- 博客(5)
- 收藏
- 关注
RSS订阅原创 web安全攻防SQL注入漏洞
靶场地址:http://110.40,154.100:8000/1.在浏览器中输入靶场地址2.在地址后面输入admin进行用户验证(进入后输入用户名admin,密码随便输入一个)3.在kali中打开burpsuite4.然后在浏览器中的设置(settings)中打开手动代理,进行抓包5.将抓包完的内容发送到Intruder模式下的Positions,并点击Clear清除自动添加的变量,之后设置点击Add设置密码为变量名6.然后到Intruder模...
2022-05-13 18:29:01
396
原创 网络渗透测试实训周笔记3.0
1.代码审计概念代码审计,是对应用程序源代码进行系统性检查的工作。目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。 代码审计不是简单的检查代码,审计代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。代码审计入门基础:html/js基础语法、PHP基础语法 ,面向对象思想,PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等),Web漏洞挖掘及利用,W
2022-03-27 12:10:52
4630
原创 实训笔记2.0
3.22CSRF漏洞介绍CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比 X
2022-03-24 23:02:55
367
原创 网络渗透测试
主机信息收集技术—基础知识黑客攻击的一般过程:1.主机信息收集技术—Nmap(1)信息收集主要收集目标主机的相关信息,主要包括端口、服务、漏洞等信息。信息收集手段多样,可借助工具也多种多样。端口扫描:Nmap。(2) Nmap的基本Nmap+ ip6+ ipNmap -A开启操作系统识别和版本识别功能–T(0-6档)设置扫描的速度一般设置T4过快容易被发现-v显示信息的级别,-vv显示更详细的信息192.168.1.1/24扫描C段192.168.11-254=上.
2022-03-22 20:49:30
1410
原创 网络渗透测试之信息收集二
1.5指纹识别 CMS(COntent Management System)又称整站系统或文章系统,内容管理系统。 。在2004年以前,如果想进行网站内容管理,基本上都靠手工维护,但在信息爆炸的时代,完全靠手工完成会相当痛苦。所以就出现了CMS,开发者只要给客户一个软件包,客户自己安装配置好,就可以定期更新数据来维护网站,节省了大量的人力和物力。本节所讲的指纹是指网站CMS指纹识别、计算机操作系统及Web容器的指纹识别等。 常见的CMS有:Dedecms(织梦)、Discuz、P...
2022-03-17 21:46:52
158
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人