![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
数据安全
文章平均质量分 75
LiVicto
这个作者很懒,什么都没留下…
展开
-
《小迪安全》学习笔记7 信息收集-CDN相关
# 如何判断目标存在CDN服务?利用多节点技术进行性请求返回判断:超级ping# CDN对于安全测试有哪些影响?# 目前常见的CDN绕过技术有哪些?子域名查询邮件服务查询国外地址请求遗留文件:inurl:phpinfo,扫描全网黑暗引擎搜索特定文件:shodan zoomeyedns历史记录,以量打量(不推荐)www.get-site-ip.com练习:xueersi 子域名上的小技巧 通过ping.chinaz.com 看*和www.的区别www原创 2021-10-12 09:31:39 · 1573 阅读 · 0 评论 -
Web安全深度剖析-第7章-XSS跨站脚本漏洞
XSS又叫CSS(Cross Site Scripting),即跨站脚本攻击。XSS是指攻击者在网页中嵌入客户端脚本,通常是JS恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。可知,XSS属于客户端攻击,受害者是用户。可以通过攻击网站管理员的方式来对网站进行文件管理、数据管理等操作。XSS原理解析想要深入研究XSS,要精通JavaScript。JS可以用来获取用户的Cookie、改变网页内容、URL调转,那么存在XSS漏洞的网站,就可以盗取用户Cook原创 2021-08-31 17:10:02 · 418 阅读 · 0 评论 -
Web安全攻深度剖析-第六章-上传漏洞
解析漏洞常见的web容器有iis、Nginx、Apache、Tomcat等,下面以IIS、Apache容器为例讲解。IIS解析漏洞当建立.asa、.asp格式的文件夹时,其目录下的任意文件都被IIS当做asp文件来解析。例如:建立文件夹abc.asp,在abc.asp文件内新建一个文本文档test.txt,其内容<%=NOW()%>,然后再浏览器内访问。IIS还有个经典漏洞,名为WebDav。WebDav扩展了HTTP协议,在get、post等几个http标准方法以外原创 2021-08-25 17:00:09 · 330 阅读 · 0 评论 -
Web安全攻防渗透测试实战指南-第四章-Web安全原理剖析
SQL注入的基础介绍SQL注入SQL注入就是利用开发人员动态使用SQL语句产生的漏洞进行数据库攻击。以PHP语句为例:$query="SELECT * FROM users WHERE id=$_GET ['id'] ";由于这里的参数ID可控,且带入数据库查询,所以非法用户可以任意拼接SQL语句进行攻击。SQL注入按照不同的分类方法可以分为很多种,如报错注入、盲注、Union注入等。SQL注入的原理SQL注入漏洞的产生需要满足以下两个条件。参数用户可控:前端传给后..原创 2021-08-23 16:19:10 · 478 阅读 · 0 评论 -
Web安全攻防渗透测试实战指南-第一章-信息收集
目录收集域名信息Whois查询收集敏感信息收集子域名信息子域名检测工具搜索引擎枚举第三方聚合应用枚举1.收集域名信息知道目标域名后,首先获取该域名的DNS服务器信息和注册人的联系信息。常见的收集方法有以下几种。Whois查询用Whois命令查询。例如:Whois baidu.com还有访问whois.chinaz.com2.收集敏感信息可以利用搜索引擎查询域名的敏感信息,例如谷歌的: site 指定域名 inurl.原创 2021-08-11 11:11:55 · 1256 阅读 · 0 评论