未知2066-CSDN博客

原创渗透测试CISP-PTE：SSRF

SSRF（Server Side Request Forgery）漏洞是一种安全漏洞，存在于Web应用程序中。它允许攻击者通过构造恶意请求，从服务器内部发起未经授权的请求。漏洞的利用途径之一是攻击者可以通过篡改URL、请求头或请求体等方式，将请求发送到内部资源。这些内部资源包括本地文件、内部网络和云服务等。攻击者可以利用这个漏洞来获取服务器上的敏感信息，如配置文件、数据库信息等。在某些情况下，攻击者还可以通过SSRF漏洞来进行端口扫描、攻击内部网络或云环境。

2024-04-08 10:13:15 1090

原创渗透测试CISP-PTE：命令执行

命令执行漏洞是一种安全漏洞，它允许攻击者通过执行恶意命令来控制受漏洞影响的系统。这种漏洞通常发生在应用程序的输入验证或过滤不完善的地方，使得恶意用户可以通过输入特定的内容来执行系统命令。

2024-03-12 11:16:06 963 1

原创渗透测试CISP-PTE：文件包含

文件包含漏洞（File Inclusion Vulnerability）是一种常见的Web应用程序安全漏洞。它会导致攻击者可以通过控制文件包含的输入来执行任意的代码。文件包含漏洞通常出现在Web应用程序中，当应用程序在处理用户输入时，没有正确地检查和验证用户提供的文件路径或文件名。攻击者可以利用这个漏洞，将恶意文件包含到应用程序的执行流程中，从而执行恶意代码。

2024-03-01 19:48:02 1271 1

原创渗透测试CISP-PTE：文件上传

文件上传漏洞是一种常见的安全漏洞，指的是攻击者可以通过上传恶意文件来执行任意代码或获取系统权限。这种漏洞通常出现在Web应用程序中，攻击者利用漏洞可以上传包含恶意代码的文件，然后通过访问该文件来执行攻击。

2024-02-29 17:53:32 982

原创渗透测试CISP-PTE：CSRF

CSRF（Cross-Site Request Forgery）攻击，也称为“跨站请求伪造”，是一种常见的Web应用程序安全漏洞。该攻击利用了Web应用程序的信任机制，通过伪造用户的身份，迫使用户在他们不知情的情况下执行某些操作。攻击者通常通过在恶意网站上放置一个特殊的链接或图片，或者通过发送包含恶意代码的电子邮件等方式来发送特殊的请求。当用户点击这些链接或打开这些图片时，他们的浏览器会向目标网站发送请求，由于浏览器通常会自动发送保存的用户凭证，目标网站将会以为这是用户的合法请求，并执行相应的操作。

2024-02-28 17:45:52 598

原创渗透测试CISP-PTE：XSS

XSS (Cross-Site Scripting) 攻击是一种利用 Web 应用程序的漏洞，通过在用户输入的数据中注入恶意脚本来实施攻击的方法。

2024-02-27 16:44:58 916

原创渗透测试CISP-PTE：暴力破解

暴力破解是一种针对于密码或身份认证的破解方法，即穷举尝试各种可能，以尝试破解密码或用户名或找到隐藏的网页，或者找到用于加密消息的密钥。暴力破解不仅可以被恶意者使用，还可以用于检查系统、网络或应用程序中使用的弱密码。

2024-02-20 10:05:51 6140

原创渗透测试CISP-PTE：SQL注入

SQL注入是一种常见的网络攻击技术，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，以获取未经授权的访问或修改数据库的权限。攻击者可以利用SQL注入漏洞执行任意的数据库操作，如查询、修改、删除数据，甚至获取敏感信息。SQL Injection：通过把sql命令插入到web表单递交或输入域或页面请求的查询字符串，达到欺骗服务器执行恶意的sql命令。

2024-02-02 16:48:27 1329

原创渗透测试CISP-PTE：HTTP请求流程

GET：请求指定的页面信息，并返回实体主体POST：向指定资源提交数据进行处理请求，数据被包含在请求体中，Post请求可能会导致新的资源的建立或已有资源的修改HEAD：类似于get，但返回的响应中没有具体的内容，用于获取报头PUT：从客户端向服务器传送的数据取代指定的文档的内容DELETE：请求服务器删除制定的页面CONNECT：HTTP /1.1 协议中预留给能够将连接改为管道方式的代理服务器OPTIONS：允许客户端查看服务器的性能TRACE：回显服务器收到的请求，主要用于测试或诊断。

2024-02-02 14:39:38 246

原创渗透测试CISP-PTE：漏洞扫描

漏洞扫描是评估系统和应用程序安全性的重要手段，可以帮助发现系统中的漏洞和弱点。下面将从主动信息收集、主机信息扫描、漏洞扫描等3个阶段展开。其中主动信息收集和主机信息扫描为最终的漏洞扫描提供基础的支持，例如确认扫描的目标对象等等

2024-02-01 14:13:22 7070

原创渗透测试CISP-PTE：信息收集

信息收集是指在进行渗透测试前，收集目标网络和系统的相关信息，以便更好地进行渗透测试。下面将从信息收集的作用、信息收集的分类和内容、信息收集的方法等3个方面来展开。

2024-01-31 14:18:50 917

原创渗透测试CISP-PTE：Web安全简介

CISP-PTE即国家注册信息安全渗透测试工程师认证。英文为 Certified Information Security Professional – Penetration Test Engineer ，简称 CISP-PTE。CISP-PTE的知识体系结构主要包括 Web安全基础、中间件安全基础、操作系统安全基础、数据库安全基础等4类。下面先从web安全简介开始CISP-PTE的学习。

2024-01-30 16:36:50 5172

Java开发工程师-应届生面试宝典

Java开发工程师-应届生面试宝典，主要包含如下内容：一、Java基础部分技术点超过80个二、算法和编程技术点共12个三、html&javascript&ajax部分技术点共5个四、java web部分技术点约20个五、数据库部分技术点约30个六、XML部分技术点共5个七、流行的框架与新技术技术点共5个八、软件工程与设计模式技术点共3个九、J2ee部分技术点约12个十、EJB部分技术点共8个十一、webservice部分技术点共7个十二、其他部分技术点共3个

2024-01-30

CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料

CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料：2个版本，共25个课件文件 01.WEB安全简介 02.信息收集 03.漏洞扫描 04.HTTP协议 05.SQL注入之基础篇 07.暴力破解 08.文件上传漏洞 09.命令执行漏洞 10.文件包含漏洞 11.社会工程学 12.ARP欺骗 13.xss跨站脚本漏洞 14.CSRF跨站请求伪造 15.SSRF

2024-01-30

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人