![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Web
文章平均质量分 74
ch_fu
这个作者很懒,什么都没留下…
展开
-
《白帽子讲Web安全》4-跨站点请求伪造(CSRF)
第4章 跨站点请求伪造(CSRF)原创 2018-03-30 11:48:47 · 363 阅读 · 0 评论 -
《白帽子讲Web安全》14-PHP安全
第14章 PHP安全PHP的语法过于灵活,这也给安全工作带来了一些困扰。同时PHP也存在很多历史遗留的安全问题。PHP语言的安全问题有其自身语言的一些特点。14.1 文件包含漏洞文件包含漏洞是“代码注入”的一种。文件包含可能会出现在JSP、PHP、ASP等语言中。常见的导致文件包含的函数如下: PHP: include(), include_once(), requir...原创 2018-04-05 21:05:01 · 404 阅读 · 0 评论 -
[Pentester Lab]PHP Include And Post Exploitation
本文是Pentester Lab上的PHP Include And Post Exploitation实验。实验中使用了靶机(提供的ISO),以及一台云主机(用于实现反向shell)。一、简介大致步骤如下: 1. 指纹识别 2. 检测和利用PHP文件包含漏洞 3. 后期利用二、指纹识别telnet, nc, …Nikto三、检测并利用PHP文件包含漏洞...翻译 2018-04-11 12:32:53 · 1044 阅读 · 0 评论 -
《白帽子讲Web安全》1-我的安全世界观
安全的本质是信任的问题。安全是一个持续的过程。安全三要素 机密性完整性可用性安全评估的过程 资产等级划分 互联网安全的核心问题,是数据安全的问题。信任域与信任边界。威胁分析 威胁:造成危害的来源。风险:可能会出现的损失。威胁建模方法:STRIDE模型。 Spoofing(伪装)Tampering(篡改)Repudiation(抵赖)InformationDislos原创 2018-03-28 11:30:44 · 344 阅读 · 0 评论 -
[Pentester Lab]From SQL Injection to Shell
本文翻译了[Pentester Lab]From SQL Injection to Shell的要点,记录了笔者按照教程进行复现的过程。By the way,庆祝一下自己拿到的第一个Web Shell(虽然是靶机2333331. 介绍实验目的:在基于PHP的网站中使用SQL注入,以及攻击者如何使用SQL注入获取管理员界面的访问权限。然后,攻击者可以在Server上实现代码执行...翻译 2018-04-07 22:19:18 · 643 阅读 · 0 评论 -
Web for Pentesters I
Web for Pentesters原创 2018-03-28 11:29:08 · 419 阅读 · 0 评论 -
《白帽子讲Web安全》13-应用层拒绝服务攻击
第13章 应用层拒绝服务攻击DDOS攻击被认为是安全领域中最难解决的问题之一,迄今为止也没有一个完美的解决方案。13.1 DDOS简介Distributed Denial of Service,DDOS。DDOS,通过若干网络节点同时发起攻击,以达成规模效应,造成资源过载,导致服务不可用。常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。 其中SYN flo原创 2018-03-30 11:54:33 · 905 阅读 · 0 评论 -
《白帽子讲Web安全》12-Web框架安全
总的来说,实施安全方案,要达到好的效果,必须要完成两个目标: - 安全方案正确、可靠 - 能够发现所有可能存在的安全问题,不出现遗漏12.1 MVC框架安全原创 2018-03-30 11:54:07 · 1004 阅读 · 1 评论 -
《白帽子讲Web安全》11-加密算法与随机数
常见的加密算法原创 2018-03-30 11:53:33 · 1322 阅读 · 0 评论 -
《白帽子讲Web安全》10-访问控制
对于权限的合理分配,一直是安全设计中的核心问题。认证解决了“Who am I?”的问题,而授权解决了“What Can I Do?”的问题。原创 2018-03-30 11:52:51 · 529 阅读 · 0 评论 -
《白帽子讲Web安全》9-认证与会话管理
认证是一个验证凭据的过程。原创 2018-03-30 11:52:11 · 384 阅读 · 0 评论 -
《白帽子讲Web安全》8-文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。原创 2018-03-30 11:51:19 · 321 阅读 · 0 评论 -
《白帽子讲Web安全》7-注入攻击
第7章 注入攻击注入攻击是Web安全领域中一种最为常见的攻击方式。注入攻击的本质,是把用户输入的数据当做代码执行。有两个关键条件: 用户能够控制输入原本程序要执行的代码,拼接了用户的数据原创 2018-03-30 11:50:40 · 625 阅读 · 0 评论 -
《白帽子讲Web安全》6-HTML5安全
第6章 HTML5安全原创 2018-03-30 11:49:59 · 433 阅读 · 0 评论 -
《白帽子讲Web安全》5-点击劫持(ClickJacking)
第5章 点击劫持(ClickJacking)原创 2018-03-30 11:49:26 · 521 阅读 · 0 评论 -
《白帽子讲Web安全》15-Web Server配置安全
第15章 Web Server配置安全Web服务器安全,考虑的是应用部署时的运行环境安全。这个运行环境包括Web Server、脚本语言解释器、中间件等软件,这些软件所提供的一些配置参数,也可以起到安全保护的作用。本章主要介绍Web服务器有哪些常见的运行时安全问题。15.1 Apache安全Apache目前仍然是Web Server领域中独一无二的巨头,最具代表性。本章中,A...原创 2018-04-05 21:05:52 · 302 阅读 · 0 评论