自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(5)
  • 收藏
  • 关注

原创 Apache Solr Velocity模块漏洞复现

10月31日发现的apache solr的最新漏洞,经过测试该poc真实有效,且危害性高。poc地址:https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt漏洞原理:攻击者可以直接访...

2019-11-01 22:04:53 272

原创 XSS的构造与变形

※XSS:XSS 是OWASP TOP10之一的漏洞,被称为跨站脚本攻击,是发生在服务器的漏洞,常出现于微博、留言板、聊天室等手机用户输入的地方,都有可能被注入XSS代码。※XSS的构造(现在有三种方法)1.利用<>构造HTML/JS在测试页面,提交参数<script>alert(xss)</script>2.伪协议使用JavaScr...

2019-10-14 19:40:06 1230 2

原创 基于dvwa平台的手工sql注入(级别:low)

首先进入dvwa平台的sql injection页面。在user id中提交:1 此时在url中显示出了?id=1,数据库的信息显示到页面上了,有回显。在url中提交id=1' 页面报错将后面的语句通过--+注释掉,此时页面正常显示。我们可以知道漏洞参数是:id我们要进行的是 “字符型漏洞” 注入。以上信息确定好后,我们可以进行联合查询。首先使用orde...

2019-10-13 15:47:14 853

原创 hydra爆破

简单介绍一下本款软件:hydra也称九头蛇,是一个支持众多协议的爆破工具,且Windows/Linux环境下都支持(个人认为在linux环境下更好用),且本软件已经集成到kali系统中,所以一下所有示例都在kali系统下完成。hydra官网:http://www.thc.org/hydra使用在线破解的方式进行账号密码认证,通常有一下几种情况:1.用户名未知,密码未知。2.用户名已知,密码...

2019-10-10 16:39:07 3702 1

原创 nmap简单的扫描主机和端口

扫描技术的作用:提高效率。主要用于资产发现,可以发现目标环境中有哪些联网设备,主机,服务器和服务...扫描神器---nmap https://nmap.org/ ※如果使用kali中的nmap建议使用桥接模式Nmap的介绍:Nmap有三个,一是探测一组主机是否在线,其次是扫描主机端口,嗅探所提供的网络服务,再就是可以推断主机所用的操作系统。扫描主机1.简单的扫描---该...

2019-10-10 12:30:09 10665 2

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除