![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
WEB渗透
文章平均质量分 94
Captain_RB
对技术充满热爱,对生活充满希望
展开
-
浅析Session、Cookie、Token原理与区别
HTTP是无状态协议,为安全有效记录用户登录状态,目前采用的方式主要有session、cookie和token,三种方式互有利弊,不同站点使用的方式有所不同,从个方面,作初步介绍。文章目录1.Cookie2.Session3.Token1.Cookie基本描述Cookie是客户端浏览器保存在本地的一段文本,用来保存用户在服务器上的必要信息。存储内容以NAME=VALUE键值对形式存储,包括过期时间、路径、域名等信息,也可以包括Session ID和Token。存储位置客户端浏.原创 2021-02-03 12:58:42 · 440 阅读 · 1 评论 -
sqlmap之tamper绕过
sqlmap在sql注入中的地位无需多说,对于布有IPS、WAF等安防系统的服务器而言,常规的注入攻击很可能被BAN掉,这时候需要利用sqlmap中tamper绕过功能,本文介绍常见的绕过规则及原理,更关键的是这些方法对于WAF绕过、木马免杀有很好的借鉴意义。一是记录sqlmap tamper用法二是通过tamper类型,记录WAF绕过、木马免杀的一些思路文章目录sqlmap version 1.5 stable模块功能实例0eunion.pyapostroph.原创 2021-01-27 11:13:57 · 2219 阅读 · 0 评论 -
获取Webshell的常用方法(二)
文章目录一、确定路径二、Webshell提权三、木马免杀一、确定路径注:常见WEB默认根目录WAMP Server:${INSTALL_DIR}/www/XAMPP:${INSTALL_DIR}/htdocs/IIS:C:\inetpub\wwwroot\Tomcat:${INSTALL_DIR}/webapps/root/重点在于网站根路径的获取,可以通过以下方法获取:在路径后添加’、=-1等错误参数,看报错是否含有路径信息利用工具暴破网站子目录:info.php、phpinfo.ph原创 2020-12-12 00:03:56 · 1237 阅读 · 1 评论 -
获取Webshell的常用方法(一)
Webshell是以php、asp、jsp等网站脚本文件形式存在的一种网页后门,攻击者可以利用web请求的方式,获得webshell,控制网站服务器,进而进行执行命令、上传下载文件等操作。本文主要介绍在渗透测试过程中获取Webshell的基本思路,实战中还需就地取材,灵活应对。原创 2020-12-03 15:38:13 · 9816 阅读 · 0 评论