- 博客(14)
- 收藏
- 关注
原创 如何对一个网页进行渗透测试
需要注意的是,在进行渗透测试时,必须遵守道德规范和法律法规,并确保在得到客户的明确授权之后才能开始测试。此外,应尽量避免破坏性的行为,以免对系统造成不必要的损害。扫描端口和服务:使用端口扫描工具(如 Nmap)来识别服务器上运行的服务和开放的端口,并查找可能存在的安全漏洞。漏洞利用:根据之前发现的问题,利用相关的漏洞利用工具或脚本来攻击网站,以验证漏洞的存在并进一步了解其影响范围。提交报告:在完成渗透测试后,撰写详细的报告并提交给客户,说明测试过程、发现的问题以及相应的修复建议。
2023-11-23 21:57:26
89
原创 什么是反序列化漏洞
的内容,那么他就可以向服务器发送恶意的序列化对象,从而触发反序列化漏洞。为了避免此类安全漏洞,应始终对从网络或其他不可信来源接收的数据进行严格的验证和过滤,以确保其内容符合预期。此外,在处理反序列化操作时,还应该考虑使用安全的序列化工具或限制反序列化操作的范围。Java反序列化漏洞是指攻击者利用Java反序列化机制中的安全漏洞,向目标服务器发送精心构造的恶意输入,导致服务器上的应用程序崩溃、泄露敏感信息或执行恶意代码的一种安全风险。作为参数,并尝试从中读取一个序列化的对象。然而,如果攻击者能够控制。
2023-11-23 21:53:39
95
原创 序列化与反序列化
在Java中,我们可以使用ObjectOutputStream和ObjectInputStream来实现对象的序列化和反序列化。注意:在实际应用中,你需要处理可能抛出的各种异常,例如IOException和ClassNotFoundException。
2023-11-23 21:49:45
140
原创 Java继承和重写
方法时,它将输出“狗可以跑和走”,而不是“动物可以移动”。这就是Java中的重写。当子类包含与父类相同的属性或方法时,我们可以在子类中重写这些属性或方法以提供不同的行为。请注意,只有当两个方法具有完全相同的签名时,才会发生重写,这意味着它们必须具有相同的名字、返回类型和参数列表。Java中的继承允许在一个已经存在的类的基础上创建新的类,这样就不必从头开始创建每一个新的类。这种技术有助于提高代码的可重用性和模块化。
2023-11-23 21:41:48
19
原创 5、什么是PHP反序列化漏洞
当一个PHP程序接收到序列化后的数据时,会使用unserialize()函数对其进行反序列化,以便在本地环境中重新创建原始的对象或数据结构。但是,如果攻击者能够操纵反序列化的数据,他们就可以执行恶意代码,从而影响程序的行为。要防御PHP反序列化漏洞,开发者应该确保在反序列化数据时进行足够的安全检查,并且只反序列化来自信任来源的数据。它的原理是在序列化和反序列化之间进行转换时,攻击者可以通过篡改序列化字符串来实现代码执行,从而达到攻击的目的。
2023-11-21 21:04:20
43
1
原创 命令执行漏洞无回显如何渗透
回到dnslog刷新发现有回显记录就说明存在命令执行漏洞。将print删除,然后在执行发现此时没有回显。ping 127.0.0.1也没有回显。去dnslog申请一个域名。然后ping这个域名。
2023-11-21 20:34:24
171
原创 审计impossible难度的代码,说明其中函数的作用
explode函数:使用字符串对另一个字符串进行分割,并且以数组形式返回。这里演示的是以 ' . ' 作为分割符将2023.6.9进行了分割,并返回成数组。checktoken函数:主要是进行一个token验证,可以防止请求伪造。这题不再使用黑名单过滤而是使用了白名单。
2023-11-21 19:04:36
33
1
原创 审计dvwa高难度命令执行漏洞的代码,编写实例说明如下函数的用法
这个函数用于查找字符串中的某一部分并替换为新的内容。这个函数主要用于删除字符串首尾的空白字符或者其他特殊字符。例如,如果你有一个字符串 " hello world ", 并且你想去掉两边的空格,你可以使用。这个函数用于查找字符串中是否存在指定的子串,并返回从匹配点开始到结束的部分。从用户输入中移除特殊字符,例如。
2023-11-21 17:44:28
54
1
原创 安装pikachu,复现暴力破解漏洞,演示如何挖掘xss漏洞,如何判断sql注入的流量特征,抓包截图说明,尝试演示远程文件包含漏洞
安装pikachu
2023-11-20 17:34:45
309
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人