- 博客(3)
- 收藏
- 关注
RSS订阅原创 安全面试题
1、给你一个url,你有什么思路1)信息收集 a. 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b. 网站指纹识别(包括,cms,cdn,证书等),dns记录 c. whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) d. 子域名收集,旁站查询(有授权可渗透),C段等 e. google hacking针对化搜索,pdf文件,中间件版本...
2021-08-13 14:30:46
311
原创 SQL注入常用WAF绕过姿势
一、什么是WAF1、简介WAF部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如SQL注入,跨站脚本攻击,文件包含和安全配置错误)的攻击。2、工作原理检测异常协议:拒绝不符合HTTP标准的请求增强型的输入验证:代理和服务器端验证,而不仅仅是客户端验证白名单和黑名单基于规则和异常的保护:基..
2021-08-11 08:55:35
2442
原创 学习记录OWASP TOP 10
引子最近找渗透测试方面的工作,发现很多公司都要求熟悉OWASP TOP 10风险,写个帖子自己记录一下学习过程什么是OWASP TOP 10OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。1、SQL 注入简介:SQL 注入就是指 web 应用
2021-08-10 15:56:54
114
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人