- 博客(11)
- 收藏
- 关注
RSS订阅原创 渗透实验三 XSS和SQL 注入
一、实验目的实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、WindowsServer网络环境:交换网络结构实验工具:Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA二、实验内容、原理XSS部分:利用Beef劫持被攻击者客..
2021-12-23 14:27:24
2022
原创 XSS与SQL的简单介绍
XSS 1、什么是XSSXSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。2、什么是XSS攻击XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTML语言允许使用脚本进行简单交互,入..
2021-12-23 14:27:16
912
原创 实验四 CTF实践
实验目的通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/实验工具:不限实验原理1、什么是CTFCTF(Capture The Flag)中文一般译作夺旗.
2021-12-23 14:27:02
602
原创 实验二—— 网络嗅探与身份认证
一、实验原理实验目的1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。3、能利用BrupSuite实现网站登录暴力破解获得登录密码。4、能实现ZIP密码破解,理解安全密码的概念和设置。系统环境:Kali Li
2021-12-14 23:17:54
659
原创 漏洞复现,DeDeCMS织梦
目录一、复现环境二、复现过程及环境一、复现环境PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 二、复现过程及环境安装 DeDeCMS首先,利用PHPstudy安装环境点击网站,进入后再点击创建网站,然后填写域名,可根据自己的需要来填写回到文件夹,打开DeDeCMS所在文件夹的uploads路径,把其下所有的文件复制到 studypro文件夹的www目录中即可域名/install/ 进入安装页面填写好..
2021-11-25 11:10:31
3057
原创 渗透实验一:网络扫描与网络侦察
一、实验原理1、网络扫描与网络侦察的目的黑客在进行一次完整的攻击之前除了确定攻击目标之外,最主要的工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本、目标提供哪些服务、各服务的类型、版本以及相关的社会信息。攻击者搜集目标信息一般采用七个基本的步骤:(1)找到初始信息,比如一个IP地址或者一个域名;(2)找到网络地址范围,或者子网掩码;(3)找到活动机器;(4)找到开放端口和入口点;(5)弄清操作系统;(6)弄清每个端口...
2021-11-22 12:08:35
3931
原创 2021 OWASP Top ——A01:2021 – 损坏的访问控制与A02:2021 – 加密失败
十大网络应用风险A01:2021-Broken Acess Control——损坏的访问控制2021-损坏的访问控制从第五位上升:94%的应用程序进行了某种形式的访问控制中断测试。映射到"中断访问控制"的 34 个常见弱项列举 (CWEs) 在应用程序中发生的事件比任何其他类别都多。A02:2021-Craptographic——2021-加密失败2021-加密失败是将一个位置向上移动到 #2,以前称为敏感数据暴露,这是广泛的症状,而不是根本原因。这里重新关注的是与密码学相关的故障,这些
2021-11-15 21:39:06
3464
原创 Metasploit扫描3389
目录Metaploit 工具模块说明常用的命令渗透攻击步骤主机扫描常用的扫描模块及其功能Metaploit扫描3389端口Metaploit 工具模块说明1、Auxiliaries(辅助模块):负责执行扫描、嗅探、指纹识别等相关功能,不会建立连接2、Exploit(漏洞利用模块):核心攻击模块,进行漏洞利用使用攻击代码模块3、Payload(攻击载荷模块):成功渗透目标后,用于在目标系统上运行任意明林或者执行特定4、代码Post(后期绳头模块)):取的
2021-11-15 20:56:34
3968
原创 Wireshark抓包学分制系统
(37条消息) Wireshark抓包及分析——HTTP_有人_295的博客-CSDN博客_wireshark抓包及分析https://blog.csdn.net/weixin_42109012/article/details/101167907?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163516359216780366585187%2522%252C%2522scm%2522%253A%252220140713.130102334.
2021-10-25 21:39:44
502
原创 网络渗透作业(1):图片扫描,查找图片地址
查找该图片的地址所在地: 一、在搜索引擎上输入图片的关键文字信息在图片中可以看到小票的关键信息erbang Alaf Restaurant,可以根据这个在搜索引擎找到相关的信息得知该店名称应为Gerbang Alaf Restaurant二、在谷歌地图上查找Gerbang Alaf Restaurant在搜索框输入Gerbang Alaf Restaurant得到如下图片可知该地点为Per...
2021-10-11 17:34:37
1025
原创 网络渗透第一次作业
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。等保2.0与1.0的不变之处:等保2.0五个级别同等保1.0一样,依次是用户自主保护级、系统审计保护级、安全标志保护级、结构化保护级、访问验证保护级。规定动作不变,分别为定级、备案、建设整改
2021-10-11 13:01:01
834
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人