一、什么是CSRFCSRF：（Cross-site request forgery）跨站请求伪造，也被称为 “One Click Attack” 或者 Session Riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同，XSS 利用站点内的信任用户，而 CSRF 则通过伪装成受信任用户的请求来利用受信任的网站。CSR

转行进入网络安全领域是一个前景广阔的选择，但也需要系统的学习和实践积累。通过掌握网络安全基础、相关技术和工具，获得认证，积累项目经验，并保持持续学习，你可以逐步成为该领域的专家。⑴ 基础知能​ ① 计算机网络基础：了解TCP/IP协议、OSI模型、常见网络协议（如HTTP、DNS、SSL/TLS等）及其工作原理。​ ② 操作系统知识：熟悉Linux和Windows操作系统的基本使用，尤其是Linu

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。36

越来越多的网站以及app手机端客户注重安全渗透测试服务,上线前必须要对平台进行全面的预渗透测试找出安全漏洞以及BUG,很多客户找我们SINE安全,做渗透测试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透测试方法流程大体写的全面一点给大家呈现。渗透测试一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎有授权的情况下直接使用 nmap 、masscan 、自己写py脚本等端口扫描

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。网络安全工程师分为：初级、中级、高级，一般岗位：渗透测试、安全运营、安全运维、安全分析、安全监控、安全开发等。深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。Prometheus 是一款开源的、可扩展的、企业级的网络监控和警报工具。深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻

网络安全工程师薪资跨度大，核心遵循 “能力分层 + 场景溢价” 逻辑，一线城市入门 8k 起，专家级年薪破百万，下面按阶段、薪资、影响因素拆解，全是行业真实情况：一、网络安全工程师 4 大职业阶段（附薪资 + 能力 + 职责）：会基础工具（Nmap、Burp Suite 入门）、懂操作系统和网络基础、能做简单日志分析和漏洞扫描。：协助处理安全事件、执行漏洞扫描报告、维护防火墙 / IDS 等设备、

时隔一年多以后再次看本文，依然给我一些启发，尤其是经过一定量的实践以后，发现信息收集真乃漏洞挖掘(渗透测试)的本质，这里再次回顾一下本文，尤其是里面如何评估一个项目(目标)的难度，值得学习与借鉴，对于新手而言，学会寻找"软柿子"很重要!

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。行动

对于渗透测试人员来说掌握绕过各类WAF是一项重要的基本技能而WAF又分云WAF、硬件WAF、软件WAF、代码级WAF，本文针对基于规则类的WAF绕过技巧，这三篇文章希望可以帮助一些萌新学习到一些绕过WAF的姿势。绕过SQL注入规则主要利用WAF规则本身的问题、未考虑到SQL语法变形、及后端数据库SQL语句语法特性。不同的数据库虽然遵守SQL标准，但是通常会加入特有的语法。WAF的防御策略要兼顾各种