渗透测试
文章平均质量分 70
本人也是一名小白,平时主要在这分享一些自己整理渗透知识。
易小简
三更灯火五更鸡,正是男儿读书时.黑发不知勤学早,白首方悔读书迟.
展开
-
绕过disable_functions限制
作用:运维人员通过disable_functions函数来禁用一些在PHP中的一些“危险”函数,将其卸载php.in配置文件中。例如:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,papen,ini_alter,ini_restore,dl,openlog,readlink,symlink,popepassthru,link等。其实disable_function函数也就是一种黑名单限制机制原创 2021-02-09 19:27:15 · 1026 阅读 · 0 评论 -
WAF防护原理和绕过姿势
什么是WAF:定义:web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来防御对web应用的攻击。WAF的种类:源码防护: 程序员在开发时使用过滤函数对恶意代码进行过滤。对于这类的绕过思路主要是大小写替换、编码绕过、截断等方式,只要在代码中找到过滤函数就比较容易绕过。软件WAF:主要通过访问速度、指纹识别等特征进行拦截,软件WAF侧重拦截WEB漏洞。主要有安全狗、云锁等 硬件WAF:主流防御流量和部分WEB攻击...原创 2021-01-28 16:16:08 · 1447 阅读 · 1 评论 -
网络安全—XSS漏洞
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。一、XSS漏洞出现的两个条件1、可能控制的输入点2、输入能返回到前端页面上被浏览器当成脚本语言解释执行二、XSS危害cookie窃取会话劫取键盘记录客户端信息探查网页.转载 2020-09-29 15:24:09 · 750 阅读 · 0 评论 -
网络安全入门基础须知
风险评估1)渗透测试技术:踩点扫描探测、信息收集、暴力解决、漏洞扫描、Web权限获取、Web提权、溢出攻击、植入后门、内网渗透等。2)安全漏洞的代码审计和代码加固技术:缓冲区溢出、拒绝服务、远程命令执行、注入、跨站、Web提权。转载 2020-06-09 22:58:00 · 341 阅读 · 0 评论 -
面试常见问题之OWASP top10
最近找工作浏览时,发现好多安全渗透岗的工作要求中有提到熟悉OWASP top 10这点,特意上网搜了下发现有好多关于这方面介绍,因此总结了一下,同时也分享给大家。OWASP top 10是什么?首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互...原创 2020-05-05 21:24:25 · 1980 阅读 · 1 评论