- 博客(12)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 web安全————XSS(攻击篇)
所谓的跨站脚本攻击(XSS)是指攻击者通过“HTML注入”,从而对客户端的网页进行篡改,并且插入恶意代码(脚本),使用户在浏览网页时控制用户浏览器的一种攻击。因此XSS也成为了客户端的头号大敌,OWASP也因此多次把XSS列在TOP 10威胁的榜首。
2016-11-27 12:44:14
3238
原创 web————针对web的攻击技术
在分析针对web的攻击前,先要明白http协议本身是不存在安全性问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或者客户端、以及运行在服务器的web应用资源才是攻击的目标。 针对web应用的攻击,主要分为主动攻击和被动攻击两种攻击模式 主动攻击:攻击者访问web应用,直接将攻击代码传入的攻击模式(要求攻击者必须有访问该资源的
2016-11-20 12:30:34
827
原创 web————http(认证篇)
HTTP/1.1认证方式有如下几种:1,BASIC认证(基本认证)2,DIGEST认证(摘要认证)3,SSL客户端认证4,FORMBASE认证(基于表单认证)BASIC认证:basic认证是在HTTP/1.0版本就定义的,目前由于它的不灵活性、达不到服务端所要求的安全等级、且如果再一次进行认证时它根本无法进行注销,因此该认证并不常用。下面看看它的实现过程:1,客户端
2016-11-18 09:41:14
421
原创 web————https(详解篇)
由于互联网的快速发展,网络的攻防技术在不断的更新,http协议也愈发不安全,其缺点主要表现为:通信使用明文(不加密),内容可能会被攻击者窃听不验证通信双方的身份,因此攻击者有可能伪装为任何一方完成攻击无法证明报文的完整性,信息在通信过程中有可能已遭攻击者篡改 这不仅仅在http出现,很多的未加密协议也有类似问题。因此,加密技术就引入到数据传
2016-11-17 21:56:46
756
原创 web————http(报文详解篇)
http报文首部:报文首部——————————在客户端与服务端处理时,重要信息几乎都在这里空行(CR+LF)报文主题——————————所需要的用户和资源信息都在这里http请求报文中包含:报文请求的方法、url、http版本、http首部字段等。如:GET / HTTP/1.1Host: hackr.jpUser-Agent: Mozilla/5.0 (Win
2016-11-16 11:40:06
1825
原创 渗透————偏移注入
偏移注入:在注入过程中,可能会遇到注入知道表名,但是不知道列名,从而无法继续猜解,此时需要偏移注入解决。 偏移注入的流程: 1,判断字段数。例如:order by 猜字段数为22 2,判断表名。例如:union select 1,2,,,22 from admin (联合查询爆显位)
2016-11-16 10:34:05
2051
原创 web————http协议(初识篇)
初识状态码,通常浏览器访问web服务器时,服务器的response会夹带有状态码,状态码有三位数字组成,第一个数字定义了响应的类别,且有五种可能的取值: 1XX:指示信息————表示请求已经接受,继续处理 2XX:成功——————表示请求已被成功接收、理解、接受 (200 成功) 3
2016-11-15 23:02:00
496
原创 渗透————burpsuite(基础熟悉篇)
burpsuite是java语言编写的一款强大的综合工具,支持在线拦包、分析包、编码、提交、扫描等一系列功能鱼一身的软件。安装burpsuite时,本机要有jdk环境,burpsuit需要开启代理。 target————爬行地图(site map) proxy————代理设置及开关 spider————爬行
2016-11-15 22:22:23
4116
原创 Linux内核高性能测试工具pktgen的简单使用
为什么用pktgen进行性能测试?有时候需要对某个网卡或是设备进行性能测试,但是专业的测试仪还是比较昂贵的,此时只需要有一台Linux系统的服务器便可满足需求。关于pktgen的废话我就不多说,以下谈谈本人用pktgen对设备进行性能测试步骤,仅供新手参考,相互学习。准备工作:1,搭建测试环境。pktgen(接口1)————被测设备————(接口2)pktgen2,如果Linux中
2016-11-14 09:37:48
3636
原创 渗透————sqlmap
sqlmap使用(access): sqlmap.py -u 目标地址 sqlmap.py -u 目标地址 --tables //猜解表名 afmin sqlmap.py -u 目标地址 --colums -T admin sqlmap.p
2016-11-13 13:15:33
441
原创 渗透————PHP+MYSQL数据库(下)
PHP+MYSQL的web,在5.0版本后注入有所不一样,由于5.0以后的版本自带information_schema.tables数据库,因此相较5.0之前注入简单。在上篇文章简要说明了注入技巧,也有提到过不同权限的注入,本文简要说明root权限及其更高权限下的注入。 1,在收集信息阶段,注入use(),爆出当前用户为root时,有两种方法进行入侵:
2016-11-12 15:58:13
546
原创 渗透————PHP+MYSQL数据库(上)
SQL简单命令: mysql -u username -ppassword -h ip //进入MYSQL数据库 show database; //查看数据库有哪些文件 select version(); //查看数据库版本 use admin; //选择admin数据库 show table
2016-11-12 15:07:44
1019
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人