![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
被魔封波封印的可比克
这个作者很懒,什么都没留下…
展开
-
内存取证工具
一、查看系统版本信息,通过使用imageinfo插件。二、根据建议,指定文件,识别进程。原创 2023-08-08 07:52:05 · 168 阅读 · 0 评论 -
未授权访问
当地址、授权页面等需要安全配置、权限认证时,存在缺陷而导致未授权用户可以直接访问重要权限,导致敏感信息泄露。原创 2023-08-08 07:23:39 · 132 阅读 · 0 评论 -
基于Python的端口扫描工具
【代码】基于Python的端口扫描工具。原创 2023-07-31 07:57:14 · 194 阅读 · 0 评论 -
XXE(XML外部实体注入)
XML是一种可扩展标记语言,用于传输和存储数据,但不展现数据。相较于HTML语言,XML更加灵活,可自主创建专属标签、能够在保证关键信息完整性的情况下,数据库和网站之间传输数据、高效定位标签。XML语法大小写敏感、不允许特殊字符。DTD文档是为了定义合法XML文档构建模块,用于约束XML文档。当允许引用外部实体时,攻击者可以通过构造恶意内容,进行文件读取、构造SSRF、DOS等危险动作,即XXE(XML外部实体注入)。原创 2023-07-27 07:25:28 · 113 阅读 · 0 评论 -
常见逻辑漏洞
程序逻辑输入管控不严或者逻辑太复杂,导致程序不能够正常处理或处理错误时,产生的漏洞。常出现于登录注册、密码找回、验证方式、交易支付等。其特点为普遍存在、隐蔽且不固定。原创 2023-07-26 10:30:22 · 74 阅读 · 0 评论 -
SSRF服务器请求伪造
攻击者构造服务器端请求所产生的安全漏洞,由于服务器端提供从其他服务器获取数据的功能,且没有对目标地址进行过滤限制,所产生的漏洞。能够对外发起网络请求、从远端服务器请求资源、数据库内置功能、webmail收取邮件、文件处理,编码处理,属性信息处理时,常存在SSRF漏洞。主要用于攻击内部系统。原创 2023-07-26 09:35:55 · 67 阅读 · 0 评论 -
CSRF漏洞
跨站请求伪造(CSRF),点击攻击(one click)属于高危漏洞,当用户访问恶意网站时,用户自动触发恶意攻击。用户与服务器要保持会话。原创 2023-07-26 09:11:42 · 66 阅读 · 0 评论 -
命令执行漏洞
在web应用开发中,通过调用代码或系统函数去提高应用灵活性、简洁性,而忽略用户输入是否可以被控制时,所产生的漏洞。可以获取服务器权限、获取敏感数据、写入恶意shell。原创 2023-07-26 08:12:17 · 64 阅读 · 0 评论 -
文件包含学习
文件包含是通过文件包含函数将文件当做脚本执行。是为了更好的使用代码的重用性所产生的漏洞。常见的文件包含函数--------------------------遇到错误时,不会中断代码,且包含返回值-------------------------------原创 2023-07-25 10:30:40 · 69 阅读 · 0 评论 -
任意文件上传下载
当网站存在文件下载功能时,网站对该功能不加以限制过滤,则恶意用户能够任意访问下载敏感文件,属于失效的访问控制。可结合目录穿越漏洞使用。常出现于文件下载处、URL链接处。原创 2023-07-25 09:27:29 · 84 阅读 · 0 评论 -
XSS学习笔记
跨站脚本攻击是恶意攻击者通过插入恶意Script代码至web页面中,当用户浏览页面时,恶意代码被执行,从而实现恶意攻击,属于客户端攻击。用户可以提交数据且服务器可以展示数据,常存在于用户交互处(标签、属性、URL、样式,Script)。原创 2023-07-24 11:27:42 · 83 阅读 · 0 评论 -
SQL注入漏洞理解
SQL注入是在程序设计过程中,忽略了字符检查,恶意指令则通过数据库语句,进行恶意操作。原创 2023-07-23 11:14:56 · 62 阅读 · 0 评论 -
识别网站并利用
识别网站所用开发框架。原创 2023-07-23 10:48:40 · 83 阅读 · 0 评论 -
网站快速识别
使用nmap或图形化界面进行端口扫描,筛选目标IP已开放端口。扫描完成后,显示扫描结果。原创 2023-07-23 10:15:55 · 69 阅读 · 0 评论