安全技术
硬核Top
人生苦短 ,必须性感!
展开
-
ROT13是什么!
ROT13(回转13位,rotateby13places,有时中间加了个减号称作ROT-13)是一种简易的置换暗码。----《互动百科》简单的说就是通过将输入的原字符串ASCII+13/或者ASCC-13:原字符串:ABCDEFGHIJKLM NOPQRSTUVWXYZ abcdefghijklm nopqrstuvwxyz65 78 ...原创 2018-05-14 10:48:27 · 4196 阅读 · 0 评论 -
信息收集--子域名查询
whois可以查询出 域名的基本信息,但是我们更需要查找域名下面还有哪些子域名,对子站进行渗透、挖掘!子域名在线查找工具一、https://crt.sh/二、https://hackertarget.com/find-dns-host-records/三、https://dnsdumpster.com/...原创 2019-08-12 21:24:37 · 7309 阅读 · 0 评论 -
web安全:XSS基础知识点
1.安全三要素:机密性,完整性,可用性2.提高安全的方式黑白名单:跨域设置最小权限:root、sudo数据与代码分离原则:注入不可预测性:比如文章的id不要连续,应该随机;token随机;win系统的DEP机制网站用户loginID与用户的nickname分开,保护用户id3.恶意URL钓鱼网址检测:https://www.phishtank.com/index.php4.CSP机...原创 2019-08-12 21:13:57 · 308 阅读 · 0 评论 -
web安全:XSS测试平台使用教程
我接触使用过三个XSS平台1.脚本非常丰富:http://www.1oad.com2.简约:https://xsspt.com3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明;一、注册用户并登录二、创建项目1.创建项目,创建完后会生成一个xss可用脚本地址项目名...原创 2019-08-12 21:12:28 · 24052 阅读 · 19 评论 -
kali:常用基础命令
1.查看win系统用户列表net user2.查看进程列表tasklist | findstr “winlogon.exe”,查找进程名包含“winlogon.exe”的所有进程,详细使用方式使用tasklist/?查看。3.信息收集扫描端口:amap -bq 192.168.1.1 1-1024使用百度搜索引擎搜索 baidu相关信息:theharvester -d baidu.c...原创 2019-08-12 20:37:02 · 1013 阅读 · 0 评论 -
web安全:SQL注入攻击基础
一、SQL注入攻击1.Timing Attack通过判断本次查询时间,验证是否存在注入漏洞union select benchmark(100000,encode(‘hello’,‘goodbye’));(1)如果当前数据库用户(current_user)具有写权限,那么攻击者还可以将信息写入本地磁盘中。比如写入Web目录中,攻击者就有可能下载这些文件:Union All SELECT ...原创 2019-08-15 20:13:57 · 419 阅读 · 0 评论 -
web安全:ClickJacking点击劫持基础
第四天点击劫持:通过组件透明度,欺骗用户点击隐藏在按钮下面的恶意地址本质是一种视觉欺骗一、基础知识1.基础知识–不透明度设置div{/* Hide from view */-moz-opacity: 0;opacity: 0;filter: alpha(opacity=0);}-moz-opacity: 0;提供给mozilla firefox的css属性,用来控制透明度 ...原创 2019-08-14 20:20:10 · 161 阅读 · 0 评论 -
web安全:CSRF跨站请求伪造基础
能攻击成功的本质:重要操作的所有参数都是可以被攻击者猜测到的一、攻击方式 :1.浏览器的COOKIE策略:有些浏览器对跨域请求另一个域名“本地COOKIE”没有限制2.P3P头策略:请求a.com返回给浏览器信息头部允许发送“本地COOKIE”给其它域3.CSRF蠕虫二、如何预防CSRF:1.参数加密:MD5+盐值缺点:如果全部都加密,则用户的收藏的网址URL会失效2.使用toke...原创 2019-08-14 14:51:11 · 126 阅读 · 0 评论 -
subfinder子域名发现工具
subfinder,是用来查询域名的子域名信息的工具,可以使用很多国外安全网站的api接口进行自动化搜索子域名信息;一、github项目地址https://github.com/subfinder/subfinder#direct-installation二、安装1.需要安装go环境,一定要替换go代理地址2.安装subfindergo get github.com/subfinder...原创 2019-08-19 14:21:00 · 4486 阅读 · 0 评论 -
web安全:网站子目录爆破+beef工具介绍
一. 网站子目录爆破工具1.dirbuster,kali系统自带界面,使用起来非常简单字典目录/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt2.dirb https://www.baidu.com二、beef工具1.kali系统自带beef工具,启动之后就可以生成web端的使用界面,还有一个hook.js脚本页面,将...原创 2019-08-18 20:37:09 · 2506 阅读 · 0 评论 -
ubuntu 安装msfconsole
#cd /opt#sudo wget https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb#sudo mv msfupdate.erb msfinstall#sudo chmod 755...原创 2019-08-08 08:44:59 · 5278 阅读 · 0 评论 -
通过命令行txt文本去重排序
cat common-weakest.txt |sort | uniq > out.txtTxt文档去重原创 2019-08-08 08:32:19 · 1502 阅读 · 0 评论 -
如何保护个人信息隐私
网络在中国已经快速发展了很多年,互联网、移动互联网、智能手机、各种生活类app发展很快,随之而来的就是因为个人上网信息泄露问题日益严重!下面分享一些个人隐私泄露的小案例和简单的保护方法!共同进步一.外卖订单上面的手机号某天早上在大学跑步,跑了两圈一直看到跑道上面有一个白色订单纸条,因为个人“半职业病”捡起来准备回家试试这个订单吸引我的原因是上面是用户真实手机号码,没有打码保护隐私、也没有...原创 2019-08-13 07:58:42 · 708 阅读 · 0 评论