- 博客(10)
- 资源 (3)
- 收藏
- 关注
原创 Nmap详解--如何运用到实际工作中及如何灵活使用
Nmap(Network ,Mapper网络映射器)是一款开放源代码的网络探测器和安全审核工具,它被设计用来快速扫描大型网络,包括主机探测与发现,开放端口情况,操作系统与应用服务指纹识别,WAF识别及常见安全漏洞,它的图形化界面是Zenmap,分布式框架为DNmapNmap特点如下主机探测:探测网络上的主机,如列出TCP和ICMP请求,ICMP请求,开放特别端口的主机 端口扫描:探测目标...
2019-08-13 17:37:07 612
原创 什么是SSRF
漏洞解释SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)SSRF漏洞形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制.例如,黑客操作服...
2019-08-13 10:25:05 5191
原创 什么是XXE漏洞
漏洞解释XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具体结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义,文档元素.常见的XML语法结构如下所示<?xml version="1.0"?>XML声明<!DOCTY...
2019-08-12 23:22:34 3044
原创 什么是文件上传漏洞
漏洞原理由于程序员在对用户文件上传功能实现代码上没有严格限制用户上传的文件后缀以及文件类型或者处理缺陷,而导致用户可以越过其本身权限向服务器上上传可执行的动态脚本文件:简单的来说:服务器端没有对客户端上传的文件进行严格验证或过滤,用户可以上传一个可执行的脚本文件,并通过此脚本获得了执行服务器端命令的能力.漏洞危害针对上传功能的Dos攻击 使上传文件在服务器上作为脚本执行 诱...
2019-08-12 11:49:10 2373
原创 什么是文件包含漏洞
漏洞解释:File inclusion(文件包含漏洞)是一种常见的依赖于脚本运行而影响web应用程序的漏洞,许多脚本语言支持使用包含文件(include file),这种功能允许开发者把可使用的代码插入到单个文件中,在需要的时候将他们包含在特殊功能的代码中,然后,包含文件中的代码被解释,就好像它们插入到包含指令的位置一样,当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者在运行...
2019-08-12 10:06:42 5872
原创 什么是命令注入漏洞
漏洞原因:web应用程序有时需要调用一些系统命令的函数,如PHP中的system,exec,shell-exec等等,当用户能够控制这些函数中的参数时,就可以将恶意参系统命令拼接到正常命令中,从而造成命令注入攻击漏洞形成需要同时满足以下三个条件:使用了内部调用shell的函数(system,exec) 将外界传入的参数传递给内部调用shell的函数 参数中shell的元字符没有被转...
2019-08-11 21:56:26 4824
原创 什么是XSS漏洞---漏洞原理学习
漏洞原理:xss(cross site script)跨站脚本攻击,指的是攻击者往web页面插入恶意脚本代码,当用户浏览时,嵌入web页面里的脚本代码就会执行,从而达到恶意攻击用户的特殊目的xss攻击中一般有三个角色:攻击者,目标服务器,受害者浏览器漏洞原因:生成html过程中,html语法中含有特殊意义的字符(元字符)没有被正确处理,服务器端没有对用户输入进行安全方面的校验,攻击...
2019-08-11 17:32:26 2375
原创 owasp top 10(2017)
10项最严重的 Web 应用程序安全风险注入 xss csrf 敏感信息泄露 xxe 使用已知漏洞的组件 失效的身份认证 失效的访问控制 安全配置错误 不足的日志记录和监控...
2019-08-11 11:44:22 205
原创 什么是CSRF(待完善)
CSRF解释:Cross-site rquest forgery(跨站点请求伪造)指利用受害者尚未失效的身份认真信息(cookie.会话等)诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害者不知情的情况下以受害者的身份证向服务器发送请求,从而完成非法请求.CSRF产生原因:web应用存在以下特性:form元素的action属性能够指定任意域名的url 保存在cookie...
2019-08-11 11:40:42 562
原创 Win7查看及打开端口命令
查看端口命令netstat -an 查看本地上所开放的所有端口netstat -ano 显示出所有占用端口的列表netstat -ano|findstr "80" 显示80端口占用的详细情况 tasklist |find "139" 查询端口具体那个应用占用,tasklist命令是win用来显示运行在本地或远程计算机上的所有进程的命令行工具,等同于linux上的top命...
2019-08-07 16:35:45 15966
ew-master.zip
2020-07-19
ms14-068利用工具包.zip
2020-07-01
BurpSuite安全测试工具
2020-06-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人