安全测试相关
文章平均质量分 84
安全测试:就像一栋楼里面的灭火器,平常无关紧要,当火灾发生的时候,就显得至关重要了。
程序员与诗人
知其然也要知其所以然,之乎者也!
展开
-
安全测试必学神器 --BurpSuite 安装及使用实操
点击查看其返回结果,查看Render页面回显,提示"Welcom ....",说明password为正确密码,登录成功。再去支付界面点击“立即购买”。3、再去操作登录,输入admin、密码先随意输入一个,点击Login,就可以看到拦截的登录信息。一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。原创 2024-05-17 12:57:57 · 1054 阅读 · 0 评论 -
安全测试必备工具——SQLMap 安装及基本应用
输入:python sqlmap.py -u http://192.168.253.137/vulnerabilities/sqli/?3、进入解压后的目录,在显示目录路径位置输入cmd回车,在弹出的命令行窗口,输入 python sqlmap.py即开启工具使用。运行过程中需要用户输入y/n才能进入下一步操作,如果希望跳过这些,可以在命令末尾加 --batch。2、将下载好的sqlmap-master.zip压缩包,解压到自己需要的目录。--current-db:获取当前数据库。原创 2024-04-30 12:58:04 · 756 阅读 · 0 评论 -
一款安全、简单、有效的蜜罐平台Hfish,windows 搭建教程!
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。原创 2024-04-28 12:55:19 · 496 阅读 · 0 评论 -
一篇文章教你玩转,入门级 SQL 注入实战!
uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。原创 2024-04-11 12:55:43 · 505 阅读 · 0 评论 -
SQL 注入之 Windows/Docker 环境 SQLi-labs 靶场搭建!
4、打开浏览器,输入“http://windows服务器ip/sqli-labs-master/” ,可以看到如下的界面,点击“Setup/reset Database for labs”,会出现Access denied的提示。3、执行:docker run -dt --name sqli-labs -p 81:80 --rm acgpiano/sqli-labs, 将镜像运行为容器。--name sqli-labs 将容器命名为sqli-labs。acgpiano/sqli-labs 镜像名。原创 2024-04-07 13:04:32 · 1268 阅读 · 0 评论 -
保姆级教程!安利一款Kali Linux 安装 + 获取 root 权限 + 远程访问!
kali是linux其中一个发行版,基于Debian,前身是BackTrack(简称BT系统)。kali系统内置大量渗透测试软件,可以说是巨大的渗透系统,涵盖了多个领域,如无线网络、数字取证、服务器、密码、系统漏洞等等,知名软件有:wireshark、aircrack-ng、nmap、hashcat、metasploit-framework(msf)。原创 2024-02-24 22:10:18 · 1235 阅读 · 0 评论 -
再讲 Session 和 Token,彻底弄明白
在构建用户身份管理系统时,选择会话(Session)还是令牌(Token)是一个关键决策,取决于系统的需求和特定的使用场景。本文将深入探讨何时适合使用会话,何时适合使用令牌,以帮助开发人员在实际应用中做出明智的选择。众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。原创 2024-02-01 13:43:51 · 1111 阅读 · 0 评论 -
配置过不一定懂,IP协议的那些事
比如你配置的电脑 IP 地址,配置的子网掩码是 255.255.255.0 的格式,将其换算成二进制为 11111111·11111111·11111111·00000000,这就表示 IP 地址 32 位里前面的 24 位都是网络地址,剩下 8 位是主机地址。使用保留地址的网络只能在内部进行通信,也就是我们常说的局域网内部,而不能与其他网络互连。以上提到的 IP 地址在全世界范围内唯一,看到这句话你可能有这样的疑问,像 192.168.0.1 这样的地址在许多地方都能看到,并不唯一,这是为什么呢?原创 2024-01-25 13:04:21 · 838 阅读 · 0 评论 -
安全测试不知如何入门?老司机带你实战训练!
XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。同样在后台界面,当我们使用 Burpsuite 进行暴力破解的时候,虽然存在验证码,但是经过测试,这里的验证码可以多次复用,因此存在验证码复用漏洞。在浏览网站的时候,看到在此处可以填写预约信息,根据经验得知:此类 cms 应该存在 xss 漏洞,后期的时候会进行测试。根据刚刚已知后台的地址和密码进行登录,点击在线预约管理,可以看到此处的留言都是看不到的,任意打开一个看看。原创 2023-09-05 17:33:25 · 157 阅读 · 0 评论