网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源，但

rules：审计规则，其中配置了审计系统需要审计的操作auditctl：用户态程序，用于审计规则配置和配置变更kaudit：内核空间程序，根据配置好的审计规则记录发生的事件auditd：用户态程序，通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后，记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安

随着“十四五”规划推行，数据要素概念与意识全面铺开，国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号，《数据安全法》正式生效，数据资产安全进入“有法可依”时代。数据战略上升为国家战略，数据资产成为国家各行各业的核心资产。在数字化时代，数据分类分级成为数据资产管理的重要组成部分。大数据时代，数据呈现多源异构的特点，价值各不相同，企业应根据数据的重要性、价值指数等方面予以区分，便于采取不同

Cross-Site Scripting（跨站脚本攻击）简称XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如Cookie、SessionID 等，进而危害数据安全。XSS 的本质是：恶意代码未经过滤，与网站正常的代码混在一起；浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。而由于直接在用户的终端执行，恶意代

[在这里插入图片描述](https://img-堡垒机：用于在用户登录网站之前设备或服务，使用堡垒机内部用户所有操作将被记录下来，用于日后做审计，安全审计。

Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多Burp工具，这些不同的burp工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。它主要用来做安全性渗透测试，可以实现拦截请求、Burp Spider爬虫、漏洞扫描（付费）等类似Fiddler和Postman但比其更强大的功能。我们在做Web安全测试时也会用到此工具。

Burp Suite 能高效率地与多个工具一起工作，例如：一个中心站点地图是用于汇总收集到的目标应用程序信息，并通过确定的范围来指导单个程序工作。在一个工具处理HTTP 请求和响应时，它可以选择调用其他任意的Burp工具。例如：代理记录的请求可被Intruder 用来构造一个自定义的自动攻击的准则，也可被Repeater 用来手动攻击，也可被Scanner 用来分析漏洞，或者被Spider(网络爬

安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机，如果是Linux的话还好，还有Kali Linux可以用。但是碰上Windows环境就惨了，往往配置虚拟机环境就要好几个小时。一边要维护自定义的虚拟机环境，一边还要时常升级集成的工具套件，花费的时间成本颇高。最近火眼推出了一款面向红队的Commando VM渗透测试套件，有需要的小伙伴可以看一看，免费又好用。这一次火眼推出的标准化工具套件解

最近学习了一个shiro的 Critica级漏洞的验证，利用Padding Oracle Vulnerability破解rememberMe Cookie，达到反序列化漏洞的利用，攻击者无需知道rememberMe的加密密钥。明文分组和填充就是Padding Oracle Attack的根源所在，但是这些需要一个前提，那就是应用程序对异常的处理。当提交的加密后的数据中出现错误的填充信息时，不够安全

发现BucketName字段消失了，原来的NoSuchBucket也变成了NoSuchCustomDomain，说明我们的修改对它造成了影响！无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述成长路线图挂钩的视频教程，完整版的视频已经上传至CSDN官方，朋友们如果需要可以点击这个链接免费领取。这个方向初期比较容易入门一些，掌握一