网络安全
文章平均质量分 86
这套专栏仅供学习网络安全行业的朋友们参考,仅代表个人撰写的相关知识点,其中涉及的一切资源均来源于网络,他人做的任何事均与本人无关。(不定期更新知识,尽力保证质量)
Jeromeyoung666
散文随笔--by Jeromeyoung
展开
-
手把手教你搭建自己的邮箱服务器
手把手教你搭建自己的邮件系统原创 2023-12-06 14:34:49 · 4933 阅读 · 0 评论 -
CrackMapExec命令详细使用教程
CrackMapExec工具详细使用教程原创 2023-06-08 10:36:02 · 2766 阅读 · 0 评论 -
JAVA防注入-Mysql
简介通常在java开发过程中,凡是涉及到数据库数据的操作都会存在sql语句拼接的问题,而拼接的sql语句往往会造成注入漏洞,所以为了防止注入的产生,在开发过程中都应该注意这一点。正文在java数据库拼接的过程中,为了防止注入的产生,一般我们会使用PreparedStatement对象来解决这个问题,这里以mysql数据库作为主要对象!PreparedStatement:执行sql的对象:SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1、输入用户随原创 2021-11-10 21:56:03 · 2256 阅读 · 0 评论 -
记一次应急响应描述
1、什么是应急响应即事件发生了后怎么去做2、应急响应流程简单概括:准备阶段:需要快照(日志、服务端口等)、应急响应工具包、启动(检测)阶段:讨论相关的阶段抑制阶段:不重要的业务断网、隔离、中断服务、断开接连等操作根除阶段:对控制的木马病毒进行删除恢复阶段:像木马病毒进行的操作对其还原原来的状态跟进阶段:对被入侵的机器进行监控,防止再次出现问题3、主机入侵排查思路Windows一、检查系统账号安全1、查看服务器是否有弱口令,远程管理端口是否对公网开放。检查方法:据实际情况咨询原创 2021-02-23 12:32:22 · 1300 阅读 · 0 评论 -
越权漏洞与逻辑漏洞描述
文章目录越权漏洞1、原理概述2、如何挖掘越权漏洞3、越权可能发生的地方4、越权分类1、水平越权2、垂直越权逻辑漏洞如何挖掘逻辑漏洞?逻辑漏洞举例:常见逻辑漏洞:越权漏洞1、原理概述如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。2、如何挖掘越权漏洞一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对当前用户的权限进行校验原创 2021-02-13 15:49:55 · 1375 阅读 · 1 评论 -
关于命令执行与反序列化
命令与代码执行实际就是对要求输入的值没有严格控制,导致恶意命令执行了。简介:自己读吧,官方的东西。1、远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命原创 2021-01-30 17:16:19 · 1587 阅读 · 0 评论 -
XXE漏洞详解
文章目录XXE漏洞1、造成XXE的原因2、定义3、利用漏洞条件4、XXE使用5、XXE挖掘及扩展1、抓包看accept头是否接受xml2、抓包修改数据类型,把json改成xml来传输数据5、DTD基础知识构建xxe的payload达成攻击使用DTD实体的攻击方式DTD 实体声明:1. 内部实体声明2. 外部实体声明3. 参数实体声明4. 引用公共实体6、实体类别介绍总结7、XXE攻击类别及实例有回显无回显整个调用过程:XXE漏洞利用数据格式造成攻击1、造成XXE的原因运维人员使用了低版本php,l原创 2021-01-28 16:19:48 · 6513 阅读 · 2 评论 -
关于SSRF与CSRF漏洞的解释
文章目录SSRF服务端请求伪造(外网访问内网)1、SSRF形成原因2、利用SSRF漏洞的目的3、SSRF漏洞的用途4、SSRF漏洞的特性实例5、如何挖掘SSRF漏洞6、常用SSRF去做什么事7、绕过方法(绕开一般ssrf的防护)**1**、**更改IP地址写法**2、利用解析URL所出现的问题8、防护SSRF措施CSRF跨站请求伪造(也叫点击攻击)1、CSRF攻击原理2、达成CSRF攻击的条件3、CSRF分类4、检测方法5、如何挖掘CSRF漏洞6、常用攻击手段实例1)、dz网站数据库备份(快速脱库)2)、修原创 2021-01-19 08:42:17 · 1010 阅读 · 2 评论 -
文件上传及文件包含
文章目录文件包含漏洞测试代码远程文件包含本地文件包含本地包含图片马实例本地包含绕过1、包含漏洞上传技巧(一句话图片马等)2、包含日志文件3、PHP包含读文件4、PHP包含写文件(详解如下)5、包含截断绕过6、str_replace函数绕过(字符拼接)7、fnmatch函数绕过(通过内置协议)PHP内置协议文件包含漏洞简介:包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏原创 2021-01-16 19:12:27 · 1543 阅读 · 0 评论 -
关于任意文件下载及上传漏洞
文章目录任意文件读取下载1、原理2、利用方式3、漏洞修复4、实例任意文件上传1、原理2、分类3、基本思路4、基本绕过方式1、客户端检测绕过(javascript 检测)2、服务端验证绕过(MIME 类型检测)3、代码注入绕过--getimagesize()4、路径/扩展名绕过5、安全防范6、图片二次渲染7、绕过方法总结补充:解析漏洞(上传的文件通过解析漏洞达到执行的目的)1、IIS5.x-6.x2、apache解析漏洞3、Nginx解析漏洞4、IIS7.5解析漏洞5、Ewebeditor漏洞6、fckedi原创 2021-01-16 19:05:15 · 1994 阅读 · 0 评论 -
一文掌握XSS
XSS跨站脚本攻击1、什么叫跨站脚本攻击?即:给一个网站插入脚本攻击代码,当浏览的人访问这个网站,那么浏览的人就中招了2、XSS跨站脚本攻击的原理自理解原理:通常将js攻击代码插入网站的页面,当肉鸡访问这个网站页面的时候就会中招。(主要属于客户端攻击,但是管理员也是肉鸡,那么就也能进行服务端攻击,即攻击对象变成管理员然后传马窃取整个站点)正规原理:XSS(Cross Site Scripting)是指攻击者在网页中嵌入客户端脚本攻击代码,通常是JavaScript编写的危险代码,用户使用原创 2021-01-02 09:45:58 · 842 阅读 · 1 评论 -
这是一篇SQL注入文章
文章目录注入原理:1、寻找注入点的方式或注入的地方可能包括。2、注入点判断方法。3、注入分类。数字型:字符型:搜索型:XX型(也叫其他型):4、注入提交方式。5、注入攻击类型与方式。union注入:information_schema注入:基于函数报错注入:insert注入:update注入:delete注入:Http Header注入:Cookie注入:SQL盲注:1、基于布尔型2、基于时间型3、基于报错型宽字节注入:6、Access数据库注入1、爆出数据库类型2、猜数据库表名3、猜字段名及字段长度4、猜原创 2021-01-01 12:53:42 · 1627 阅读 · 0 评论 -
WEB层点
目录Web 应用程序技术HTTP1.1 HTTP请求1.2 HTTP响应1.3 HTTP方法1.4 URL1.5 HTTP消息头1.常用消息头2.请求消息头3.响应消息头1.7 cookie1.8 状态码1.9 URL编码1.10 HTML编码1.11 同源策略Web 应用程序技术Web应用程序使用各种不同的技术实现其功能。本章简要介绍渗透侧试员在攻击Web应用程序时可能遇到的关键技术。我们将分析HTTP协议、服务器和客户端常用的技术以及用于在各种情形下呈现数据的编码方案。这些技术大都简单易懂,掌握其相原创 2020-12-27 19:35:46 · 663 阅读 · 0 评论 -
附录四:burpsuite暴力破解的四种方式
给出字典排列、详情:1、[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DmNdqWkz-1608696190347)(:/e89e6940532f4403a4b44426fc7f985e)]2、[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yzp2pupK-1608696190350)(:/2d7c5f98a4e04e39a1f4826d1d51ce60)]第一项:snipper(中译:狙击手)1、为两个参数添加payload并且选中原创 2020-12-24 08:35:16 · 3509 阅读 · 0 评论 -
信息收集(部分,不全面)
文章目录信息收集第一部分:被动信息收集1、简介2、信息收集的内容3、信息收集的用途4、二级域名或IP收集1).DNS信息收集利用nslookup利用dig2).DNS域传送漏洞利用dig利用host利用dnsenum3).备案号查询4).SSL查询5).APP提取(可能)6).微信公众号7).暴力破解/字典枚举8).DNS历史记录解析9).威胁情报查询10).证书序列号获取域名与IP11).搜索引擎(重点)GoogleshodanfofaZoomEye12).JSFinder13).用户信息收集14).ME原创 2020-12-23 08:41:00 · 2542 阅读 · 0 评论 -
渗透测试步骤
文章目录渗透测试步骤步骤一:明确目标步骤二:信息收集步骤三:漏洞探索步骤四:漏洞验证步骤五:信息分析步骤六:获取所需步骤七:信息整理步骤八:形成报告# 流程总结面试补充说明渗透测试步骤渗透测试与入侵的区别:渗透测试:出于保护的目的,更全面的找出目标的安全隐患。入侵:不择手段的窃取或取得目标的最大权限并予以控制。(是具有破坏性的)步骤一:明确目标1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。2、确定规则:明确说明渗透测试的程度、时间等。3、确定需求:渗透测试的方向是web应原创 2020-12-21 14:39:28 · 1573 阅读 · 0 评论 -
iptables噩梦级汇总
文章目录前言第一章 iptables防火墙简介第二章 iptables名词和术语2.1 什么是容器2.2 什么是Netfilter/iptables?2.3 什么是表(tables)?2.4 什么是链(chains)?2.5 什么是规则(Policy)?第三章 iptables工作流程第四章 iptables表(tables)和链(chains)4.1 filter表信息详细介绍4.2 NAT表信息详细介绍4.3 Mangle表信息详细介绍第五章 iptables表和链工作的流程图第六章 iptables命原创 2020-12-16 19:08:12 · 345 阅读 · 0 评论 -
附录三:PHP与Mysql之间的纠缠(超详细)
文章目录第一章 PHP操作mysql数据库index.html代码connect.php代码如下:list.php代码如下:第二章 PHP 会话管理和控制一、php 会话控制 之 PHP中的Cookie二、php 会话控制 之 PHP中的session1.开启session2.添加session数据3.读取session数据4.销毁session数据5.session的扩展:默认session存储在哪里。6.SESSION登录实例:第三章 PHP 项目第一章 PHP操作mysql数据库在正式开始学习前原创 2020-12-14 11:59:46 · 344 阅读 · 0 评论 -
MySQL相关知识整理
文章目录前言第一章 MySQL是什么?第二章 数据库的五个基本单位第三章 Mysql连接数据库第四章 Mysql数据库操作一、创建数据库二、查看数据库三、选中数据库四、查看数据库中的表五、删除数据库第五章 Mysql数据表操作一、创建表二、查看表字段结构信息三、查看表创建语句四、删除表五、指定表引擎和字符集第六章 Mysql数据字段操作一、查看表结构二、修改表字段类型 modify三、增加表字段四、删除表字段五、表字段改名六、修改表字段排列顺序七、修改表名第七章 Mysql数据类型第八章 Mysql字符.原创 2020-12-13 12:03:42 · 826 阅读 · 0 评论 -
附录二:PHP补充(文件上传、错误处理)(超详细)
说明这篇是针对之前php知识的补充内容文章目录说明1、 PHP目录处理函数2、 PHP文件权限设置3、 PHP文件路径函数4、 PHP实现文件留言本5、PHP文件上传1. php文件上传的步骤2. 自定义判断是否超出文件大小范围3. 判断后缀名和mime类型是否符合4. 生成文件名5. 判断是否是上传文件6. 移动临时文件到指定位置7. php文件上传表单注意事项1.index.html**2.chuli.php6、 PHP错误处理1. php错误处理之错误报告级别2. php错误处理之错误记录日志原创 2020-12-13 10:28:31 · 445 阅读 · 0 评论 -
Linux常用命令
相关工具和学习资料请自取。文章目录前言第一章 Linux文件及目录管理命令基础1.1 pwd: 显示当前所在位置的信息1.2 cd: 切换目录1.3 tree: 以树状目录结构显示目录下的内容1.4 mkdir: 创建目录1.5 touch: 创建文件或更改文件时间戳1.6 ls: 显示目录下内容及属性信息的命令1.7 cp: 复制文件或目录[语法格式]1.8 mv: 移动或重命名文件1.9 rm: 删除文件或目录第二章 Linux重要系统文件2.1 Linux重要目录介绍2.2 Linux重要系.原创 2020-12-09 08:59:50 · 378 阅读 · 0 评论 -
Linux相关知识基础
提示:相关工具在公众号中,需要的请自取:文章目录前言第一章 Linux远程连接管理1. 为什么要远程连接Linux系统2. 连接前的小知识2.2.1 IP地址2.2.2 端口的概念2.2.3 协议的概念3. 远程连接Linux的原理3.1 SSH远程连接介绍3.2 SSH服务端介绍3.3 SSH协议介绍3.4 SSH客户端和SSH服务端远程连接原理示意图4. 远程连接的客户端工具5. 如何选择远程连接Linux的工具6. 如何连接第二章 Linux命令行入门2.1 Linux命令行的作用与意义2.2原创 2020-12-07 08:48:05 · 244 阅读 · 0 评论 -
Linux相关介绍和安装
文章目录前言第一章 linux介绍1.1 linux简介第二章 Linux起源2.1 Unix的历史2.2 Unix操作系统的革命2.3 Linux系统的诞生2.4 Linux系统的发展史2.5 Linux系统发展历程中的相关人物第三章 Linux系统组成第四章 Linux的特点4.1 Linux为什么这么受欢迎4.2 Linux的特点第五章 Linux的应用领域第六章 如何选择Linux的发行版本第七章 Linux系统安装7.1 VMware的安装前言今天开始谈一谈linux是什么,为什么非要说到原创 2020-12-07 08:49:05 · 199 阅读 · 0 评论 -
PHP语言基础知识(超详细)
文章目录前言第一章 PHP语言学习介绍1.1 PHP部署安装环境1.2 PHP代码工具选择第二章 PHP代码基本语法2.1 PHP函数知识介绍2.2 PHP常量变量介绍2.2.1 PHP变量知识:2.2.2 PHP常量知识:2.3 PHP注释信息介绍2.4 PHP数据类型介绍2.4.1 整形数据类型2.4.2 布尔数据类型2.4.3 字符串数据类型2.4.4 浮点型数据类型2.4.5 PHP数据类型之查看和判断数据类型2.5 PHP流程控制语句2.6 PHP算数运算方法2.6.1 PHP程序自加自减运算2.原创 2020-12-06 16:11:23 · 138880 阅读 · 24 评论 -
HTML基础
文章目录前言第1章 HTML介绍1.1 HTML是什么1.2 HTML标签解释第2章 HTML标签2.1 什么是HTML标签2.2 HTML标签书写格式2.3 HTML标签的属性第3章 HTML基本标签3.1 HTML基本标签组成3.2 标题元素3.3 段落3.4 换行3.5 居中的标题3.6 插入水平线3.7 背景颜色第4章 HTML格式4.1 什么是HTML格式4.2 格式化文字4.3 格式化代码4.4 文本倒着输出第5章 HTML实体5.1 什么是HTML实体5.2 举例第6章 HTML链接6.1 什原创 2020-12-06 16:10:54 · 513 阅读 · 0 评论 -
附录一:PHPStorm环境配置
本文主要说明有关HTML与PHP中涉及到的工具的使用和配置。目录本文主要说明有关HTML与PHP中涉及到的工具的使用和配置。1、sublime使用2、PHPStorm配置1、sublime使用这个的工具就在开发环境文件夹中,解压出来:执行这个批处理然后就能使用了。新建文件:指定需要编写的语言:例如编写HTML:写好以后直接保存就好了:2、PHPStorm配置在运行环境文件中,有一个phpstudy,解压安装,.原创 2020-12-06 16:45:28 · 1010 阅读 · 1 评论