辟(Node. js)。
C#: 由微软开辟,主要用于Windows. 平台,上的应用开辟。
Ruby:一种简洁而富有表现力的编程语言,常用于Web开辟。
PHP:生要用于Web开辟,尤其适合服务器端脚本编程
Go:一种高效、简洁的编程语言,适用于网络编程和云计算等领域。
Swift:苹果公司开辟的编程语言,用于i0S和macOS应用开辟。
Kotlin:可与Java 互操作,主要用于Android开辟。
函数式编程语言:
Haskell:纯函数式编程语言,以强大的类型系统和数学上的严谨性著称。
Lisp (包括Common Lisp、. Scheme
等) :历史久长的编程语言家属,以其高度的灵活性和宏系统闻名。
Clojure:运行在Java假造机上的Lisp方言,结合了函数式编程和Java平台的上风。
数据科学和机器学习领域:
R:在统计分析和数据可视化方面应用广泛。
Julia:设计用于高性能科学计算和数据分析。
Web全栈开辟:
TypeScript:是JavaScript 的超集,增加了静态类型检查等特性,进步了大型项目的开辟效率。
移动开辟:
Objective-C:曾经是ioS开辟的主要语言,如今逐渐被Swift 取代。
嵌入式系统开辟:
Assembly Language (汇编语言) :差别的处理器架构有差别的汇编语言,用于对硬件进行底层控制。
其他:
操作系统:
. ios
. mac
. linux
. android
. Windows
, wince
. vxworks
. RT-Thread
但是电脑cpu在实行的时候并没有立马实行你的指令,它大概先执
其他的在实行你的指令,这就好坏实时的“(只是科普大概这辈子都用不到但是我们得了解)为什么要讲就是不做并底之蛙,不是你以为的只有Windows,'和Linux,只有这些吗?”固然不是太多了不一-列举,以是我们要会举一段三
ioS和Linux通常被认为好坏实时操作系统。
非实时操作系统主要致力于在各种环境下提供精良的整体性能、用户体验和多任务处理本领,但不能保证在严格的时间限制内对变乱作出响应。
与之相对的是实时操作系统(RTOS) ,实时操作系统可以或许在确定的时间内对外部变乱作出响应并完成特定的任务,具有严格的时间确定性和可猜测性,常用于对时间要求极为严格的嵌入式系统、工业控制等领域
岂论搞什么都是要网络通讯联网的
硬件装备
计算机硬件
硬盘:用于长期存储数据,包括操作系统、应用程序、文件等。硬盘的容量和读写速度也是影响计算机性能的告急因素。
显卡:用于处理图形和图像数据,它的性能决定了计算机的图形处理本领。对于游戏玩家和图形设计师来说,显卡的性能非常告急。
主板:是计算机的核心电路板,毗连着各种硬件装备,如CPU、 内存、硬盘、显卡等。主板的质量和性能对计算机的稳固性和扩展性有很大影响。
网络硬件
各附加存储(NAS)和存储区域网络SAN包们提供予大容量、高可靠在的数据存储办理方案。
网络打印机:可以通过网络毗连被多合计算机共掌,万便用户打印文件。这域网络(SAN) 。提供了大合重、
网络摄像头:用于视频监控和远程会议等应用。它可以通过网络将视频信号传输到其他装备上。
移动装备硬件
智能手机:集成了多种功能,如通讯、拍照、娱乐:办公等。智能手机的硬件包括处理器、内存、存储、屏幕、摄像头等。。
更设、0工能车工机资能生环大老福合限测用产的康健效据规会动效指电弊鸟媒件事机技设进进行毗连和交望。可战装备的硬件包括传感器、处理器、内存、存储、屏幕等。
可穿戴装备:如智能手表、智能手环等,
成装备的硬件
硬件发展趋势
小型化:硬件装备越来越小型化,便于携带和利用。例如,智能手机、平板电脑等移动装备的体积越来越小,性能却越来越强。
高性能:随着技能的不停进步,硬件装备的性能不停进步。例如,CPU的处理速度越来越快,内存和存储的容量越来越大,显卡的图形处理本领越来越强。
更件装备越来越智能化,可以或许自动顺应差别的环境和用户需求。例如,智能手机可以根据用户的利用风俗自动调解屏;
互联互通:硬件装备之间的互联互通越来越精密,形成了一个庞大的物联网。例如,智能家居装备可以通过网络毗连实现自动化控制,智能汽车可以与其他车辆和交通设施进行通讯。
网络类型
局域网(LAN) :覆盖范围较小,一般在一-个建筑物或一个校园内。例如,公司办公室内的网络就是一-个局域网,用于员工之间共享文件、打印机等资源。
城域网(MAN) :覆盖范围较大,- -般在一-个城市内。例如,城市的有线电视网络、宽带网络等。
广域网(WAN) :覆盖范围非常大,可以超过国家和地区。例如,互联网就是-一个广域网,毗连了环球各地的计算机和网络装备。
网络协议
TCP/IP协议:是互联网的基础协议,包括传输控制协议(TCP) 和网际协议(IP) 。TCP. 负责数据的可靠传输,IP负责数据的路由和寻址。
HTTP.协议:超文本传输协议,用于在Web浏览器和Web服务器之间传输超文本数据,如网页、图片、视频等。
FTP协议:文件传输协议,用于在计算机之间传输文件。
SMTP、POP3 和IMAP 协议:用于电子邮件的发送和接收。
网络装备
路由器:毗连差别的网络,实现网络之间的数据转发。它根据_ IP地点和路由表来确定命据的传输路径。
互换机:在局域网中毗连多台计算机,实现数据的快速互换。它根据MAC地点来转发数据帧。
网卡:安装在计算机上,用于毗连网络。它将计算机的数据转换为网络信号进行传输,并接收网络信号转换为计算机可辨认的数据。
无线接入点(AP) :提供无线网络毗连,使无线装备可以或许接入局域网或广域网。
网络安全
防火墙:用于保护网络免受外部攻击,它可以根据预设的规则过滤网络流量
加密技能:对数据进行加密,防止数据被盗取或篡改。例如,SSL/TLS_ 协议用于在Web 浏览器和Web服务器之间进行加密通讯。
身份认证:确保只有授权用户可以或许访问网络资源,常见的身份认证方式有用户名和密码、数字证书、生物辨认等。
软件程序
通讯协议
tcp ip udp等
机器学习
工作流程
数据网络
网络等。
采源:时以以务种渠道状取势据,如数据库注文件》信感器、网络导。
数据预处理
包括结构化数据(如表格数据)、半结构化数据(如XML、。
格式的数据)和非结构化数据(如文本、图像、音频等)。
现处埋
数据清洗去除噪声数据、处理缺失值、改正错误数据等。例如,对于包罗缺失值的数据集,可以采用均值填充、中位数填充等方法进行处理。
特征提取:从原始教据串摸取出着角的特征生
以便机器
算法可以或许
外理知锤解款
例如,
图像辨认中,可以提取图像的颜色、纹理、形状等特征。
模型镜征提职:从原始数据中
根据任务类型和数据特点选择符合的机器学习算法。例如,对于分类标题可以选择决议树、支持向量机等算法;对于回归标题可以选择线性回归、随机丛林等算法。
将预处理后的数据分为练习集和测试集。练习集用于练习模型,测试集用于评估模型的性能。
利用练习集对模型进行练习,通过调解模型的参数使得模型在练习集上的损失函数最小化。
模型评估与优化
利用测试集对练习好的模型进行评估,常用的评估指标有正确率、正确率、召回率、F1值、均方偏差等。
根据评估结果对模型进行优化,可以调解模型的参数、更换算法、增加数据量等。例如,如果模型在测试集上的正确率较低,可以尝试增加练习数据的数量或调解模型的超参数。
将优化后的模型应用到现实标题中,进行猜测、分类、聚类等任务。
对模型的应用结果进行监控和评估,不停改进模型以进步性能。
深度学习
深度学习的基本原理主要包括以下几个方面:
一、神经网络基础
神经元模型
深度学习的基础是人工神经网络,其灵感泉源于生物神经系统。神经网络中的基本单元是神经元,它接收多个输入信号,对这些信号进行加权求和,然后通过- -个激活函数处理得到输出。
例如,典型的神经元接收来自其他神经元或输入层的数据,每个输入都有一个对应的权重。假设输入为
对应的权重为,则神经元的加权输入总和为,其中是偏置项。然后,通过激活函数
得到神经元的输出。
多层神经网络
深度学习中的神经网络通常电多个层次组成,包括输入层、隐蔽层和输出层
输入层接收原始数据,隐蔽层对数据进行多层次的特征提取和变更,输出层产生最终的猜测结果。
例如,在图像辨认任务中,输入层接收图像的像素值,隐蔽层徐徐提取图像的边缘、纹理、形状等特征,最后输出层给出图像所属的类别
安全见闻二
什么是软件程序代码
软件程序是一种计算机程序,用于计算机计算和其他可编程装备。着实就是我们常说的代码,岂论是什么软件程序都是由代码组成的,以后我们会见到很多类型的软件程序,比如网页设计网站开辟,软件开辟,软件工程,着实本质都是代码,不需要去刻意
区分;以后很多的专业名词都是这样的,着实就是代码,只不过这些代码是完成特定功能的罢了,例如鉴权中心件,跨域中心件,其本质就是iis 那些中心件,明白本质才不会被名词所肴杂。
究其根本岂论是什么样的语言你只要能可以或许告诉计算机计算机给你做了这就是我们的程序,以是岂论是哪个方向究其根本就是一-行- -行的代码,那么这个代码转化成二进制我们底层的硬件 它就知道它要干什么了,程序就是告诉计算机我们要做什么事,比
以是岂论是什么网页设计前端后端底层逻辑都是代码,不要去分它没有必要 去分,哪个快速快捷我们就用哪个,python能做的就不要用c++, 越简单的编程语言越实用,由于其本质都是让计算机去做同样- -件事, 不要把事变复杂化
web程序
通常构成前端-后端 数据库-服务器基本就是这些前端ur1 哀求到后端要实行什么后端登岸,这时候就要调用数据库的数据,数据库放在哪,放服务器上(大概就是这样)
后边web安全入门会讲这些的肯定 要把这些搞懂
语言
html (点击挟制)
xss (也有注入,有人会说哎呀这是xss, 新手是这样) -定要以为自己是渺小的,不要以为什么都会了着实有很多东西你都不懂,你得保持着你以为什么都不会你才有更多的东西去学
JavaScript (xss dom型 反射型存储型点击挟制,哀求走私)很多知识点杂糅到- -起了得理解,你说信息泄漏那数据库信息泄漏在前端.上了怎么算呢你得理解
假设你根本不懂这三门语言那么xss 点击挟制 ,web缓存漏洞你也不大概会,哀求走私跨域这些标题你也不大概会。
以是搞web渗透这些东西都是得学的
代码库
JQuery
bootstrap
elementui
代码库是干什么的,我们写代码不大概用原生的语言去写,这样太废精力了,我们可以封装成一-些库让它很方便的去调用。
框架
vue
eact..
框架岂论怎么写都是基于最本质的的三种语言写的html, css, javascr ipt,如果单纯从纯粹的Javascr ipt去分析很费时间,-般都是通过框架去分析xss 框架多如牛毛 (知道就行)
前端
替在漏洞:信息泄漏,xss, csrf, 点击挟制,访问控制,web缓存漏洞,跨域漏洞,哀求走私
后端
替在漏洞:信息泄漏,xss, csrf, ssrf, 反序列化漏洞,sql注入漏洞, 命令注入漏洞,服务端模板注入,跨域漏洞,访问控制
语言
php
java
ython
gol ang
c/c++
lua
nodejs
后端语言有很多,比如php就会有反序列化漏洞,sq|注入漏洞, 命令注入漏洞等标题,以是语言是很告急的如果你连后端语言都没写过怎么知道啥叫反序列化呢要想搞这些漏洞 以上语言必须学一 种,比如哀求走私就是涉及到协议标题了.
数据库
数据库有什么潜在漏洞呢,sql注入, xss, 命令注入等
数据库也是有分类的
1.关系型数据库
. mysq I
sql sever
access
postgresql
非关系型数据库
. mongodb
couchdb
neo4j
redis
你想学SQL注入你不知道啥叫数据库,就好比你想当警员你不知道啥叫枪-样,以是说想学漏洞之前对以上的要有所了解起码得会- -点
服务器程序
服务器程序
潜在漏洞:信息泄漏,文件上传漏洞,文件剖析漏洞,目录遍历,访问控制
. apache
. nginx
. iis
. tengine
. tomcat
. weblogic
web程序这个我这么- -列出来就感觉很多是吧,前端语言就三种。但是他的库很多啊, 框架也多,后端语言就更多了,很多人说要进红队比如Java代码审计起首你得会Java呀这个 是避不开的,
再比如反序列化漏洞Java php python都有 反序列化漏洞你得想好搞哪一个你还得会编程语言啊,web程序大致就是这些希望大家理解我讲的这些。
懂打击,知防守。就是这样
安全见闻(三)
我们今天来看一下,脚本程序,着实总的来说也没啥可以说的,主要是说说这个安全性的这个点。 我们知道这个脚本程序,之前安全见闻1中有初略的讲了- -下,编程语言那块也很多以是,那么那么多编程语言里面哪些是脚本语言呢,
lua
go (也算吧)
python
JavaScript
这些都算是脚本性的语言。那么什么是脚本性的语言呢,上节课也给大家科普讲解了一 下,脚本普通理解就是拿过来以后我就可以直接看见它的源代码,可复制性高,我们打开浏览器随便进- 一个网站f12 看-下基本上前端代码在这个调试器这里都是可以看见的,这
种就是典型的脚本性子的程序。
golang (脚本性)
python (脚本性)
odejs (
(脚本性程序)
这些编程语言都可以写-些脚本性的病毒,python可以编写木马, js也可以编写木马,比如beefxss 了解本质的人都知道那个就是相称于js写的木马,再比如PHP - -句话木马,就是php写的木马,以是说这些脚本它可以干什么,可以编写脚本病毒
木马,那么如果你要写一个脚本病毒木马js php这种最起码你得会一 点
固然你就算会了编程语言基础,你还得去了解这个脚本木马构成,它是怎么写的。比如你学会了英语你要用这个英语写作文。最起码的这个写作构成语法你得会你会写中文但是让你去写小说你也不会呀就是这个意思,你会了js你不肯定会写js病毒由于你大概对病毒的
还是那句话你在写任何病毒脚本之前你得先有编程基础,基本的语法,库的调用你会了再去了解病毒的一个原理构成,再尝试编写病毒。
好比有一-天我跟你们讲病毒那块的知识,你连基本语言都不会那这个事变就没法搞了。
acro (宏病毒)
比如利用metasploit天生宏病毒,将宏病毒植入office文件中, 很多公司都有office文件或者产物, 常见的就是微软的word ppt 等这些产物是可以植入的 wps是不行的, -般这个工具植入的都是微软的产物,这个你们需要了解你不能说我写个针对微软的脚本你要到
wps里面实行,这是肯定实行不了的,想写宏病毒,
就必须要了解宏的代码构成(前面说了岂论是任何软件,病毒都是代码构成的)
宏代码是由哪个编程语言写的呢VB/c# 雷同于这样的语言去写的这个我们需要了解
at
powershell
这两个也是微软搞得这都是Windows上面的程序,这个东西是干啥的他们的作用是用于内网渗透,以是这个你得有所了解比如说后边我给你们讲宏病毒了vb语法你得会吧,我不大概所有的都讲完这些你们得自己去了解,以后讲内网渗透这两个bat powershell 你们得
会,最起码我跟你讲这些东西的时候你有基础你能听下去 否则到时候一-讲啥也不懂听了个寂寞也不行啊。
内网渗透并不是单指内网渗透中的域渗透,这么讲太局促了
总的来说内网渗透和公网渗透没啥区别就是多了一个域渗透的- -个东西这个是你要知道的,但是域渗透代表不了内网。
CAD LISP (脚本病毒)
cad很多同砚玩过,写图纸画图纸的时候:
,大概徐国他的脚在鼓毕智要您你是1整构,彝且界架要可以息站帮你完异带工任但是我你可备晶一 些正常的脚本, 也可以写逐一些不正常的脚本, 比如脚本病毒,以是很多d的人不懂,丛懒得画图纸
这种病毒有什么危害,就可以偷取cad秘密图纸, 如果你们有- 天想接触这个病毒起首你们要会这个lisp语言,它这个语法和c、c++ 这种都不太一样了
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]