Web
文章平均质量分 71
zhaji001
https://zhajiyy.github.io/ 此博客不在更新使用,迁移github,希望今后能记录自己的学习之路,同时分享高品质博文!!!
展开
-
WEB基础学习
https://github.com/EbookFoundation/free-programming-books/blob/master/free-programming-books-zh.md 分享下GitHub 上的学习教材Burp Suite 实战指南 URL https://t0data.gitbooks.io/burpsuite/content/XXS简介:(跨站脚本攻击)...原创 2018-07-30 18:46:08 · 332 阅读 · 0 评论 -
owaspbwa之WebGoat
简介 下载:https://sourceforge.net/projects/owaspbwa/files/GitHub: https://github.com/chuckfw/owaspbwa/wiki/UserGuide0x001 侦查PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 5...原创 2018-12-18 15:10:46 · 3023 阅读 · 0 评论 -
xss发现到利用
前言xss的介绍就不多说了,搜索一下一大堆值得详细研究,有本书讲的挺透彻《XSS跨站脚本攻击剖析与防御》。如果你对前端的代码不是很了解或者不是太熟悉,那么使用自动化的工具进行模糊测试,是你不错的选择,burpsuite和wfuzz是你不错的选择,也包括一些漏扫工具。环境:攻击机:kali linux 靶机:owaspbwa资源: 你可以在这里找到Intruder Paylo...原创 2018-12-20 18:04:56 · 989 阅读 · 0 评论 -
危险的HTTP PUT
Web服务器上启用了HTTP PUT方法,配置不当可以直接上传后门文件到服务器,直接getshell。测试环境:攻击机器:kali linux靶机:metasploitables20x001 判断#nmap 扫80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)|_http-server-heade...原创 2018-12-13 19:35:52 · 5151 阅读 · 3 评论 -
bWAPP练习
简介虚拟机下载地址: https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/如果你想自己去部署环境:https://sourceforge.net/projects/bwapp/files/bee-box/bWAPP包含有100多个漏洞,包括OWASP Top10安全风险,很爽的PHPweb靶机。登录username:bee pas...原创 2018-12-06 02:06:50 · 9685 阅读 · 0 评论 -
渗透测试思维导图
原创 2018-11-15 12:14:54 · 1056 阅读 · 0 评论 -
2017 owasp top 10
参考 http://www.owasp.org.cn/owasp-project/2017-owasp-top-10/靶机全家桶 https://sourceforge.net/projects/owaspbwa/ A1-注入注入非常常见例如:SQL,LDAP,XPath,OS命令,XML,SMTP,ORM等等.通过代码审计,扫描工具,手工测试等,可很快发现漏洞.产生这种漏洞的原...原创 2018-10-25 17:16:50 · 1010 阅读 · 0 评论 -
SQL注入
解释型语言和编译型语言:解释型语言:运行是由一个运行时组件解释语言代码并执行其中包含的指令语言.编译型语言:是由它的代码在生成可执行文件时换转成机器指令,然后在运行时直接由该语言的计算机处理器执行指令.从理论上讲,任何语言都可使用编译器或解释器或来执行,这种区别不是语言本身的内在特性,通常大多数语言仅通过上述其中一种方式执行.基于解释型语言的执行方式,产生了一系列叫做代码注入的漏洞....原创 2018-09-25 22:47:04 · 311 阅读 · 0 评论 -
Web(一)基础学习
1.客户端确认--服务器没有采用确认检查2.数据库交互--SQL注入3.文件上传与下载--路径遍历漏洞,保存型跨站点脚本4.显示用户提交的数据--跨站点脚本5.动态重定向--重定向与消息头注入攻击6.社交网络功能--用户名枚举,保存型跨站点脚本7.登录--用户名枚举,脆弱密码,能使用蛮力破解8.多阶段登录--登录缺陷9.会话状态--可推测出的令牌,令牌处理不安全...原创 2018-09-18 14:49:35 · 267 阅读 · 0 评论 -
WebShells
B374K:github: https://github.com/b374k/b374k制作后门:php -f index.php -- -o myShell.php -p myPassword -s -b -z gzcompress -c 9b374k shell packer 0.4.2Filename : myShell.phpPassword : myPassw...原创 2018-12-18 16:58:02 · 555 阅读 · 0 评论