Security
ivalue2333
He wept, for there were no more worlds to conquer.
展开
-
Shell的基础
Shell1:shell(计算机的壳层)在计算机科学中,Shell俗称壳(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。如linuxshell。2:同时它又是一种程序设计语言。作为命令语言,它交互式解释和执行用户输入的命令或者自动地解释和执行预先设定好的一连串的命令;作为程序设...原创 2018-04-16 11:30:50 · 145 阅读 · 0 评论 -
web安全初探
1:拖库(拼音:tuōkù;英文:Drag);拖库一词多用于数据库程序员专业人士使用,语意:从数据库导出数据。很多时候数据库的资料需要导出来在别的地方使用,并且数据库资料可以导出好几种格式,例如:TXT,XLS等格式。“拖库”的通常步骤为:第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。第二,通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后...原创 2018-04-13 20:23:39 · 221 阅读 · 0 评论 -
About Security
1:任务分类模块,包含漏洞扫描系统的各个核心功能,主要有网络爬虫、子域名爆破、流量镜像、服务探测、密码暴力猜解、漏洞检测几个核心功能。具体功能描述如下网络爬虫网络爬虫主要是爬取网站的相关链接,作为漏洞扫描的一个输入来源。比如可爬取搜索引擎的结果,或根据网页内容进行爬取,将获得的结果存储并用于相关漏洞检测。子域名爆破子域名模块主要是针对域名进行一些二级、三级域名的暴力猜解,发现一些不...原创 2018-07-26 20:03:53 · 142 阅读 · 0 评论 -
CSRF
1CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。攻击者盗用了你的身份,以你的名义发送...原创 2018-07-26 20:04:26 · 625 阅读 · 1 评论 -
Xss
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss就是在页面执行你所要执行的js。Fuzz testing 模糊测试 point:“xss盲打”,“xss编码绕过”,“fuzzing xss” 参考https://blog.csdn.net/u...原创 2018-07-26 20:05:30 · 1094 阅读 · 4 评论 -
File
1文件上传参考:http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/3805.html 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施 ...原创 2018-08-04 16:35:20 · 177 阅读 · 0 评论 -
Fiddler使用
参考:https://www.cnblogs.com/yoyoketang/p/6778006.htmlhttps://blog.csdn.net/liuquan0071/article/details/51917893 1: 断点1.before response:这个是打在request请求的时候,未到达服务器之前2.after response:也就是服务器响应之后,...原创 2018-08-04 16:36:04 · 119 阅读 · 0 评论 -
条件竞争
1:条件竞争 条件竞争漏洞是一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置,例如文件的操作处理等。 2:例子1:某平台提现功能的业务处理流程为: 用户发...原创 2018-08-04 16:36:41 · 3995 阅读 · 0 评论