anquanlong-CSDN博客

原创 WEB安全基础入门与代码审计视频课程

共计39节课，分为2部分讲解 WEB安全基础入门与代码审计。视频课程学习地址WEB安全基础入门与代码审计视频课程第一章安全基础1、基础篇-linux快速入门2、基础篇-mysql快速入门3、基础篇-windows dos命令及ad域控4、基础篇-网络基础上(路由器基本配置&ip地址规划&交换机基础)5、基础篇-网络基础下(路由基础&动态路由&A...

2020-07-12 05:51:05 403

原创安全龙网络安全攻防实验室

安全龙网络安全攻防实验室，模拟浏览器窗口嵌入式结合攻防实验教程与攻防实验靶场，同时在Web控制面板实现了多个线上HackingTools功能：Proxy拦截请求、hackbar、Code编写与调试；用户无需VPN授权访问、几秒即可在线上启动攻击与防御实验室环境，真正有场景去落实：让攻击与防御用代码来说话！另外还支持攻防实验学习、CTF挑战、红蓝对抗攻防演练等…安全龙攻防实验室，以基础...

2020-07-12 05:50:25 957

原创磐石计划-Web安全漏洞与渗透测试在线限时免费学习

磐石计划-Web安全漏洞与渗透测试在线免费限时免费学习地址：https://www.anquanlong.com/course_detail?type=0&vid=35课程目录截图

2020-07-11 23:51:10 772

原创 SSRF攻击利用漏洞进行SSRF内网提权攻击实验参考

SSRF攻击是建立在文件包含、远程执行等高危漏洞，来进行内网的权限提升攻击，通过SSRF来提升攻击的权限并将权限达到最大化；本实验通过2个实验步骤介绍SSRF，并通过文件包含漏洞进行，fsockopen端口扫描与利用中间件redis提升权限写入可执行脚本文件的SSRF内网攻击EXP，用这2个实战来让大家熟悉SSRF攻击与利用。EXPredis.txt 漏洞利用redis进行ssrf权限提...

2019-11-04 18:21:39 1140

安全龙攻防实验室1.2 全新功能正式上线，将1.0版本的一个实验一个环境产品概念，升级为一个实验多个环境产品概念，并支持多个实验视频、评论互动、挑战排名、游客访问实验详情等功能；本次大版本更新从前端到后端都做了整体的调整和代码功能重写，同时我们优化了PC端、手机端、微信端的资源同步访问；安全龙攻防实验室在Web控制面板实现了多个线上HackTools功能：Proxy拦截请求、hackbar、C...

2019-10-25 15:30:22 377

原创线上黑客攻防 SQL注入漏洞靶场SQLi-Labs通关教程

SQLi-Labs是一个专业的SQL注入练习平台,该平台包含了以下在测试场景中常见的注入类型；环境共有65个SQL注入漏洞。其中9个环境，可通过本教程，按步骤实验，复现学习该sql注入漏洞；本攻防实验地址https://www.anquanlong.com/lab_introduce?lab_id=3实验目录0x1 sqli-labs环境介绍0x2 sql注入基础知识Less-1错...

2019-10-25 15:20:16 4524

原创线上黑客攻防 ThinkPHP5.x 远程函数执行与sql注入

本实验环境用到的是Thinkphp 5.0.15、php5.6版本存在同一个版本2个漏洞：远程函数执行CNNVD-201812-617与sql注入漏洞高危：远程函数执行，此漏洞可直接getshell影响范围：ThinkPHP 5.0 - 5.1版本。中危：sql注入影响范围：ThinkPHP 5.0.15以下版本2018年12月9日 ThinkPHP官方博客发布了安全版本更新，Thin...

2019-10-25 11:36:38 391

原创线上黑客攻防 XSS漏洞攻击与防御最佳安全开发

富文本XSS漏洞应该是最难的防御的，如果没有用白名单过滤HTML标签机制，简直对它束手无策，但通过本实验，将迎刃而解富文本XSS漏洞防御难题；我们将用安全开发的最佳攻防实践思想，通过攻击与防御，深入分析漏洞并防御XSS漏洞！XSS漏洞攻击与防御最佳安全实践~一起来跟着本实验复现漏洞，并写代码修复漏洞吧！XSS实验导语通过本实验进行深度安全开发实践；我们提取了本实验的XSS防御核心策略，在T...

2019-10-25 11:27:07 348

原创线上黑客攻防实践TP5框架XSS攻防最佳安全指南

富文本XSS漏洞应该是最难的防御的，如果没有用白名单过滤HTML标签机制，简直对它束手无策，但通过本实验，将迎刃而解富文本XSS漏洞防御难题；本实验通过我们的“XSS漏洞攻击与防御最佳安全开发”实验，进行深度安全实践；在ThinkPHP5框架实现纯文本、富文本便签功能的XSS攻击与防御实验环境。同时实验在攻击教程环节，我们引入HTML事件xss攻击、接口sgin签名绕过xss攻击新颖的攻击手法...

2019-10-25 11:21:41 404

原创黑客攻防通用0元支付逻辑漏洞安全参考

本实验以攻击促进防御思想，通过对订单信息中的商品价格以及商品数量进行任意修改，从而形成0元支付逻辑漏洞，实验还展示了对漏洞代码的最佳安全修复方案。通过本实验进行深度进行0元支付逻辑漏洞攻击与防御的实验；我们提取了本实验的防御0元支付逻辑漏洞攻击安全策略，进行深度安全实践，在ThinkPHP5框架有真实场景实现0元支付逻辑漏洞攻击与防御！已实践的实验：TP5实践0元支付逻辑漏洞安全参考本实...

2019-10-25 11:18:54 758

原创黑客攻防 TP5实践0元支付逻辑漏洞安全参考

本实验通过我们已经推出的“通用0元支付逻辑漏洞安全参考”，进行深度安全实践，在ThinkPHP5框架有真实场景实现0元支付逻辑漏洞安全参考！本实验仅做漏洞的攻击复现与漏洞修复；更多细致的安全实践、漏洞分享、漏洞防御分享和更多扎实的干货分享；请打开我们已经推出的“通用0元支付逻辑漏洞安全参考”进行深度学习！安全龙俩个0元支付逻辑漏洞安全参考攻防实验不一样地方有：1、代码上更优雅；2、基于TP5...

2019-10-25 11:15:30 387

原创线上黑客攻防基于ThinkPhp5开发横向越权逻辑漏洞安全指南

什么是纵向越权逻辑漏洞？纵向越权也是垂直越权指的是一个低级别攻击者尝试访问高级别用户的资源，例如本实验：普通用户获取管理员用户权限进行新增/删除便签操作。越权漏洞是Web应用程序中一种常见的安全漏洞，也就是逻辑漏洞；它的威胁在于一个账户即可控制全站用户数据操作，越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据没有做权限的判断。越权逻辑漏洞利用原理：通过利用以通过...

2019-10-25 11:12:32 428

原创线上攻防实验通用API接口签名加密通讯安全参考

通过本实验进行深度API接口签名加密通讯安全开发实践；我们提取了本实验的API接口签名加密通讯核心安全策略，进行深度安全实践，在ThinkPHP5框架有真实场景实现API接口签名加密通讯！已实践的实验TP5框架接口签名加密通讯安全指南本攻防实验地址https://www.anquanlong.com/lab_introduce?lab_id=180x1 实验说明类似安全龙主站的API接...

2019-10-25 10:22:37 335

原创线上攻防实验 TP5框架接口签名加密通讯安全指南

本实验通过我们之前推出的“通用API接口签名加密通讯安全指南”，进行深度安全实践，在ThinkPHP5框架有真实场景实现API接口签名加密通讯！安全龙俩个API接口签名加密通讯攻防实验不一样地方有：1、代码上更优雅；2、基于TP5上的实践；3、防御思路更清晰;4、ThinkPHP5标准MVC开发风格。同时，也说明我们出品的“通用API接口签名加密通讯安全指南”，可以用在任何框架上的；这个就是安...

2019-10-25 10:18:36 928

原创黑客攻防远程函数命令执行高危漏洞安全开发

在对产品需求进行功能实现开发时，用了危险函数容易造成远程函数执行高危漏洞。将教你在非得使用高危函数时如何进行防御，在不使用高危函数时如何实现同样的功能。简述一下如果你一直在小公司或者外包公司做WEB后台开发，在你写程序中没有遇到被入侵的经历，或者没有个安全经验丰富的主管，在平时审核下你写的代码，那你往往不会重视安全，久而久之高危漏洞会越写越多，越加的不能提升你自己的技术水平和安全认知。如果...

2019-10-25 10:10:32 477

原创线上攻防实验PHP_XXE攻击与防御安全指南

XXE漏洞就是利用XML外部实体注入攻击，注入方式与HTML注入攻击类似，当程序允许引用XML外部实体时，且用户能自由控制输入；用户通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害，这个就是XXE漏洞。XXE漏洞形成大体有4种方式：实验1:simplexml_load_string实验2:SimpleXMLElement实验3:DOMDocume...

2019-10-25 09:57:43 540

原创文件包含高危漏洞安全指南

在一些业务场景中，功能实现时候可能会用到外部输入，通过文件包含一起执行WEB程序脚本。当程序对其没做过滤或者过滤不严谨，就会造成文件包含高危漏洞。实验步骤0x1 文件包含漏洞介绍0x2 文件包含漏洞复现0x3 文件包含漏洞修复实验环境说明ubuntu：16、php：7.1、apache：2.2靶场语言：PHP实验默认关闭allow_url_include配置，就无法造成远程文件包...

2019-10-25 09:43:10 459

安全龙网络安全攻防实验室