- 博客(58)
- 收藏
- 关注
RSS订阅原创 【XSS】
反射型 / 非持久型XSS定义:用户输入 “反射” 给 浏览器;示例:攻击方式:注入、诱导点击脚本为协议:编码输入: ``存储型 / 持久性XSS定义:将含有script的文本/文件/数据等的 用户输入,存储到server。攻击方式:存储内容的地方如博客,文件上传的地方。DOM型定义:修改页面的DOM节点形成。从效属于反射型XSS。示例:将。
2024-07-16 20:46:50
738
原创 【ClickJacking】
其他方案:Firefox的"Content Security Policy"和No-Script扩展 低于ClickJacking。点击劫持是一种视觉上的欺骗手段。如攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作。不足:如HTML5的sandbox属性和IE 中iframe的security属性限制iframe页面执行js的执行。X-Frame-Options是一个Http头。方法2:X-Frame-Options。诱导目标点击已经构造的页面。
2024-07-01 16:18:54
180
原创 【CSRF】
对一个博客系统点击发布文章时,Burp Suite抓包,右键CSRF PoC功能 -> Engagament tools -> Generate CSTF Poc ,HTML代码为CSRF漏洞测试代码,对其代码发布到一个网站,再诱导 目标用户点击,则目标用户会自动发布一篇文章。原理:诱导用户在访问第三方site时,访问攻击者构造的site,攻击者site会对原site进行恶意操作。如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。
2024-07-01 15:53:30
202
原创 利用python脚本制作开机启动cmd自执行示例
方便移植和部署:set path=python安装目录;python\Scripts目录是指定python路径,可以用你自己的python,与系统 隔离。参考资料:(https://blog.csdn.net/qq_41699621/article/details/110630446)start.bat示例:(注:使用windows批处理脚本语法)总结:还是利用的cmd去执行命令,所以偶尔学学bat的命令。右键start.bat,选择以管理员身份运行看示例!关闭脚本:到任务管理器关闭python进程。
2023-12-01 20:25:29
698
原创 kali命令行下python多版本切换
如果利用pip安装低版本python库时,回显高版本已经替换的错误,则可通过上述方法并指定pip 安装地址。2 查看当前所有可用python版本,同时可以设置当前使用版本。最后的100和150就是需要设置版本的权重。适用情景:需要用特有的版本安装 库。
2023-11-13 22:41:25
632
1原创 DVWA——SQL注入+盲注
目的:执行特定sql语句,获得其他相关内容。攻击方式:动态构造SQL语句影响:数据库的脱裤、修改、甚至影响到操作系统。
2023-06-02 21:47:23
2055
原创 DVWA——Brute Force
目的:通过枚举逐个猜测匹配某个预定值Brute Force主要表现形式:通过设置(如表单) 预配值发送给服务器分析响应攻击形式:传统暴力破解、字典暴力破解。
2023-06-02 21:35:02
447
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人