- 博客(6)
- 收藏
- 关注
RSS订阅
原创 XSS漏洞概述及使用
XSS 漏洞概述简介XSS作为OWASP TOP 10 之一XSS被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击) 主要基于javascript (JS) 完成恶意的攻击行为。JS可以非常灵活的操作html,css和浏览器,这使得XSS攻击的"想象"空间特别大。 XSS通过将精心构造的代码(JS)代码注入到网页中,并由浏览器解释运
2021-01-23 20:29:08
1562
原创 使用Weevely工具上传一句话木马
Weevely在上传木马进行后渗透测试的过程中可用于模拟一个类似于telnet的连接shell通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理Weevely生成的服务器端php代码经过了base64编码,可以绕过主流的杀毒软件和IDS上传服务器端代码后通常可以通过weevely直接运行使用它可以浏览文件系统,检测服务器设置,创建tcpshell和reverse shell。
2021-01-27 09:44:32
3038
2
原创 口令破解
现在很多地方都以用户名(账号)和口令(密码)作为鉴权的方式,口令(密码)就意味着访问权限口令(密码)就相当于进入你家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财务、你的隐私...
2021-01-26 14:35:00
1136
2
原创 XSS攻击的类型
XSS攻击的类型XSS攻击分成两类一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术如社会工程学等,欺骗目标服务器的管理员打开反射型XSS反射型XSS是非持久性、参数型的跨站脚本反射型XSS的JS代码在Web应用的参数(变量)中,如搜索框的反射型XSS在搜索框中,提交PoC[<
2021-01-26 11:20:37
2643
3
原创 SQL注入语句特征
SQL注入语句特征1.判断有无注入点; and 1=1 and 1=22.猜表一般的表的名称无非是admin adminuser user pass password 等…and 0<>(select count(*) from *)and 0<>(select count(*) from admin) --判断是否存在admin这张表3.猜帐号数目如果遇到0< 返回正确页面1<返回错误页面,说明帐号数目就是1个and 0<(sel
2021-01-25 20:43:59
2707
原创 SQL注入概述及使用
SQL注入御剑扫描网站后台SQL注入点的判断?id=35 +1/-1select * from tbName where id=$id?id=35' 字符型还是数字型near ''' at line 1select * from tbName where id=35'?id=35 and 1=1 是否有布尔类型的状态?id=35 and 1=2select * from tbName where id=35 and 1=1select * from tbName where id=35
2021-01-25 11:22:32
299
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人