web安全
cat&seven
这个作者很懒,什么都没留下…
展开
-
web安全 漏洞初体验
**感受:**这两天,老师拿了授权的网站给我们这些新手试试手,让让我们找找漏洞。自己用的sql xss 上传比较多,也只熟悉这些,试了很多次,人就憨了,网站一检测到你的入侵行为,就报“waf检测到恶意注入”,“你存在hack行为,已禁你ip,若误封请与管理员联系”,“你的hack行为,以保存你的特征码”等等不友好信息,人就呆了,有点不知所措,有时有些网站做的很差,接口没写完,功能没实现,用户体验极差,感觉网站就只做了一半就跑,有点不好吧。回到检测漏洞,我感觉我所知道的检测方法太贫穷了,我就晚上又学了点kal原创 2020-10-29 20:44:21 · 611 阅读 · 1 评论 -
web安全学习 环境搭建漏洞
这几天学习web安全,搭建环境遇到了很多问题。首先就是安装了phpstudy搭建网站时,遇到了403问题,提示文件读取权限不够和没有index页面,看了下这些都是有的,很茫然,于是又重新搭建最后发现还是不行,最后才知道phpstudy自带的版本太高,要换一个5.2的低版本,最后才行的。然后在创建网站的数据库时 又遇到了sql执行错误 1055,最后在my.ini添加了这句话才解决的。sql_mode = STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,E原创 2020-10-27 11:08:32 · 291 阅读 · 0 评论 -
web安全 上传漏洞 upload-labs 一到三关
upload-labs下载地址:github项目地址:https://github.com/c0ny1/upload-labs安装:下载解压后,直接放在www目录下后,即可使用,看了没有数据库,但是我用的时候有点卡,页面的切换很慢。webshell通过上传一句话木马(也就是webshell)到目前web服务目录,从而获得系统权限,asp、php、jsp、aspx皆可。常见一句话木马:php:<?php @eval($_POST['pass'])?><?php @eval($原创 2020-10-23 09:38:13 · 851 阅读 · 1 评论 -
web安全之 xss漏洞 xss challenges
http://xss-quiz.int21h.jp/可用于联系xss漏洞第一题直接注入第二题查看代码:制造闭合语句第三题直接输入时无变化 使用burp后查看具有两个参数的传递通过更改两个参数参数的注入 达到目的 p2为主要的参数 试用其判断两个参数必须有值 开始只改变p1的值没有变化。。。发现p2是主要参数后来改变p2参数 又忘记改p1了。第四题与第四关相似 不过多了个参数p3尝试使用第三关的方法 不行看见了这个可与前面第二题相似 尝试 构造闭合">原创 2020-10-20 19:54:53 · 321 阅读 · 0 评论