未知攻,焉知防
关注
分享
扫一扫
文章平均质量分 92
主要是涉及攻击和安全方面的,里面只是用于测试,请遵守网络秩序,不要随意去攻击别人的网站
yjssjm
目前从事安全岗位,欢迎各位大佬一起交流
座右铭:虽然我不会,但我可以学。
展开
-
SSH密码暴力破解及防御实战----防
1. useradd shell【推荐】(防止利用普通用户登录) 创建用户,但是该用户不可登录[root@yjssjm ~]# useradd yjssjm -s /sbin/nologin 注意:应用服务用户一般都是不可登录的,只提供服务就可以了。当我们编译安装的时候有的时候需要创建用户,我们就可以用-s指定该用户不可登录2.密码的复杂性【推荐】 字母大小写+数字+特殊字符+20...原创 2020-04-12 21:30:27 · 810 阅读 · 0 评论 -
SSH密码暴力破解及防御实战----攻
1.实验环境准备一台装有kali的虚拟机和一台ssh端口开放的虚拟机这里面的暴力破解全是使用的kali里面自带的软件破解的。kali 192.168.13.145 #装有kali的虚拟机localhost 192.168.13.128 #被破解的虚拟机首先我们去192.168.13.128 上面创建用户并设置密码以供测试[root@loca...原创 2020-04-12 19:48:09 · 1690 阅读 · 0 评论 -
XSS跨站攻防安全
1.XSS简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页 面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用...原创 2020-04-11 22:10:09 · 209 阅读 · 0 评论 -
SQL注入攻击及防御详解
在owasp年度top 10 安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序, 而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地 过滤用户输入的数据,致使非法数据侵入系统。对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQL、SQL Server、Oracle;通过SQL注...原创 2020-04-11 11:36:03 · 3703 阅读 · 0 评论 -
kali中间人攻击----盗取账号和密码
声明: 本案例仅供个实验使用, 并不作任何违法违纪等不正当,请遵守约定。1.原理解析在局域网内通信都是通过交换机及路由器连接外部网络的, 对于局域网内大家都使用的一个协议为ARP协议, 这个协议很奇特因为它是用来标定局域网内每台主机的MAC地址使用的, 还有就是ARP协议也是用来规定网关的。 在我们下面要做的实验的过程中, kali系统会时刻向选定的机器发送“我是网关”, 这样堵塞了真...原创 2020-04-10 13:19:01 · 12778 阅读 · 6 评论 -
文件包含渗透----当我们无法进行上传渗透时另一种黑客攻击
当上传是高安全模式时,我们大可不必非要用上传渗透实现对服务器的攻击,我们可以换一种方式。1.实验环境目标靶机:OWASP_Broken_Web_Apps_VM_1.2下载地址我们还需要中国菜刀和kali这两个工具,把所有的杀毒软件关了,不然中国菜刀可能会被杀毒软件和谐。实验原理及危害文件包含漏洞:即File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url...原创 2020-04-08 23:29:23 · 852 阅读 · 0 评论 -
上传渗透----中国菜刀和kali的使用(安全攻防)
1.实验环境目标靶机:OWASP_Broken_Web_Apps_VM_1.2下载地址我们还需要中国菜刀和kali这两个工具实验原理1、文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回3、如果恶意文件如PHP、ASP等执行文件绕...原创 2020-04-09 09:30:58 · 5061 阅读 · 1 评论