web安全
frinck
这个作者很懒,什么都没留下…
展开
-
XXE
1.XML什么是xml,他是用来干什么的?xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来做配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用xml的内部实体和外部实体的格式是什么样子的如图就是一个典型的xml文本:格式:xml声明:<?xml...转载 2019-11-01 14:30:33 · 1196 阅读 · 0 评论 -
xss攻击实例
Cross Site Script攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。1.分类????反射型跨站脚本攻击攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。✨存储型跨站脚本攻...原创 2019-10-16 22:03:07 · 5051 阅读 · 1 评论 -
[全]!!!!日志分析大全
日志分析欢迎访问个人网站下载资源1.Linux日志分析由系统进程rsyslogd统一管理系统日志rsyslogd服务配置文件解析主配置文件为/etc/rsyslog.conf分为以下三个单元MODULES ####是/sbin/rsyslogd要加载的模块格式:$ModLoad module-name(在/lib64/rsyslog中模块注意不用添加.so),在开启日...原创 2019-10-15 14:07:17 · 1537 阅读 · 0 评论 -
web (iis)超强加固
????????中间件加固:iis启动(网站都已dvbbs作为示范) 程序–管理工具–iis服务管理器–网站—dvbbs—右键–属性修改默认日志的路径:网站—配置—d:\dvbbslog:权限:仅system可读写,administrator:读日志分析工具:星图full,splunk,biglog认证:cisp-pte,ire默认路径:c:\windows\system32\logfile...原创 2019-10-09 19:57:09 · 324 阅读 · 0 评论 -
ms sql server手工注入提权原理及高级技巧
ms sql server判断注入点:and 1=1返回正常and 1=2 返回错误✌以下注入判断都是通过错误信息来进行查询数据,和修改数据库判断版本号 : and @@ version>0: mircosoft sql server :t5.0->win2000 server ,nt5.2->win2003 ,nt6.1->win7判断当前连接的数...原创 2019-10-09 19:48:16 · 753 阅读 · 0 评论 -
sqlmap使用
1️⃣sqlmap简介????????sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,日前支持的数据库是MS-SQL,MYSQL,ORACLE,POSTGRESQL,DB2,SQLlite,FIrebird。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数...原创 2019-09-26 20:59:57 · 662 阅读 · 0 评论 -
应急响应
1️⃣简介????????标准:GB/T 24363-2009,GB/T 20988-2007 ,GB/Z 20985-2009 ,GB/Z 20986-2007 信息安全应急响应计划规范⚪️信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。⚪️ 应急响应组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所...原创 2019-09-24 14:06:43 · 767 阅读 · 1 评论 -
序列化与反序列
概述????序列化与反序列化时相对于对象来说的,在很多应用中让他们需要将存在内存中的对象离开内存,从而进入硬盘以便长期保存。例如在web服务器中session对象中,当有10万用户并发访问的时候,就有10万个session对象,此时内存可能吃不消,于是web容器就把一些session先序列化到硬盘中,等再要用的时候再再硬盘中反序列到内存中。1️⃣ 序列化⚪️ 从概述上来看序列化就是将对象永久序列...原创 2019-09-23 21:50:54 · 113 阅读 · 0 评论 -
XSS跨站脚本攻击
XSS跨站脚本攻击1.简介XSS(Cross Site Scripting)跨站脚本攻击是利用系统对恶意用户的输入影响其他用户HTML的过滤不足,导致执行恶意用户的的代码.从而盗取用户cookie,用户资料等威胁.2.整体框架2.1XSS的发现与利用2.1.1原理:网站未对用户的输入进行过滤2.1.2常见场景: ``有回复框的地方都可能存在xss``搜索内容发表文章的...原创 2019-09-23 17:15:20 · 132 阅读 · 0 评论