- 博客(9)
- 收藏
- 关注
原创 基于Django 的多功能 Web 应用渗透测试系统开发
前言**本项目已开源:**快去 Star & Fork 吧!!!GitHub:https://github.com/jwt1399/Sec-ToolsGitee:https://gitee.com/jwt1399/Sec-Tools项目介绍系统简介本项目命名为Sec-Tools,是一款基于 Python-Django 的在线多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息泄露检测等功能。本系统通过旁站探测和域名探测功能对待检测网站进
2021-11-08 23:13:29
4291
2
原创 DVWA-SQL Injection(Blind)(SQL盲注)
本系列文集:DVWA学习笔记SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。盲注中常用的几个函数:substr(a,b,c):从b位置开始,截取字符串a的c长度 count():计算总...
2019-02-02 11:08:20
1027
原创 DVWA-File Inclusion(文件包含)
本系列文集:DVWA学习笔记文件包含漏洞,是指当服务器开启allow_url_include选项时,就可以通过php的某些特性include(),require(),include_once(),require_once()利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是...
2019-02-02 11:07:56
385
原创 DVWA-File Upload(文件上传)
本系列文集:DVWA学习笔记文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。###Low:函数介绍:basename()函数返回路径中的文件名部分。string basename ( string $path [, string $suffix ] )参数介...
2019-02-02 11:07:30
467
原创 DVWA-SQL Injection(SQL注入)
本系列文集:DVWA学习笔记SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。SQL 注入分类按SQLMap中的分类来看,SQL注入类型有以下 5 种: UNION query SQL injection(可联合查询...
2019-02-02 11:06:47
556
原创 DVWA-CSRF(跨站请求伪造)
本系列文集:DVWA学习笔记<跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。>CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。该模块主要实现的是一个修改密码...
2019-02-02 11:06:19
425
原创 DVWA-Brute Force(暴力破解)
本系列文集:DVWA学习笔记##Low:分析:isset函数在php中用来检测变量是否设置(该函数返回的是布尔类型的值,即true/false)可以看到,服务器只是验证了参数Login是否被设置,没有任何的防爆破机制,且对参数username、password没有做任何过滤,存在明显的sql注入漏洞。方法一利用burpsuite爆破1.抓包2.发送到intruder模块,进行爆...
2019-02-02 11:05:35
345
原创 DVWA-XSS (Stored)(存储型跨站脚本攻击)
本系列文集:DVWA学习笔记存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。##Low:相关函数介绍:trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括...
2019-02-02 11:02:18
941
原创 DVWA-Xss(reflected)(反射型跨站脚本攻击)
本系列文集:DVWA学习笔记反射型Xss &amp;amp;lt;全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。&amp;amp;gt;xss攻击思路##Low:点击右下角的view source,查看源码分析:arrary_key_exists()函数:判断$_GET的值中是否存在“name”键名。并且$_GET[‘name’]的值...
2019-02-02 10:54:19
1704
空空如也
看到消息请回复我下下
2021-10-10
TA创建的收藏夹 TA关注的收藏夹
TA关注的人