- 博客(9)
- 收藏
- 关注
RSS订阅原创 web渗透常见攻击实例
随笔,总结一下经常挖到和遇到或者危害性较大的漏洞,希望大家能留言查漏补缺SQL注入,自学——>SQL注入详解XML注入,自学——>XML注入详解.git库.svn库.rar压缩等,自学——>敏感信息详解XSS跨站脚本,自学——>XSS(跨站脚本)漏洞详解XXE漏洞,自学——>XXE(XML外部实体注入)漏洞目标遍历,自学——>信息收集,fofa测试查找路径穿越获取目标目录cookie类型,自学——>是否注销和劫持漏洞url跳转,自学——>dns
2021-12-16 11:40:27
3604
原创 OWASP Top 10 2021
文章目录OWASP Top 10 2021A01:失效的访问控制A02: 加密失败1.引入库标题2.读入数据OWASP Top 10 2021OWASP Top 10 2021总体来说,2021年新鲜出炉的OWASP Top 10榜单出现了三个新的类别,还有四个类别的名称和范围发生了变化,甚至还对一些类别进行了合并。A01:失效的访问控制概述访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。映射到访问控制
2021-11-25 16:37:25
2712
原创 OWASP TOP10 移动安全漏洞(安卓)2017
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言OWASP TOP10 移动安全漏洞(安卓)一、脆弱的服务器端安全控制二、不安全的数据存储三、传输层保护不足四、意外的数据泄露五、弱授权和身份认证六、密码破解七、客户端注入八、通过不可信输入进行安全决策九、Session 会话处理不当十、缺乏二进制文件保护前言OWASP TOP10 移动安全漏洞(安卓) 2017OWASP TOP10 移动安全漏洞(安卓)一、脆弱的服务器端安全控制在 OWASP 排第一的漏
2021-11-25 16:20:04
4082
原创 基础渗透知识
手工注入测试语法大多数技术相关漏洞都是因为注入非法字符串导致出现漏洞,xss是js代码注入,js可以控制当前浏览器页面;sql注入是注入的sql命令,sql是操作数据库的语言;命令注入,操作系统命令可以控制机器; 就因为用户输入的非法字符串,被不安全代码处理,让 操作系统/编程语言/数据库/浏览器 理解执行后,导致出现了漏洞。一、SQL注入page=1 'page=1 ''page=1%cc'page=1’-sleep(10)-page=1"page=1""page=1%cc"page=
2021-01-22 15:26:06
329
原创 Web网络安全知识扫盲
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言Web网络安全基础知识扫盲提示:以下是本篇文章正文内容一、pandas是什么?示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。二、使用步骤1.引入库代码如下(示例):import numpy as npimport pandas as pdimport matplotlib.pyplot as pl
2021-01-22 10:20:35
201
原创 网络安全基础知识
一、NAT是什么?怎样隐藏内部ip?重装系统的方法:制作U盘启动 *rufus驱动备份资料软件查询一下biosU盘启动装win10 全盘安装 efi+gptwin7 需要安装驱动二、网络基础缺省子网掩码=默认网关子网划分步骤:[外链图片转存中…(img-8HYRQGs4-1597051237541)]cmd 命令设置登录时间 net user name /times:列出所有连接 netstat -ano显示
2021-01-22 10:20:00
282
原创 SQL注入漏洞[OWASP TOP 1]
文章目录一、SQL注入漏洞[OWASP TOP 1]二、SQL注入的位置三、常见的防范方法四、sql注入的危害一、SQL注入漏洞[OWASP TOP 1]所谓SQL注入,就是通过把SQL命令插入到Web表单中[此处涉及到sql注入的点]提交最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有的web应用程序,将(恶意的)SQL命令注入到后台数据库引擎,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.二、SQL注入
2021-01-22 10:19:12
374
原创 XSS漏洞[OWASP TOP 7]
文章目录一、XSS漏洞[OWASP TOP 7]二、XSS攻击分类1.反射型XSS2.持久型XSS3.DOM XSS三、常见的防范方法四、漏洞危害一、XSS漏洞[OWASP TOP 7]XSS攻击就是——攻击者往Web页面里插入恶意html标签或者javascript代码。跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScr
2021-01-22 10:19:02
162
转载 内外渗透总结
一.前言本文及以后系列仅限于针对小白的学习,首先我们先大体了解一下我们要做的渗透到底有哪些,渗透包括但不限于前端渗透(web安全),后渗透及内网渗透,此系列为后渗透的讲解。二.什么是后渗透我们了解到前端安全包括了SQL注入,任意文件上传,XSS,CSRF,逻辑漏洞,跨域漏洞等等,我们知道我们都想将这些漏洞加以利用或组合来进行getshell的。在这里我们再区分一下getshell和webshell的区别,webshell更多的是获取前端的权限,顾名思义,一般仅限于前端或文件的增删改查;那么getshe
2020-08-30 16:22:12
1525
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人