- 博客(6)
- 收藏
- 关注
原创 小迪网络安全第四天
总结:关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类型除外),在获取源码后进行本地安全测试或代码审计,也可以分析其目录工作原理(数据库备份,bak文件除外),未获取到的源码采用各种方法想办法获取!#ASP,PHP,ASPX,JSP,JAVAWEB等简本类型源码安全问题。#关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应。#开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等。#社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞。平台识别-某CMS有漏洞-漏洞利用。
2023-08-26 21:34:59 55
原创 小迪网络安全第三天
域名访问指向绝对路径目录,IP访问指向上级目录 (结合类似备份文件目录)#ASP,PHP,ASPX,JSP,PY,JAVAWEB等。#IP或域名解析WEB源码目录对应下存在的安全问题。#脚本后缀对应解析(其他格式可相同-上传安全)#常见防护中的IP验证,域名验证等。#后门是否给予操作目录或文件权限。#后门是否给予其他用户权限。域名IP目录解析安全问题。常见文件后缀解析对应安全。常见安全测试中的安全防护。#WEB源码中的敏感文件。#后门是否给予执行权限。#存在下载或解析问题。基于中间件的安全漏洞。
2023-08-26 09:49:45 68
原创 小迪网络安全第二天
1、简要网站搭建过程√2、涉及到的攻击层面?(源码,搭建平台,系统,网络层等)3、涉及到的安全问题?(目录,敏感文件,弱口令,IP及域名)#request请求数据包#response返回数据包#request请求数据包#proxy代理服务器#response返回数据包http和https的区别请求行:请求类型、请求资源路径、协议的版本和类型请求头:一些键值对,浏览器与web服务器之间都可以发送,特定的某种含义空行:请求头与请求体之间用一个空行隔开。
2023-08-25 16:04:42 39 1
原创 小迪网络安全学习 第一天
hosts就相当于本地的一个dns缓存,比如说什么需要访问一个网站,如果没有hosts文件的本地解析的话就需要的浏览器访问远程的dns解析服务器,等待dns服务器返回ip信息后我们的浏览器才可以向目标网址所指向的服务器发出请求,但是如果有了hosts文件的本地缓存解析,我们的浏览器就不会去访问远程的dns服务器了,而是直接发出向网站服务器的请求,所以说hosts文件可以加快我们打开网站打开的速度;SQL注入、上传、xss、代码执行、变量覆盖、逻辑漏洞、反序列化等。控制网站、控制系统、进行脱库、盗取信息等。
2023-08-25 09:32:07 50 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人