![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试专栏
mubanxia
这个作者很懒,什么都没留下…
展开
-
SSRF攻击和防御
SSRF攻击和防御SSRF(Server-side Request Forgery,服务器端请求伪造)是攻击者通过向外网服务器端发起请求从而攻击内网系统。因为内网无法直接访问,而且内网和外网服务器相连。SSRF漏洞大多存在于外网服务器提供访问其他服务器并获取数据的功能,并且没有对目标地址过滤和限制。例如:在线翻译网址内容,接收邮件的服务器地址。内网防御一般比外网要弱,所以易受SSRF攻击。攻击方式:将内网ip编码(绕过过滤)放在url后。根据返回错误(501,502,404,403)可以判断端口是否原创 2020-05-28 15:28:17 · 345 阅读 · 0 评论 -
CSRF攻击和防御
CSRF攻击和防御CSRF(跨站点请求伪造)存在于这样的情况,一个宅A登陆B站,输入了用户名和密码,通过验证后,B站产生cookie信息并返回给浏览器。A没有关闭B站,在同一浏览器下打开了黑客发来的网站C,网站C中隐藏着一段功能为获取B站cookie的代码。此时恰巧B站和A的session尚未过期,浏览器的cookie还存有A的登陆信息。那么A会在自己不知情的情况下,用A自己的身份给黑客发去cookie。CSRF漏洞检测:HTTP的头含有一个referer字段,这个字段包含了HTTP请求的来源地址。如原创 2020-05-28 12:17:09 · 264 阅读 · 0 评论 -
SQL注入和XSS攻击
SQL注入的原理和防御机制SQL是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,达到欺骗服务器执行恶意SQL命令。简单来说,就是在登陆界面,域名里原创 2020-05-27 14:55:15 · 367 阅读 · 0 评论