- 博客(11)
- 收藏
- 关注
RSS订阅原创 xss
1、XSS:跨站脚本攻击。cross-site scripting。本质:客户端代码注入漏洞,通常注入代码是js脚本。存储型XSS反射性xssDOM型xss手工检测XSS思路:已知输出位置(1)输入敏感字符<>"'()&,看有没有转义未知输出未知(1)"/><script>alert(1)</script>如果显示区域不...
2018-08-10 09:18:45
4405
1
原创 mysql
1、limit用法:limit是mysql的语法select * from table limit m,n其中m是指记录开始的index,从0开始,表示第一条记录n是指从第m+1条开始,取n条。select * from tablename limit 2,4即取出第3条至第6条,4条记录例如:DVWA中级别:2、Mysql数据库information_schema系统表...
2018-08-09 17:06:29
431
原创 sql注入漏洞类型分类
1、(基于错误的get单引号字符型注)'id='$id'2、(基于错误的get整型注入)id=id3、(基于错误的get单引号变形字符型注入)id=('$id') 4、(基于错误的GET双引号字符型注入)id=("$id")5、盲注单引号字符型注入5、盲注双引号字符型注入 ...
2018-08-09 10:18:10
5417
原创 web安全手工测试---浏览器使用(实验原理及思路更重要)
1、火狐浏览器禁用JS:打开火狐--->about:config--->javascript.enabled--->切换成false;2、两个例子3、黑掉网站思路:发现漏洞、验证漏洞、利用漏洞、获取权限 保护网站:发现漏洞、验证漏洞、思考原理及成因、修复漏洞4、浏览器安全特性及设置:谷歌+火狐+IE(可导致同一个漏洞在不同浏览器触发效果不同,根...
2018-08-07 13:50:58
827
原创 http包详解
必须认识的http请求包Requests Header | Http HeaderHeader 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-En...
2018-08-07 12:50:58
3392
原创 前端知识
一、html:超文本标记语言HTML文档:由html元素组成,每个html元素又有标签、内容及属性组成。(1)(2)(3)web安全中常见的html元素:1、注释2、图像3、链接4、表单:用于浏览器表单提交5、内联框架(4)DOM树形结构:二、JSP基础知识:(1)(2)DOM:文本对象模型1、 ...
2018-08-06 21:26:27
168
原创 命令注入漏洞
1、注入:通过web程序在服务器上拼接系统命令。2、命令注入的三个条件 3、windows下链接命令的符号:&&、&、|、||命令拼接符号的区别4、命令注入的攻击过程5、渗透技巧:(1)不推荐黑名单解决漏洞;如果使用黑名单过滤了敏感命令怎么办?命令中可以加入双引号绕过敏感命令(此时黑名单很难匹配)(2)如果不显示输出结果怎么办?...
2018-07-30 21:16:46
12336
原创 sql注入及盲注漏洞
1、发现和利用sql注入漏洞的基本流程:首先找到有数据库交互的功能页面---判断页面是否存在sql注入--利用sql注入漏洞读取数据--导出所需数据sql 注入的基本步骤(这个跟sqlmap的步骤基本一致吧)(1)判断是什么类型注入,有没过滤了关键字,可否绕过(2)获取数据库用户,版本,当前连接的数据库等信息(3)获取某个数据库表的信息(4)获取列信息(5)最后就获取数据了2...
2018-07-24 10:34:20
17421
1
原创 敏感文件探测
1、python环境配置2、敏感文件探测实践敏感文件类型:(1)网站管理后台(2)数据文件(3)备份文件敏感文件探测原理(1)猜测文件名,然后根据返回的http状态码判断文件是否存在(例如:200文件存在、301文件发生跳转、404文件不存在)(2)3、改进思路(1)php的站点用ASP的字典扫描无用。判断常见的网站脚本类型?(ASP、PHP、ASPX、JS...
2018-07-17 20:26:32
1791
原创 点击劫持漏洞
iframe:可以创建包含另一个文档的内联框架 display属性:设置元素的显示方式;border:边框;margin:边距;button:调整位置1、点击劫持:通过覆盖不可见的框架误导受害者点击而造成攻击的特点:隐蔽性高、骗取用户操作、UI-覆盖攻击、利用iframe或者其他标签的属性原理分析:设置目标网站的可见度,达到欺骗用户的目的(可以将目标可见度属性设置为0,主要针对iframe...
2018-07-09 20:41:18
1576
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人