安全
安全测试
Yuna618
这个作者很懒,什么都没留下…
展开
-
有道词典pc客户端存在dll劫持漏洞
1.有道词典下载官网: http://cidian.youdao.com/multi.html#pcAll2.用Process Explorer查看有道词典YoudaoDict.exe打开调用的dll3.保存下来整理后4.然后用工具加载,操作后显示DPAPI.dll和USERENV.dll存在dll劫持5.把我们的payload.dll改名为DPAPI.dll,放进D:\Dict目录下,打开有道词典发现直接运行了恶意的dll文件,弹出了计算器。...原创 2021-10-03 22:29:20 · 1857 阅读 · 0 评论 -
24个常见渗透测试漏洞靶场列表
0x01 在线靶场BUUCTF在线评测:https://buuoj.cnVulhub漏洞环境集合:https://vulhub.org韩国Webhacking:https://webhacking.kr重生信息安全在线靶场:https://bc.csxa.cn网络信息安全攻防学习平台:http://hackinglab.cn墨者学院在线靶场:https://www.mozhe.cn/bug封神台在线演练靶场:https://hack.zkaq.cn/battle安鸾渗透实战平台:http:原创 2021-09-09 21:02:51 · 6277 阅读 · 0 评论 -
2021年安全类公众号合集
网安杂谈公安部网安局中国信息安全网络安全联盟三六零CERT奇安信CERT绿盟科技CERT快识3072Xsafen1ntylin先森杂术馆安全鸭黑战士T9SecBypasshuasecXG小刚SecWiki404安全安译Sec(已注销)国产008Kali笔记边界安全阿乐你好乌雲安全Hack之道学蚁致用GobySec长安刺客信安本原信安随笔骨哥说事小迪安全安全猎人(已注销)星晴安全亿人安全安全初心台下言书子弹安全渗了个透代码审计原创 2021-09-09 20:38:54 · 4653 阅读 · 0 评论 -
OWASP TOP-2013
A1-注入..注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时间时访问数据。A2-失效的身份认证和会话管理..与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他漏洞去冒充其他用户身份。A3-跨站脚本(XSS)..当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送原创 2021-03-24 11:26:10 · 262 阅读 · 0 评论 -
建立基本网络模型
1.建立网络思维模型的必要2.局域网的简单通信3.OSI七层模型4.保障自身安全建立网络思维模型的必要 - 宏观意识1 . 我 们 只 有知 道 了通 信 原 理 , 才 能 够清 楚 的知 道 数据 的 交 换过 程 。2 . 我 们 只 有知 道 了网 络 架 构 , 才 能 够清 楚 的、 准 确的 寻 找 漏洞 。 培养宏观意 识 ,是 我们 首 先要做的 … …局域网的简单通信(数据链路层)一 般 局 域 网 都 通 过 交 换 机 / 路 由 通 信 , 古 老原创 2021-01-21 13:11:44 · 425 阅读 · 0 评论 -
简单坏境组建
1.坏境搭建的必要2.学会使用虚拟机3.一个请求的处理过程4.实战搭建php/aspx/jsp环境学会使用虚拟机的必要 - 保障自身财产安全一 般 学 习 的 过 程 中 , 需 要 很 多 环 境 支 持 , 以 及 工 具 、 资 料 的 使 用 , 但 是 其 文 件 的 安 全 性 我 们 不 能 疏 忽 。 可 能 会 碰 到 木 马 、 病 毒 等 等 。虚拟机特点可 自 主 配置 网 络环 境 、 快 照 还原 、容器硬件配置、宿主与容 器互不干 扰 . . .原创 2021-01-21 12:56:35 · 146 阅读 · 2 评论 -
七层
第一层 静态层这个层面我们有遇到JS、html(xx2-3天)等等,可以横向延伸到漏洞方向有:XSS、CSRF、jsonp跨域,点击或劫持问题等等,横向延伸到组件方向有:JQuery、vue.js、node.js、angular.js...等等第二层 脚本层这个层面我们有遇到的asp、aspx、php、jsp、perl、cgi....等等,可以横向延伸到漏洞方向有:远程代码执行、文件包含、文件上传、逻辑漏洞、SQL注入....等等,横向延伸到组件方向有:Zend Framework、Thi..原创 2021-01-21 12:36:22 · 76 阅读 · 0 评论 -
web安全扫盲
A、初识渗透B、B/S|C/SC、HTTP协议渗透测试是什么?渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立的检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。技术架构-CS(Client / Server)C l原创 2021-01-20 17:09:14 · 114 阅读 · 0 评论