web漏洞
Jokong
学习永无止境,保持谦虚,稳重前行。
展开
-
WebGoat-5.4实验笔记(3)
访问控制缺陷(Access Control Flaws)1、使用访问控制模型(Using an Access Control Matrix)技术概念:在一个基于角色的访问控制方案中,角色代表了一组访问权限和特权。一个用户可以被分配一个或多个角色。一个基于角色的访问控制方案通常有两个部分组成:角色权限管理和角色分配。一个被破坏的基于角色的访问控制方案可能允许用户执行不允许他/她的被分配的角色,...原创 2018-10-11 15:19:52 · 2154 阅读 · 2 评论 -
WebGoat-5.4实验笔记(1)
简介:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。在这里,我...原创 2018-10-10 15:41:18 · 2193 阅读 · 1 评论 -
WebGoat-5.4实验笔记(2)
webgoat其他项目的学习笔记在我的博客里有。General(总体目标)1、Http Basics(HTTP基础知识)点击Http Basics,查看页面信息,显示输入信息后,服务器接收请求后会返回用户的输入信息,并回显给用户。我在Enter your Name输入“hello”,点击Go!使用burpsuite代理抓取数据包,person数值为“hello”,点击forward,返回...原创 2018-10-10 18:44:13 · 1644 阅读 · 4 评论 -
常见SQL注入攻击方式
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入,让小伙伴有个了解。了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,好啦,话不多说,进入正题~如何理解SQL注入(攻击)?所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)...转载 2018-11-21 11:04:53 · 8898 阅读 · 1 评论 -
查看网站web架构
**打开网址后输入URL:https://toolbar.netcraft.com/site_report**例如百度的https://www.baidu.com/原创 2018-12-12 16:37:34 · 7574 阅读 · 0 评论 -
URL跳转漏洞
漏洞描述服务端未对传入的跳转url变量进行检查和控制,可能导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易;还可以造成xss漏洞漏洞检测修改参数中的合法URL为非法URL,然后查看是否能正常跳转或者响应包是否包含了任意的构造URL...转载 2018-12-29 09:15:32 · 1272 阅读 · 0 评论 -
信息收集总结
作为一名菜鸟,写文章,有点紧张,希望大佬们轻点。我写这个是对自己的一个总结和记录,也希望对新手有所帮助。信息收集信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们渗透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。信息收集主...原创 2019-01-27 13:20:18 · 11478 阅读 · 3 评论