本文深入探讨了XSS漏洞的原理、挖掘与防御方法,强调了HTML实体化编码的重要性。此外,介绍了渗透测试中信息收集的技巧,包括端口扫描、子域名和目录扫描,并推荐了相关工具。还提到了数据库端口利用方法和心脏滴血漏洞的理解与实践。同时,作业涵盖了CMS概念、多种扫描工具、数据库知识以及HTTPonly的理解与绕过策略。
复盘
1.XSS漏洞原理、漏洞挖掘方法、漏洞修复(HTML实体化编码) 重中之重:原理、挖掘方法
2.渗透测试信息收集的方法(cnd、cms、端口、目录扫描) 重中之重:端口、子域名、目录扫描工具使用
3.端口信息及漏洞利用方法 重中之重:数据库相关的端口及利用方法
作业
1.了解一下什么是CMS,代表什么意思
2.收集三个子域名挖掘的工具,必须熟悉oneforall使用
3.了解心脏滴血漏洞(最好自己搭建环境操作一下)
4.熟悉masscan和nmap工具的使用
5.熟悉目录扫描三个工具使用(dirsearch)
6.熟悉mysql数据库的命令,了解redis、SQLserver等数据库信息。下节课提问:mysql5.0以上和5.0以下版本最大的区别是什么,对于SQL注入有什么帮助?
7.端口信息多记一些
8.了解一下cookie的相关信息和重要性
9.什么是XSS漏洞?XSS漏洞有什么危害?怎么防御XSS漏洞?了解HTTP only是什么?有没有办法可以绕过HTTP only?
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
