当前位置：网站首页 » 教程 » 内容详情

web漏洞前沿信息_b 站(2024年12月实时热点)

内容来源：鱼水欢网络所属栏目：教程更新日期：2024-12-02

web漏洞

网络安全学习笔记：Web漏洞扫描与修复 ### 常见漏洞类型及修复方法 SQL注入 𐟐™ 原理：攻击者通过输入恶意SQL语句来操作数据库。检测：尝试输入相关语句，观察是否能够影响数据库。修复：使用参数化查询，避免直接拼接SQL语句。跨站脚本（XSS） 𐟚능ŽŸ理：攻击者在用户浏览器中注入恶意脚本。检测：测试输入框，注入相关命令，观察是否执行。修复：对输入进行HTML转义，启用内容安全策略（CSP）。文件包含 𐟓‚ 原理：攻击者通过加载本地或远程恶意文件。检测：尝试访问..路径或远程文件。修复：验证文件路径，限制用户输入。文件上传漏洞 𐟓䊥ŽŸ理：攻击者通过上传恶意文件执行非法代码。检测：上传伪装成脚本文件（如.php）。修复：限制文件类型，采用白名单验证，存储时使用随机命名。未授权访问 𐟚ꊥŽŸ理：敏感资源缺少权限控制。检测：直接访问敏感URL（如/admin）。修复：实施严格的身份验证和权限检查。常用工具自动化扫描工具 𐟤– Burp Suite：支持漏洞扫描、拦截修改请求。 OWASP ZAP：开源工具，适合基础漏洞扫描。 Acunetix：高效检测SQL注入、XSS等漏洞。手动辅助工具 𐟔犐ostman：测试接口安全。 Fiddler：抓包和调试。漏扫操作步骤确定目标范围 𐟎˜Ž确域名、IP范围，获取授权。避免扫描非授权目标。配置扫描工具 𐟛 ️ 设置扫描策略，选择高优先级漏洞类型（如SQL注入）。提供应用认证凭据，确保深度扫描。执行扫描 𐟚€ 运行工具，对目标应用发送构造请求。监控系统性能，避免因扫描导致服务中断。分析扫描结果 𐟓Š 高风险漏洞优先处理（如SQL注入、文件上传）。手动验证关键漏洞，避免误报。漏洞修复与复测 𐟔犤🮥䍦𜏦𔞥Ž重新扫描，确认已修复。定期执行扫描，保证持续安全性。

零基础也能成为黑客？自学教程来啦！嘿，想成为黑客的小伙伴们！别担心，即使你是零基础，也能通过自学变成黑客大神。下面我来给你分享一下我的自学经验，帮助你快速入门。第一阶段：基础知识储备 𐟓š 网络基础：TCP/IP协议栈、路由原理、IP协议、以太网协议，还有各种网络设备（路由器、交换机、防火墙）。这些是你入门黑客的基础。操作系统基础：Linux（文件系统、权限管理、常用命令、进程管理），Windows（文件系统、注册表、服务管理、常用命令）。掌握这些能让你更好地理解系统原理。编程语言基础：Python（基本语法、控制结构、函数、常用模块），C/C++（基本数据类型、运算符、控制结构、函数、数组、指针、结构体），Java。这些语言是编程的基础，掌握它们能让你更好地理解代码逻辑。第二阶段：CTF专项知识学习 𐟕𕯸‍♂️ 密码学：古典密码学（凯撒密码、维吉尼亚密码等），现代密码学（对称加密算法如AES、DES，非对称加密算法如RSA、ECC，哈希函数如MD5、SHA）。这些是破解密码的关键。逆向工程：汇编语言基础（x86、x64架构指令集），逆向分析工具（IDAPro、Ghidra）。这些能帮你更好地理解二进制代码。漏洞挖掘与利用：Web漏洞（SQL注入、XSS、CSRF），二进制漏洞（栈溢出、堆溢出）。这些是实战中常用的技巧。第三阶段：实战练习 𐟒ꊥœ觺🥹𓥏𐥈𗩢˜：CTFHub、BUUCTF，各类题型（Web入门、密码学入门、逆向入门等）。这些能帮你熟悉各种题型。参加小型比赛：获取比赛信息，团队协作。这些能帮你积累经验。第四阶段：团队协作与交流 𐟤 组建或加入团队：成员招募标准，团队目标，分工协作。这些能帮你更好地与他人合作。参与社区交流：FreeBuf、看雪论坛，了解行业动态和社区资源。这些能帮你扩大视野。希望这篇教程能帮到你，祝你早日成为黑客大神！𐟚€

年假学黑客技术，惊艳前女友！ 𐟙‡‍♂️网络安全其实可以细分为很多方向，比如网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等等。今天，我就来聊聊网络渗透，也就是大家熟知的“黑客”技术。其他方向也很有趣，但学习路线稍有不同，有机会再细说。初级入门：从零开始网络安全理论知识（2天）了解行业背景和前景，确定自己的发展方向。学习网络安全相关的法律法规。掌握网络安全运营的概念。等保简介、等保规定、流程和规范（非常重要）。渗透测试基础（一周）渗透测试的流程、分类、标准。信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking。漏洞扫描、漏洞利用、原理、利用方法、工具（MSF）、绕过IDS和反病毒侦察。主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等。操作系统基础（一周） Windows系统常见功能和命令。 Kali Linux系统常见功能和命令。操作系统安全（系统入侵排查/系统加固基础）。计算机网络基础（一周）计算机网络基础、协议和架构。网络通信原理、OSI模型、数据转发流程。常见协议解析（HTTP、TCP/IP、ARP等）。网络攻击技术与网络安全防御技术。 Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现。数据库基础操作（2天）数据库基础。 SQL语言基础。数据库安全加固。 Web渗透（1周） HTML、CSS和JavaScript简介。 OWASP Top10。 Web漏洞扫描工具。 Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）。希望这篇指南能帮你入门黑客技术，惊艳前女友！𐟘Ž

在上海没经历过合租，是一种怎样的体验？最近，我的一个朋友因为合租室友违约，被房东要求支付违约金。经过一番商讨后，我决定分享一下我40平米一居室的体验。虽然空间不大，但从未经历过与室友在作息、抢卫生间等方面的磨合。先来介绍一下我的情况吧：家庭背景：我的家庭条件一般，毕业后从未向家里要过钱。搬家经历：搬过三次房，但一直都是整租。目前租着一套租金5000元的一居室。职业选择：我认为能够这样独立生活，主要得益于我所学信息安全专业的高薪水。如果你也对这个专业感兴趣，或者正在读这个专业但不知道如何学习，以下是我的一些心得，希望对你有帮助：从兴趣入手 𐟎𛻤𝕤𚋦ƒ…从兴趣入手都更容易。如果你是刚入信息安全这个专业的学弟学妹，可以先尝试做一些简单的事情来培养兴趣：尝试自己安装系统搭建漏洞靶场和环境看一些CTF历史题目深入了解行业 𐟓š 关注信息安全领域的订阅号，加入行业或技术论坛以及社群，获取行业信息和经验知识。比如GitHub上有很多大佬公开自己的安全项目。善用学习资源 𐟓– 利用平台如i春秋、Freebuf、安全客等，寻找有关信息安全的课程，建立更全的知识体系。书籍推荐： web漏洞可以阅读《白帽子讲web安全》域渗透可以阅读《域渗透攻防指南》二进制方向可以阅读《windows核心编程》积极寻求实习机会 𐟒𜊥œ襤祭榜Ÿ间一定要积极找实习，尽量选择网络安全相关的公司。这个行业还是很看重你的实践经历的，实习期间尽量多参与一些有用的项目，积累经验。探索并确定发展方向 𐟧튤🡦葉‰全可以分为多个方向，如web方向、大模型攻防、车联网攻防、逆向、PWN（缓冲区溢出）、移动端攻防（安卓/IOS/鸿蒙）、云原生攻防等。大多数人都是从web安全入门，然后再找一个或多个感兴趣的方向深入。如果你还有其他问题，欢迎提出，我会尽力解答。

渗透测试工程师必备工具清单（下）渗透测试工程师，也被称为白帽黑客，是网络安全领域不可或缺的一环。他们利用各种工具来测试系统的安全性，确保没有漏洞可以被黑客利用。接下来，我将介绍一些渗透测试工程师常用的工具，帮助你更好地了解这个职业。 Hashcat𐟍𐊈ashcat 被誉为“世界上最快、最先进的密码恢复实用程序”，这并不夸张。它是一款与John the Ripper齐名的密码破解工具，专为破解哈希密码而设计。Hashcat 支持多种密码攻击方式，包括字典攻击和掩码攻击，是破解密码的首选工具。 Hydra𐟍ƒ Hydra 是John the Ripper的同类工具，主要用于在线破解密码，如SSH、FTP、IMAP、IRC、RDP等登录密码。通过输入单词列表，Hydra 可以快速尝试各种密码组合，帮助你找到正确的密码。 Burp Suite⭐️ Burp Suite 是一款专业的Web漏洞扫描程序，虽然价格较高，但功能强大。它允许用户对网站进行全面的安全检查，发现潜在的漏洞和攻击面。Burp Suite 的功能非常全面，适合专业人员使用。 Zed Attack Proxy𐟙Š 如果你没有购买Burp Suite，那么Zed Attack Proxy（ZAP）是一个不错的替代选择。ZAP 是一款完全免费的工具，通过在浏览器和测试网站之间进行中间人攻击，拦截并检查流量，帮助用户发现安全问题。 sqlmap𐟍Š SQL注入是网络安全中的常见问题，而sqlmap 是一款非常有效的SQL注入工具。它能够自动检测并利用SQL注入漏洞，接管数据库服务器。sqlmap 是开源的，适合所有安全研究人员使用。 Aircrack-ng𐟌𙊥悦žœ你想检测WiFi的安全性，Aircrack-ng 是一个不错的选择。这款免费的WiFi安全审核工具可以检测WiFi网络的脆弱性，帮助你发现潜在的安全问题。用户还可以购买Pringles“天线”来增强工具的效果。这些工具只是渗透测试工程师日常工作中的一部分，每个工具都有其独特的用途和价值。通过合理使用这些工具，可以大大提高系统的安全性，防止潜在的攻击。

CTF新手到高手：白帽黑客的进阶之路 𐟎TF大赛：白帽黑客的战场 CTF（Capture The Flag）是一种网络安全比赛，参赛者通过解决各种安全相关的挑战来得分。比赛内容通常包括逆向工程、密码学、网络攻防、Web漏洞利用等领域。 Jeopardy：解答不同领域的题目积分。 Attack-Defense：攻击对手并防守自己的服务器获取分数。 Mixed：结合了Jeopardy和Attack-Defense的元素。参加CTF的好处：技能提升：学习新技术和工具。实战经验：在安全的环境下进行攻防演练。职业发展：增加个人职业发展机会。社区交流：与同好者建立联系。 𐟚€ 从新手到高手：白帽黑客的进阶之路第一阶段：基础入门-红队网络原理：了解TCP/IP、DNS和HTTP/HTTPS等基本网络协议。操作系统基础：熟悉Windows和Linux操作系统的使用和安全设置。编程基础：学习至少一种编程语言，如Python或JavaScript。渗透测试：了解渗透测试流程，包括信息收集、漏洞扫描、利用和维持访问。学习使用工具，如Metasploit、Nmap和Burp Suite等。法律知识：了解网络安全的法律法规，确保合法操作。第二阶段：技术进阶-红队弱口令与口令爆破：弱口令：指那些简单、常见或易于猜测的密码，如“123456”或“password”。红队成员需要能识别出使用弱口令的目标，因为这些通常是进入系统的最简单途径。口令爆破：利用自动化工具尝试大量密码组合以破解账号。这要求熟练使用如Hydra、John the Ripper等工具进行密码破解尝试。 𐟔砃TF Web题型解题技巧工具集：常用套路总结。直接查看网页源码，即可找到flag。查看http请求/响应，不常见类型的请求发送HTTP头相关的题目。修改请求头、伪造Cookie。流量分析：日志审计。 Webshell：源码泄漏，如vim源码泄漏（线上CTF常见）。恢复文件vimrindex.php，备份文件泄漏，Git源码泄露。编码和加解密，各类编码和加密，如windows特性、短文件名等。 PHP弱类型，PHP伪协议。 𐟐 绕过WAF和Python爬虫信息处理 PHP代码审计。数组返回NULL绕过，正则表达式相关，如ereg正则%00截断。单引号绕过preg_match（正则匹配）。命令执行漏洞，XSS题目，绕过WAF，长度限制，双写等价替代，URL编码绕过，Linux命令使用反斜杠绕过，URL二次解码绕过，数组绕过，上传绕过。 SQL注入，使用sqmap进行爆破。 𐟒ᠨ𕄦𚐥ˆ†享在学习过程中，资源的重要性不言而喻。这里有一些整理好的资源，包括视频教程、电子书和学习笔记全套，可以无偿分享给有需要的朋友。赠人玫瑰，手留余香，希望这些资源能帮助你走上白帽黑客之路。

AWVS：网站安全漏洞的守护神 𐟛᯸ AWVS（Acunetix Web Vulnerability Scanner）是一款专为网站和应用安全设计的漏洞扫描工具。它利用网络爬虫技术来测试网站的安全性，并能够检测到各种常见的Web应用攻击，如跨站脚本攻击（XSS）和SQL注入等。统计数据显示，大约75%的互联网攻击目标是基于Web的应用程序，因此定期使用AWVS进行安全检查显得尤为重要。 AWVS的主要特点包括：自动化扫描：能够自动检测和修复超过7000个Web漏洞，包括零日漏洞。高准确性：减少安全专业人员手动重新测试的负担，扫描结果中提取的有效载荷可作为发现可被利用的证据。易于集成：可以与CI/CD、Issue Tracker和协作平台集成，实现软件开发生命周期中的测试和修复自动化。安装AWVS的步骤大致如下（以Windows系统为例）：解压安装文件。运行安装程序并按照提示完成安装。安装完成后，进行一些配置，如输入管理员账号和密码。选择是否允许远程访问Acunetix。完成安装并启动服务。此外，AWVS也支持在Linux系统（如Kali Linux）上的安装。关于更详细的安装和激活教程，可以参考相关文章，这些文章提供了从零基础到精通的详细指导。同时，Acunetix的官方网站也提供了详细的产品信息和购买选项。

Web安全路线，从零到专家！ 1. HTTP基础 𐟌 首先，你得搞清楚Web到底是什么。HTTP是Web的基础，了解了HTTP，你就能明白安全术语中的“输入输出”。黑客通过输入提交“特殊数据”，这些数据在数据流的每个层处理。如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你需要弄明白以下几点： HTTP/HTTPS的特点和工作流程 HTTP协议（请求篇、响应篇） HTML和Javascript的基础知识 Get和Post请求的区别 Cookie和Session是什么专业术语 𐟔 了解一些常见的专业术语，比如： Webshell 菜刀 0day 黑客工具 𐟛 ️ 熟悉一些渗透测试的安全工具，掌握这些工具能大大提高你的工作效率： Vmware安装 Windows和Kali虚拟机安装 Phpstudy、LAMP环境搭建漏洞靶场 Java和Python环境安装 XSS攻击 𐟒‰ 反射型XSS：可用于钓鱼、引流、配合其他漏洞，如CSRF等。 SQL注入 𐟒劤𚆨磓QL注入的原理和对数据安全的影响，以及如何进行SQL注入： SQL注入漏洞原理 SQL注入漏洞对数据安全的影响 SQL注入漏洞的方法文件上传漏洞 𐟓䊤𚆨磥悤𝕧𛕨🇥ˆ𗧫念€测（JS检测）、服务器检测（目录路径检测）和黑名单检测：客户端检测绕过（JS检测）服务器检测绕过（目录路径检测）黑名单检测文件包含漏洞 𐟓‚ 了解PHP函数如何产生文件包含漏洞，以及本地包含与远程包含的区别： php函数是如何产生文件包含漏洞的本地包含与远程包含的区别利用文件包含时的一些技巧，如截断、伪URL、超长字符截断等。命令执行漏洞 𐟖寸了解这些函数的作用，以及如何造成代码执行漏洞：命令执行漏洞的相关函数如何造成代码执行漏洞 CSRF攻击 𐟚€ 了解CSRF的原理和如何防御：为什么会造成CSRF GET型与POST型CSRF的区别如何使用Token防止CSRF 逻辑漏洞 𐟧 了解各种逻辑漏洞，如条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞等。 XEE（XML外部实体注入） 𐟌 当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。 SSRF 𐟌 了解SSRF的原理和危害： SSRF的原理 SSRF能做什么？在Web渗透中，无法访问目标的内部网络时，可以利用外网存在SSRF的Web站点获取内部网络信息。这条学习路线涵盖了从基础到高级的Web安全知识，希望你能一步步成为Web安全专家！

网络安全自学指南：从零到高手的必经之路嘿，网络安全爱好者们！如果你打算自学网络安全，那么你来对地方了。作为一个在这个领域摸爬滚打多年的老手，我整理了一份从零到高手的自学指南，绝对干货满满，赶紧收藏吧！第一阶段：打好基础 𐟛 ️ 网络安全行业与法规：首先，了解一下网络安全的基本法规和行业标准，搞清楚哪些行为是合法的，哪些是违法的。 Linux操作系统：掌握Linux操作系统是基础中的基础。从安装到配置，再到常用的命令行操作，都得搞定。计算机网络基础：网络协议、IP地址、端口号……这些都得搞清楚，不然你怎么可能成为黑客呢？ HTML基础：虽然听起来有点搞笑，但HTML是网络的基础，了解一下总没错。 PHP零基础：如果你是零基础，从PHP开始是个不错的选择，上手快，还能学到不少东西。 Mysql基础：数据库是存储信息的关键，Mysql是其中的佼佼者，了解一下它的基本操作。图解Python语法：Python语法相对简单，但功能强大，花点时间搞懂它。第二阶段：初级渗透 𐟐 信息收集：收集目标信息是渗透测试的第一步，各种公开信息、漏洞信息都得搞清楚。 WEB安全：熟悉各种WEB安全漏洞，比如SQL注入、XSS攻击等，并学会如何防范。漏洞扫描：使用各种漏洞扫描工具，找出目标系统的漏洞。 APP渗透：了解各种APP的渗透测试方法，包括安卓和iOS。透工具：掌握各种渗透测试工具，比如Nmap、Metasploit等。漏洞复现：复现已知漏洞，熟悉漏洞的利用方式。实战挖洞：找些实战项目，动手挖洞，积累经验。第三阶段：高级渗透 𐟚€ 透框架：了解各种渗透测试框架，比如Metasploit，熟悉它的使用方法。权限提升：学会如何提升权限，获取更多的系统信息。权限维持：保持权限提升后的状态，不被系统发现。隧道技术：掌握隧道技术，用于内网渗透。内网透：渗透内网，获取更多信息。溯源取证：学会如何溯源取证，找出攻击源。无线安全：了解无线安全的漏洞和攻击方式。 DDOS攻防：熟悉DDOS攻击的原理和防范方法。第四阶段：安全管理 𐟛᯸ 等级保护：了解等级保护制度，保障重要信息的安全。风险评估：进行风险评估，找出系统中的安全隐患。应急响应：学会如何应对突发事件，及时处理安全问题。数据安全：保障数据的安全，防止数据泄露。第五阶段：深度学习 𐟧 二进制逆向：掌握二进制逆向技术，了解C语言、C++、汇编语言。安卓逆向：熟悉安卓系统的逆向技术。 Windows逆向：掌握Windows系统的逆向技术。计算机网络：深入学习计算机网络，了解各种协议和原理。 Linux基础：深入掌握Linux操作系统，熟悉各种命令行操作。 HTML基础：深入学习HTML，了解各种网页技术。数据库基础：深入掌握数据库技术，了解各种数据库操作。编程语言：深入学习各种编程语言，包括C语言、C++、Java等。信息收集：深入学习信息收集技术，掌握各种信息获取方法。 Web安全：深入学习WEB安全，了解各种攻击方式和防范方法。黑客工具：掌握各种黑客工具，熟悉它们的使用方法。实战挖洞：找些实战项目，动手挖洞，积累经验。漏洞复现：复现已知漏洞，熟悉漏洞的利用方式。权限提升：学会如何提升权限，获取更多的系统信息。权限维持：保持权限提升后的状态，不被系统发现。隧道技术：掌握隧道技术，用于内网渗透。内网透：渗透内网，获取更多信息。溯源取证：学会如何溯源取证，找出攻击源。无线安全：了解无线安全的漏洞和攻击方式。 DDOS：熟悉DDOS攻击的原理和防范方法。希望这份指南能帮到你，网络安全是一个充满挑战的领域，但只要你坚持学习，不断实践，你一定能成为高手！加油吧！𐟒ꀀ

渗透测试工程师学习路线，初学者必看！ 𐟔壀成都汇智知了堂】 1⃣课程：网络安全 | JAVA全栈 | 新媒体电商运营 | 安全测试 2⃣授课地址：成都、线上班（不限地区） 3⃣面向对象：在校学生、应届生、转行人士 4⃣机构优势：14天免费试学、企业内推就业第一部分：编程基础网络安全相关法律法规：网络安全与法律法规紧密相关，学习网络安全的人必须掌握相关法律法规。 Linux操作系统：Linux是渗透测试中常用的操作系统，掌握Linux的基本命令和熟练使用Linux操作系统是进行渗透测试的基础。计算机网络：计算机网络是渗透测试的重要基础，需要掌握网络协议、网络拓扑结构、网络设备等相关知识。 HTML基础课程：HTML是渗透测试中常见的语言，了解和掌握HTML基础知识有助于更好地理解和分析网站。 PHP基础课程：PHP是渗透测试中重要的高级语言，熟练掌握PHP基础语法和简单的Web开发是进行渗透测试的必要基础。 MySQL基础课程：MySQL是常用的数据库之一，学习MySQL基础操作，能够熟练掌握SQL语句，进行数据查询和分析。第二部分：WEB渗透协议：渗透测试工作中，首先需要掌握各种常见的协议，如HTTP、HTTPS、FTP等。虚拟机：学习渗透测试的过程中，需要用到一些虚拟机软件，如VMware、VirtualBox等，以便创建测试环境。操作系统：虚拟机环境中需要安装一些操作系统，如Windows、Linux等，在WEB渗透过程中需要对这些操作系统有一定的掌握。信息收集：在进行渗透测试工作前，首先需要收集目标网站的相关信息，包括IP地址、网站架构机制、网页等。 Web漏洞攻击与防范（重点）：Web漏洞攻击是渗透测试的核心，需要掌握各种Web漏洞的攻击与防范，如SQL注入、XSS、CSRF等。组件漏洞攻击与防范：组件漏洞攻击主要是指攻击常见的一些组件漏洞，如Java、Wordpress、Apache等。网络协议漏洞攻击与防范：网络协议漏洞攻击与防范是指攻击常见的一些网络协议漏洞，如DNS注入、FTP命令注入、SMTP命令注入等。流程/报告：在渗透测试完毕后，需要制作一份详细的测试报告，包含目标网站的漏洞情况、攻击过程和防范建议等。第三部分：内网渗透 Python：Python是渗透测试中常用的编程语言，需要熟练掌握Python语法，并能够编写相关的脚本。代码审计：代码审计是指对WEB应用程序的源代码进行分析，发现存在的漏洞。渗透测试神器：渗透测试神器是指渗透测试中常用的一些工具，如Metasploit、Nessus、OpenVAS等。内网渗透：内网渗透是指针对目标网络内的主机进行攻击，需要掌握内网渗透的相关技术和方法。 WAF：WAF是Web应用程序防火墙的缩写，学习WAF原理和防范至关重要。项目：通过实际项目的操作，将所学知识转化为实际工作经验。第四部分：安全防护基线检查及安全加固：进行基础安全检查，制定相应的安全措施，对系统进行安全加固。安全事件应急响应：发生安全事件时，应具备相应的应急响应处理能力，能够有效的应对安全事件。等保2.0：等保2.0是指信息系统安全等级保护的标准，需要了解等保2.0的原理和相关标准。第五部分：其他建议渗透测试属于网络安全行业对技术要求相对较高的岗位，薪资也很可观，但难度也较高。如果想要零基础转行网络安全，渗透测试不建议作为就业的第一选择。零基础小白可以选择其他难度相对较低的岗位，比如安全测试、安全服务、等保测评等岗位。