![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
文章平均质量分 64
q996966912
这个作者很懒,什么都没留下…
展开
-
渗透测试业务逻辑测试汇总—通用篇
渗透测试业务逻辑测试汇总—通用篇- 0x00:前言在漫漫渗透路中,“业务逻辑漏洞“一词,想必各位都不陌生。行业内统一把程序逻辑不严谨或复杂导致的逻辑错误,造成的一系列危害的问题称为逻辑漏洞。业务逻辑漏洞覆盖面极广,可以说存在于目标的各个方方面面。网上对于业务逻辑的文章多到数不清,但是能尽可能详细的归纳总结的却少之又少。因为一人一个思想,对于不同人员开发的系统,逻辑问题也各不相同,因此菜鸡我主要是针对于通用的模块的测试点,尽可能的细化的整理。能让大家脑海中能有个大致的测试思维导图。- 0x01:通用测试原创 2020-07-23 17:29:07 · 421 阅读 · 0 评论 -
常见安全漏洞及解决方案
概述:常见的安全漏洞:漏洞名称漏洞背景避免方法解决方案CSRF(跨站请求伪装)攻击者诱导用户点击连接,用户浏览器携带cookie成功请求服务器,造成用户信息丢失。验证 HTTP Referer 字段token验证机制验证码spring-boot-security-csrfXSS(CSS,跨站脚本攻击)恶意攻击者往web页面插入恶意js代码,当用户浏览时潜入的代码会被执行,从...原创 2019-04-23 09:26:48 · 967 阅读 · 0 评论 -
GoogleHacking语法
常见的GoogleHacking语法intext:(仅针对GIoogle有效)把网页中的正文内容中的某个字符作为搜索的条件intitle:把网页标题中的某个字符作为搜索的条件cache搜素搜索引擎里关于某些内容的缓存,可能会在过期内容中发现有价值的信息filetype:指定一个格式类型的文件作为搜索对象inurl:搜索包含指定字符的URLsite:在...原创 2019-04-23 09:52:15 · 409 阅读 · 0 评论 -
渗透测试中常用WINDOWS命令
ifconfig /all 获取获取域名、IP地址、DHCP服务器、网关、MAC地址、主机名net time /domain 查看域名、时间net view /domain 查看域内所有共享net view ip 查看对方局域网内开启了哪些共享net config workstation 查看域名、机器名等net user 用户名 密码 /add 建立用户net user guest ......原创 2019-05-05 10:21:26 · 1777 阅读 · 1 评论 -
web渗透笔记
信息泄露特殊页面404、403、500等异常页面是否显示版本信息HTTP返回头返回头中是否显示服务器版本等信息CMS信息对使用的cms系统版本信息是否明确显示,是否特征信息、页面未做自定义处理敏感文件在根目录下留存有开发、测试、运维人员的数据文件,并可浏览下载(wwwscan、御剑)后台管理页面对于隐藏后台页面,若被猜解出来(wwwscan、御剑)用户信息在用户交互系统...原创 2019-08-21 18:36:45 · 159 阅读 · 0 评论