- 博客(5)
- 收藏
- 关注
RSS订阅原创 渗透测试实验 XSS和SQL注入
如果有某个Web应用程序的功能是负责将用户提交的数据存储到数据库中,然后在需要时将这个用户提交的数据再从数据库中提取出返回到网页中,在这个过程中,如果用户提交的数据中包含一个XSS攻击语句,一旦Web应用程序准备将这个攻击语句作为用户数据返回到网页中,那么所有包含这个回显信息的网页将全部受到XSS漏洞的影响,也就是说只要一个用户访问了这些网页中的任何一个,他都会遭受到来自该Web应用程序的跨站攻击。可以将SQL命令人为的输入到URL、表格域,或者其他一些动态生成的SQL查询语句的输入参数中,完成上述攻击。
2023-12-25 21:12:07
979
原创 渗透实验二 网络嗅探与身份认证
那么被欺骗主机的ARP高速缓存,被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的,从而达到ARP欺骗的目的。Sniffer(嗅探器)工作在OSI模型的第二层,利用计算机的网卡截获网络数据报文的一种工具,可用来监听网络中的数据,分析网络的流量,以便找出所关心的网络中潜在的问题。在现实网络中,攻击事件发生的频率越来越高,其中相当多的都是由于网站密码泄露的缘故,或是人为因素导致,或是口令遭到破解,所以从某种角度而言,密码的安全问题不仅仅是技术上的问题,更主要的是人的安全意识问题。
2023-12-23 22:16:44
962
原创 渗透测试实验1:网络扫描与网络侦察
Nmap还提供了一些高级的特征,例如:通过TCP/IP协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计算,并行扫描,通过并行ping扫描探测关闭的主机,诱饵扫描,避开端口过滤检测,直接RPC扫描(无须端口映射),碎片扫描,以及灵活的目标和端口设定。Nmap还提供了一些高级的特征,例如:通过TCP/IP协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计算,并行扫描,通过并行ping扫描探测关闭的主机,诱饵扫描,避开端口过滤检测,直接RPC扫描(无须端口映射),碎片扫描,以及灵活的目标和端口设定。
2023-12-23 21:58:14
1071
原创 网络渗透测试——作业记录3
ZoomEye(“钟馗之眼”)是知道创宇旗下404实验室驱动打造的网络空间搜索引擎。通过分布在全球的大量测绘节点,针对全球范围内的IPv4、IPv6地址库及网站域名库进行24小时不间断探测、识别,根据对多个服务端口协议进行测绘,最终实现对整体或局部地区的网络空间画像。Google 2.Shodan 网络空间设备搜索引擎 3.Censys 联网设备信息搜索引擎 4.FOFA.so 网络空间搜索引擎。与ZoomEye功能类似的搜索引擎还有哪些?利用ZoomEye进行相关搜索,截图。
2023-11-19 21:45:45
85
原创 网络渗透测试——作业记录
1、Kali虚拟机采用桥接模式;物理机连接Guet-WiFi,Kali中查看网络配置并截图,能获得IP地址吗?进行1.2的操作过后我们发现在校园网状态下我们无法获取ip地址,但在连接手机热点状态下我们能获取ip地址。2、Kali虚拟机采用桥接模式;物理机连接手机热点,Kali中查看网络配置并截图,能获得IP地址吗?对比可以看出多了一行“inet”的命令,此行就是连接手机热点对应的IP地址。3、对于1、2的结果,进行总结分析。发现校园网状态下并不能获取ip地址。虚拟机设置—网络适配器—桥接模式。
2023-11-12 22:16:01
164
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人