web安全理论
各种关于web安全方面的理论指导与研究
Alexz__
我不假思索地上路,因为出发的感觉太好了。世界突然充满了可能性。
展开
-
通过“查找进程运行目录”面试题的背后对Linux系统深入的理解(ps,netstat,/porc目录,/目录系统)
1,ps命令简析2,netstat命令简析3,/proc 目录简析4,/ 目录系统简析5,如何查找进程的运行目录壹 ps命令简析Linux中的ps命令是ProcessStatus的缩写。ps命令用来列出系统中当前运行的那些进程。ps命令列出的是当前那些进程的快照,就是执行ps命令的那个时刻的那些进程,如果想要动态的显示进程信息,就可以使用top命令。...原创 2020-03-29 02:24:50 · 379 阅读 · 0 评论 -
渗透测试面经之——服务器运维、网络基础、安全行业
服务器系统运维相关 DVWA是如何搭建的? phpstudy,lamp,docker IIS服务器应该做哪些方面的保护措施 保持Windows升级 使用IIS防范工具 移除缺省的Web站点 如果你并不需要FTP和SMTP服务,请卸载它们 有规则地检查你的管理员组和服务 严格控制...原创 2020-03-23 11:28:08 · 2525 阅读 · 2 评论 -
渗透测试面经之——渗透测试与漏洞分析
渗透测试与漏洞分析 owasp top10漏洞 SQL注入 失效的身份认证和会话管理 跨站脚本攻击 XSS 直接引用不安全的对象 安全配置错误 敏感信息泄露 缺少功能级的访问控制 跨站请求伪造 CSRF 使用含有已知漏洞的组件 未验证...原创 2020-03-22 23:51:50 · 5332 阅读 · 2 评论 -
渗透测试常用命令
转载于国外大佬https://jivoi.github.io/2015/07/01/pentest-tips-and-tricks/#get-pids-of-process转载 2020-03-20 16:07:52 · 565 阅读 · 0 评论 -
反弹shell原理简析与病毒脚本案例
1,Linux中文件描述符2,Linux输入输出重定向3,反弹shell作用与目的4,基础反弹shell语句的本质5,反弹shell多种方式(命令行,php,python,java,nc)壹 Linux中的文件描述符首先我们需要回顾一下Linux系统的一个特点:一切皆文件所有不同种类的类型都被抽象成了文件;如:普通文件、目录、字符设备、块设备、套接字等当一...原创 2020-03-20 16:04:53 · 835 阅读 · 1 评论 -
探索TCP/IP协议栈
深入浅出TCP/IP协议栈TCP/IP 协议栈是一系列网络协议的总和,是构成网络通信的核心骨架,它定义了电子设备如何连入因特网,以及数据如何在它们之间进行传输。TCP/IP 协议采用4层结构,分别是应用层、传输层、网络层和链路层,每一层都呼叫它的下一层所提供的协议来完成自己的需求。由于我们大部分时间都工作在应用层,下层的事情不用我们操心;其次网络协议体系本身就很复杂庞大,入门门槛高,因此很难搞...原创 2020-02-28 17:00:19 · 356 阅读 · 1 评论 -
HTTP状态码速查
状态码 状态码英文名称 中文描述 1开头的状态码 100 Continue 继续。客户端应继续其请求 101 Switching Protocols 切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议,例如,切换到HTTP的新版本协议 2开头的状态码 200 OK 请求成功。一般用于GET与POST请求 201...转载 2020-01-15 15:14:38 · 433 阅读 · 0 评论 -
安全加固总览 思维导图
原创 2019-11-04 10:27:03 · 436 阅读 · 0 评论 -
关于webshell基本概念
什么是webshell?单从字面意思上来说,就是web网页的一个shell脚本程序;起初的webshell是用各种语言(asp,jsp,php等)写的一个管理控制Web服务器的应用程序脚本,可以再web前端后端执行特殊命令,后来的webshell渐渐变味,被黑客利用用作恶意用途,大多是植入到网站后台的“后门”文件,通过webshell可以越权完成许多的恶意操作。webshell...原创 2019-10-08 21:45:59 · 1330 阅读 · 0 评论 -
浅析HTTP报文结构组成
前段时间研究了几天sql注入,而且经常用burp抓包分析包,于是天天和http源报文打交道,初看一大堆英文字符乱七八糟的内心就十分的恐惧.......为了打消这种念头特地花了点时间来研究一下http报文到底是由什么东西组成的1,什么是http报文2,是由哪几部分组成3,各部分含义壹什么是HTTP报文?百度百科告诉我:HTTP是一个简单的请求-响应协议,...原创 2019-09-26 09:58:03 · 406 阅读 · 1 评论 -
SQL注入绕过基本防御措施(姿势)小结
前面的浅析sql注入基础里面基本上吧最最基本的sql注入原理说了一下,爆库名啊表名啊字段啊还有盲注的基本原理,布尔型盲注,时间型盲注等等都在这儿有详细的提到https://blog.csdn.net/Alexz__/article/details/100712648随着深入练习靶机sqli-labs-master也慢慢发现了sql注入许多不同的全新姿势一个网站要是没有任何防御措施...原创 2019-09-24 22:20:51 · 572 阅读 · 1 评论