- 博客(12)
- 收藏
- 关注
RSS订阅原创 【小迪安全day14】WEB漏洞——SQL注入之类型及提交注入
在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。
2022-12-06 18:40:34
561
原创 【小迪安全day13】WEB漏洞——SQL注入之MYSQL注入
MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。
2022-12-05 23:39:07
1325
原创 【小迪安全day12】WEB 漏洞——SQL 注入
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
2022-12-04 22:22:16
887
原创 【小迪安全day11】WEB漏洞——必懂知识点
讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。右侧的漏洞是重点:CTF,SRC,红蓝对抗,实战等。每个漏洞的危害情况都是不同的,得到的东西也不同,影响范围也不一样;例如:SQL注入直接获取到关于网站对应数据库里面的权限,将会影响到网站和服务器数据库,获得权限;高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行(直接影响到网站权限,获得数据或者网
2022-12-03 18:15:05
852
原创 【小迪安全day09】信息收集——APP 及其他资产
在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
2022-11-29 20:06:57
294
原创 【小迪安全day08】信息收集-架构,搭建,防护应用WAF
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。分为软件和硬件,在安全公司单位购买的防火墙都是硬件,个人网站和小企业搭建都是软件。
2022-11-29 14:58:32
653
原创 【小迪安全day07】信息收集——CDN绕过
CDN 的全称是 Content Delivery Network,即内容分发网络。CDN 是构建在现有网络基础之上的智能,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过程中,若目标存在 CDN 服务,将会影响到后续的安全测试过程(渗透到的是虚拟网络)。
2022-11-28 15:43:46
579
原创 【小迪安全day06】加密编码算法
在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展
2022-11-27 23:29:49
855
原创 【小迪安全day05】系统及数据库
除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。
2022-11-26 22:01:50
364
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人