- 博客(10)
- 收藏
- 关注
原创 软考信息安全工程师大纲(网络空间安全方面)
除了常见的网络信息安全系统安全特性,还有真实性、时效性、公平性、可靠性、可生存性、和隐私性等。国家、黑客、恐怖份子、网络犯罪、商业竞争对手、新闻机构、不满内部的工作人员、粗心的内部工作人员等。网络信息安全应急是指采取各种手段和措施,针对网络系统安全中的突发事件,避免风险、转移风险、减少威胁、消除脆弱点、减少威胁的影响、风险检测。可控性是指网络信息系统责任主体对其具有管理、支配能力的属性。可用性是指合法许可的用户能够及时获取网络信息或服务器的特性。网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施。
2023-07-06 11:15:51 500 1
原创 信息收集(自用)
当我们要对一个目标进行渗透测试的时候,为了防止不知道如何下手,我们要首先获得目标的信息,掌握详细的情况,了解目标的弱点和安全短板,更方便地进行渗透测试。
2023-05-29 17:29:39 96 1
原创 挖掘XSS漏洞实战(gnuboard5)
查找可控参数,输入标签,右键查看源代码,是否有输入的内容进行过滤。如存在过滤标签,尝试绕过过滤,没有就直接构成恶意代码。
2023-05-26 17:23:12 330 1
原创 XSS实战挖掘反射型存储下dom型漏洞(Pikachu)自用
1,判断<>是否被过滤,输入<,>发现没有被过滤,2.输入<h5>x</h5>发现被过滤了,所以我们直接插入恶意代码3.在插入恶意代码时发现有长度被限制,修改网页属性4.发现反射性XSS漏洞,URL为图,将URL缩减为短网址,用作钓鱼。
2023-05-26 15:49:06 168 1
原创 漏洞近期学习总结(自用)
攻击者可以通过一些漏洞上传一句话木马到Web服务器上,一旦成功,攻击者就可以通过发送HTTP请求执行一句话木马中的命令来远程操纵受害者服务器。SQL注入的原理是攻击者通过构造恶意的SQL查询语句,以绕过应用程序的验证和过滤机制,从而对目标数据库进行非法操作,例如读取或篡改数据表,或者在数据库中执行任意的SQL命令,甚至获取数据库管理员权限。例如,<%eval request("c")%>,攻击者将代码传递到服务器上的url上,以执行该代码。例如,最常见的一句话木马代码是:<?
2023-05-11 15:00:41 111
原创 SQL注入(自用)
2、通过注入点,尝试获得关于连接数据库用户名,数据库名称,连接数据库用户权限,操作系统信息、数据库版本等相关信息。3、猜解关键数据库表单以及重要字段与内容(常见如存放管理员账户的表名。Stacked queries SQL injection(可多语句查询注入)UNION query SQL injection(可联合查询注入)1.判断是否存在注入点,如,整数型,数字型。1、寻找注入点,可以通过web扫描工具实现。4、可以通过获得用户信息,寻找后台登录。2、猜解SQL查询语句中的字段数。
2023-05-04 22:03:54 60 1
原创 HTTP协议的基础知识(自用)
HTTP,叫做超文本传输协议,基于请求层与响应层的应用层协议。而协议的意思是不同事物之间的通信规则。HTTP的特点:C/S(客户端/服务器模式),简单快捷,灵活,无连接,无状态。
2023-04-08 17:32:30 79 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人