web渗透教程学习笔记
文章平均质量分 75
通过看web渗透视频,每日总结提高
程序员石磊
专注在职读研、云原生技术、室内定位技术分享!
展开
-
playwright自定义浏览器设备、时区、经纬度、userAgent、注入脚本
介绍Playwright是一个强大的Python库,仅用一个API即可自动执行Chromium、Firefox、WebKit等主流浏览器自动化操作,并同时支持以无头模式、有头模式运行。项目地址:https://playwright.dev/docs/intro我最喜欢的特点浏览器上下文并行:对具有浏览器上下文的多个并行、隔离的执行环境,重用单个浏览器实例。自动等待: Playwright 可以自动等待元素,这将会提高自动化的稳定性,简化测试的编写。支持多个域、页面和表单: Palywright原创 2021-06-18 17:59:05 · 4350 阅读 · 13 评论 -
nginx禁止外网访问登录页面,SQL 注入、XSS 攻击配置
#user nobody;worker_processes 1;#error_log logs/error.log;#error_log logs/error.log notice;#error_log logs/error.log info;#pid logs/nginx.pid;events { worker_connections 1024;}http { include mime.types; defau.原创 2020-06-05 09:22:33 · 1819 阅读 · 0 评论 -
前后端分离项目安全漏洞修复总结
最近项目被安全扫描由于项目设计有问题,暴出来了一些漏洞,在修复的过程中特把经验总结分享。1.前后端分离和传统架构介绍项目架构1.1 前后端不分离在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。这种应用模式比较适合纯网页应用,但是当后端对接App时,App可能并不需要后端返回一个HTML网页,而仅仅是数据本身,所以后端原本返回网页的接口不再适用于前端App应用,为了对接App后端还需再开发一套接口。请求.原创 2020-06-01 11:05:36 · 3548 阅读 · 0 评论 -
【nodejs代理服务器一】nodejs http-proxy 开发反向代理服务器,防火墙,过滤常见的web渗透
事出有因最近web系统引来了黑客的攻击,经常被扫描,各种漏洞尝试。分析攻击日志,有几种常见的攻击手段:上传webshell远程执行命令漏洞sql注入xxs 攻击试探各种开源框架爆出来的漏洞分析攻击信息的特点说白了就是采用web渗透技术,利用http请求,黑客想尽办法,在http header ,body,等部分植入非法的命令,非法字符常见的有:exe,cmd,powershe...原创 2019-06-07 17:20:18 · 2148 阅读 · 0 评论 -
WebLogic wls9-async 反序列化漏洞
转载 https://blog.csdn.net/Bul1et/article/details/89514594前天刚刚爆出了WebLogic wls9-async 反序列化漏洞,大佬们又可以薅羊毛了,这是我的复现过程,仅供参考影响范围Oracle WebLogic Server10.3.6.0.0Oracle WebLogic Server12.1.3.0.0Oracle WebLog...转载 2019-06-06 22:32:17 · 1303 阅读 · 0 评论 -
【web渗透】XSS 利用工具Kali Linux BEEF
BEEF进行xss攻击大概思路接启动beef xssawvs 扫描目标端,找到xxs注入点。注入beef 的hook.js.等待用户触发注入的js去beef平台观察浏览器上线请看,还能查看一些cookie信息,对浏览器进行控制。如果拿到cookie就很危险了,我这里可以用程序模拟登陆,Http头信息携带拿到的cookie,进可以进入系统了。下面给出一个转载的操作截图直接启动b...转载 2019-05-29 15:56:49 · 3509 阅读 · 0 评论 -
【web渗透】信息搜集Shodan全世界在线设备搜索引擎
reproduction from https://danielmiessler.com/study/shodan/#advancedWhat is Shodan?Shodan is a search engine for finding specific devices, and device types, that exist online. The most popular search...转载 2019-05-24 11:24:16 · 1457 阅读 · 0 评论 -
【web渗透】Mysql下Limit注入方法
原文: https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ http://zone.wooyun.org/content/18220此方法适用于MySQL 5.x中,在limit语句后面的注入例如:SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT inje...转载 2019-05-23 09:32:40 · 961 阅读 · 0 评论 -
【web渗透】appscan 免费版下载
IBM Security AppScan web 安全扫描工具可提升 Web 和移动应用的安全性,改善应用安全项目管理,并增强法规合规性。在部署之前对 Web 和移动应用进行测试,可帮助您识别安全风险、生成漏洞扫描报告并获取修复建议。点击下载...原创 2019-01-08 10:42:21 · 6106 阅读 · 3 评论 -
【web渗透】Python渗透测试工具都有哪些?
开始学习web身体欢迎交流网络Scapy, Scapy3k: 发送,嗅探,分析和伪造网络数据包。可用作交互式包处理程序或单独作为一个库pypcap, Pcapy, pylibpcap: 几个不同 libpcap 捆绑的python库libdnet: 低级网络路由,包括端口查看和以太网帧的转发dpkt: 快速,轻量数据包创建和分析,面向基本的 TCP/IP 协议Impacket: 伪造和...转载 2018-12-28 12:22:11 · 1150 阅读 · 0 评论