![](https://img-blog.csdnimg.cn/20190927151101105.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
web安全
文章平均质量分 87
主要为web安全,top10等等
xiaopeisec
学习学习,分享学习小迪的网络安全笔记。
汽修出来的网安小菜鸡,努力变强啊!
展开
-
Web攻防第五十四天
1、子域名接管-检测&探针&利用2、COSP跨域资源-检测&探针&利用3、JSONP跨域回调-检测&探针&利用原创 2023-09-18 20:11:21 · 309 阅读 · 0 评论 -
Web攻防第五十三天
1、CRLF注入-原理&检测&利用2、URL重定向-原理&检测&利用3、Web拒绝服务-原理&检测&利用原创 2023-09-18 20:06:56 · 138 阅读 · 0 评论 -
Web攻防第五十二天
1、弱口令安全&配置&初始化等2、弱口令对象&Web&服务&应用等3、弱口令字典&查询&列表&列表等原创 2023-09-18 20:02:06 · 182 阅读 · 2 评论 -
Web攻防第五十一天
1、找回密码逻辑机制-回显&验证码&指向2、验证码验证安全机制-爆破&复用&识别3、找回密码-客户端回显&Response状态值&修改重定向4、验证码技术-验证码爆破,验证码复用,验证码识别等原创 2023-09-17 18:06:59 · 224 阅读 · 2 评论 -
Web攻防第五十天
通用漏洞&购买支付逻辑&数据篡改&请求重放&接口替换原创 2023-09-13 22:41:13 · 159 阅读 · 0 评论 -
网安之web攻防第四十九天笔记
1、水平越权-同级用户权限共享2、垂直越权-低高用户权限共享3、访问控制-验证丢失&取消验证4、脆弱验证-Cookie&Token&Jwt等原创 2023-05-29 21:00:19 · 369 阅读 · 3 评论 -
网安之web攻防第四十八天笔记
1、Python-反序列化函数使用2、Python-反序列化魔术方法3、Python-反序列化POP链构造4、Python-自动化审计bandit使用原创 2023-05-29 20:51:59 · 200 阅读 · 0 评论 -
网安之web攻防第四十七天笔记
1、Java反序列化演示-原生API接口2、Java反序列化漏洞利用-Ysoserial使用3、Java反序列化漏洞发现利用点-函数&数据4、Java反序列化考点-真实&CTF赛题-审计分析原创 2023-05-29 20:46:46 · 240 阅读 · 0 评论 -
网安之web攻防第四十六天笔记
PHP反序列化&原生类&漏洞绕过&公私有属性原创 2023-05-29 20:40:30 · 227 阅读 · 0 评论 -
网安之web攻防第四十五天笔记
1、什么是反序列化操作?-格式转换2、为什么会出现安全漏洞?-魔术方法3、反序列化漏洞如何发现? -对象逻辑4、反序列化漏洞如何利用?-POP链构造原创 2023-05-29 20:35:14 · 180 阅读 · 0 评论 -
网安之web攻防第四十四天笔记
1、RCE执行-代码执行&命令执行2、CTF考点-漏洞配合&绕过手法3、利用审计-CMS框架&中间件等原创 2023-05-29 20:28:54 · 329 阅读 · 1 评论 -
网安之web攻防第四十三天笔记
1、文件操作类安全问题2、文件下载&删除&读取3、白盒&黑盒&探针分析原创 2023-05-29 20:25:20 · 147 阅读 · 0 评论 -
网安web攻防第二十二天
1、原生JS&开发框架-安全条件2、常见安全问题-前端验证&未授权原创 2023-03-31 14:32:02 · 136 阅读 · 0 评论 -
网安之web攻防第三十一天
1、文件上传-CTF赛题知识点2、文件上传-中间件解析&编辑器安全3、文件上传-实例CMS文件上传安全分析原创 2023-03-31 15:24:15 · 130 阅读 · 0 评论 -
网安之web攻防第二十四天
1、脚本代码与数据库前置知识2、Access数据库注入-简易&偏移3、MYSQL数据库注入-简易&权限跨库原创 2023-03-31 14:36:26 · 161 阅读 · 0 评论 -
网安之web攻防第三十七天
1、XSS跨站-另类攻击手法分类2、XSS跨站-权限维持&钓鱼&浏览器等原创 2023-04-06 11:48:26 · 159 阅读 · 0 评论 -
网安之web攻防第二十九天
1、明确查询方式注入Payload2、明确查询方式注入产生功能3、明确SQL盲注延时&布尔&报错原创 2023-03-31 14:45:16 · 119 阅读 · 0 评论 -
网安之web攻防第二十六天
1、数据库注入-Oracle&Mongodb2、数据库注入-DB2&SQLite&Sybase3、SQL注入神器-SQLMAP安装使用拓展原创 2023-03-31 14:41:41 · 427 阅读 · 0 评论 -
网安之web攻防第三十三天
1、中间件配置不当导致文件被恶意解析2、CMS源码引用外部编辑器实现文件上传原创 2023-04-06 11:37:39 · 206 阅读 · 0 评论 -
网安之web攻防第三十四天
文件上传白盒黑盒白盒:看三点,中间件,编辑器,功能代码 黑盒:寻找一切存在文件上传的功能应用原创 2023-04-06 11:39:42 · 123 阅读 · 0 评论 -
网安之web攻防第三十二天
#前置:后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外)如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,还有.user.ini&.htaccess原创 2023-04-06 11:35:44 · 138 阅读 · 0 评论 -
网安之web攻防第二十八天
1、数据请求方式-GET&POST&COOKIE等2、常见功能点请求方式-用户登录&IP记录等3、黑盒白盒注入测试要点-SQLMAP注入参数原创 2023-03-31 14:44:18 · 157 阅读 · 0 评论 -
网安之web攻防第四十天笔记
1、CSRF-审计-复现测试&同源策略2、SSRF-审计-功能追踪&函数搜索原创 2023-04-06 11:52:07 · 364 阅读 · 0 评论 -
网安之web攻防第四十一天笔记
1、XML&XXE-原理&发现&利用&修复等2、XML&XXE-黑盒模式下的发现与利用3、XML&XXE-白盒模式下的审计与利用4、XML&XXE-无回显&伪协议&产生层面原创 2023-04-06 12:03:11 · 209 阅读 · 1 评论 -
网安之web攻防第三十五天
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站-攻击手法&劫持&盗取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS原创 2023-04-06 11:41:07 · 212 阅读 · 0 评论 -
网安之web攻防第三十六天
1、XSS跨站-原理&攻击&分类等2、XSS跨站-MXSS&UXSS&FlashXss&PDFXSS等原创 2023-04-06 11:41:23 · 283 阅读 · 0 评论 -
网安之web攻防第三十天
1、数据库堆叠注入根据数据库类型决定是否支持多条语句执行2、数据库二次注入应用功能逻辑涉及上导致的先写入后组合的注入3、数据库Dnslog注入解决不回显(反向连接),SQL注入,命令执行,SSRF等4、黑盒模式分析以上二次注入:插入后调用显示操作符合堆叠注入:判断注入后直接调多条执行DNS注入:在注入上没太大利用价值,其他还行原创 2023-03-31 14:44:52 · 265 阅读 · 0 评论 -
网安之web攻防第二十一天
1、JavaWeb常见安全及代码逻辑2、目录遍历&身份验证&逻辑&JWT3、访问控制&安全组件&越权&三方组件原创 2023-03-30 11:32:42 · 209 阅读 · 0 评论 -
网安之web攻防第二十七天
1、数据表现格式类型注入2、字符转义绕过-宽字节注入3、数字&字符&搜索&编码&加密等原创 2023-03-31 14:43:00 · 332 阅读 · 0 评论 -
网安之web安全第三十八天
1、XSS跨站-过滤绕过-便签&语句&符号等2、XSS跨站-修复方案-CSP&函数&http_only等原创 2023-04-06 11:52:11 · 161 阅读 · 0 评论 -
网安之web攻防第三十九天
1、CSRF-原理&危害&探针&利用等2、SSRF-原理&危害&探针&利用等3、CSRF&SSRF-黑盒下漏洞探针点原创 2023-04-06 11:50:47 · 167 阅读 · 0 评论