- 博客(8)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 sql注入与sqlmap工具使用
SQL的注入类型:Boolean-based blind SQL injection(布尔型注入)Error-based SQL injection(报错型注入)UNION query SQL injection(可联合查询注入)Stacked queries SQL injection(可多语句查询注入)Time-based blind SQL injection(基于时间延迟注入)
2016-10-28 11:18:35
6285
原创 Hydra工具解析
如果是Debian和Ubuntu发行版,源里自带hydra,直接用apt-get在线安装:sudo apt-get install libssl-dev libssh-dev libidn11-dev libpcre3-dev libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev firebird2.1-dev libncp-dev h
2016-10-21 21:22:15
1444
原创 PCI DSS 不正确的访问控制
6.5.8 不正确的访问控制(不安全的直接对象引用,未能限制URL访问、目录遍历和未能限制用户的功能访问) 不安全的直接对象引用意指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。例如在URL中引用表单号”www.o
2016-10-20 11:17:20
628
转载 缓冲区溢出
缓冲区溢出,简单的说就是计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据时超过了缓冲区本身的容量,而导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。造成缓冲
2016-10-20 11:14:54
917
转载 CSRF跨域请求伪造
CSRF的全称是“跨站请求伪造”( Cross-site request forgery),而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。但是,它们的攻击类型是不同维度上的分类。CSRF顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session
2016-10-18 18:30:52
2009
转载 XSS跨脚本攻击原理
XSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading StyleSheets,CSS)区别开,以免混淆。XSS 是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。这些代码包括HTML代码和客户端脚本。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击
2016-10-14 15:19:53
4307
原创 openssl生成证书
1.安装openssl 之后在/usr/lib/ssl目录下(ubuntu系统,用whereis查下ssl目录即可)下找到openssl.cnf,拷贝到工作目录下。2.工作目录下新建demoCA文件夹,文件夹中新建文件index.txt和serial,再创建一个newcerts的文件夹。在serial里面添加字符01。mkdir demoCAcd demoCAtouch ./{se
2016-10-13 12:27:17
737
原创 安全协议IPSec、SSL、SSH
IPSec(网络层): IPSec在数据包三层头部(IP头部)和四层头部之间插入一个预定义的IPSec头部,对OSI上层协议数据提供保护。IPSec没有定义具体加密算法和散列函数,仅提供一种框架结构。有ESP(IP协议50)和AH(IP协议51)两种封装协议。 ESP为数据提供加密、完整性和源认证三个方面的保护,能够抵御重放攻击。不对原始IP头部进行
2016-10-09 18:23:01
5909
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人