![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
文章平均质量分 82
Acyykl
这个作者很懒,什么都没留下…
展开
-
初识内网域渗透
初识内网域渗透原创 2022-10-26 13:09:52 · 1342 阅读 · 0 评论 -
初识内网渗透
初识内网渗透原创 2022-10-23 15:23:41 · 1122 阅读 · 0 评论 -
命令执行漏洞
命令执行漏洞原创 2022-10-21 13:59:16 · 1206 阅读 · 0 评论 -
反序列化漏洞
反序列化漏洞原创 2022-10-18 09:52:20 · 534 阅读 · 0 评论 -
变量覆盖漏洞
变量覆盖漏洞原创 2022-10-15 13:29:30 · 238 阅读 · 0 评论 -
本地包含与远程包含
本地包含与远程包含漏洞原创 2022-10-14 16:59:25 · 472 阅读 · 0 评论 -
代码执行漏洞
代码执行漏洞原创 2022-10-13 14:03:06 · 513 阅读 · 0 评论 -
XXE--外部实体注入
XXE--XML外部实体注入原创 2022-10-12 13:13:42 · 308 阅读 · 0 评论 -
SSRF--服务器端请求伪造
SSRF--服务器端请求伪造原创 2022-10-08 19:34:05 · 856 阅读 · 0 评论 -
越权和支付漏洞
然后我们再抓包 ,将shenfen和admin的这两个值,都改为1,然后放包,我们发现,我们的身份已经变为了管理人员,然后我们点击后台管理,我们添加一个管理员账号,为AAA3,然后我们登录,所以这里存在一个垂直越权。我们将商品加入购物车,然后在寻找一个价格高于刚才加入购物车的商品,在点击加入购物车的时候抓包,我们可以看到传参是加密的,我们将它简单解密一下,看到了一个数字1,我们尝试将它改为-1,然后放包。一般是通过前端加密,如果是后端加密的话,就需要明文传输,都明文传输了,那加密还有什么用呢。原创 2022-10-05 21:51:32 · 376 阅读 · 0 评论 -
逻辑漏洞之验证码绕过、密码找回漏洞
逻辑漏洞之验证码绕过、密码找回漏洞原创 2022-09-25 20:20:27 · 3297 阅读 · 2 评论 -
文件上传漏洞之白名单
文件上传漏洞之白名单原创 2022-09-17 11:43:17 · 3429 阅读 · 0 评论 -
文件上传漏洞之黑名单
文件上传漏洞之黑名单原创 2022-09-10 10:27:20 · 1347 阅读 · 1 评论 -
CSRF-跨站请求伪造
CSRF--跨站请求伪造原创 2022-09-09 23:13:00 · 403 阅读 · 0 评论 -
存储型XSS与DOM型XSS
存储型XSS与DOM型XSS原创 2022-08-30 11:19:39 · 1086 阅读 · 0 评论 -
XSS原理分析与解剖及反射型XSS
XSS原理分析与解剖及反射型XSS原创 2022-08-21 09:51:53 · 521 阅读 · 0 评论 -
Oracle -- 报错注入
Oracle -- 报错注入原创 2022-08-21 00:30:18 · 887 阅读 · 0 评论 -
MSSQL--反弹注入
MSSQL--反弹注入原创 2022-08-15 11:57:02 · 224 阅读 · 0 评论 -
MYSQL--Dns注入
MYSQL--Dns注入原创 2022-08-07 21:23:08 · 1071 阅读 · 0 评论 -
Access-Cookie注入和偏移注入
Access-Cookie注入和偏移注入原创 2022-07-31 12:50:36 · 507 阅读 · 0 评论 -
SQL注入之宽字节注入
SQL注入之宽字节注入原创 2022-07-24 12:27:05 · 1916 阅读 · 0 评论 -
SQL注入之盲注
SQL注入之布尔盲注和时间盲注原创 2022-07-17 18:35:34 · 1517 阅读 · 0 评论 -
SQL注入之POST注入和HEAD注入
SQL注入之POST注入和HEAD注入原创 2022-07-10 22:14:25 · 1315 阅读 · 0 评论 -
渗透测试工具的安装
渗透测试工具:SQLmap的安装和Burp的安装原创 2022-06-28 12:21:09 · 2194 阅读 · 0 评论 -
SQL注入原理及联合查询
SQL注入的原理及联合注入的使用原创 2022-06-27 13:50:14 · 1129 阅读 · 2 评论 -
渗透测试之信息搜集
信息搜集—渗透测试的灵魂1、whois信息(注册域名的时候留下的信息)主要包含管理员的邮箱、名字、电话号码、域名等。主要使用站长工具,在线查询whois信息的网站(whois.com)等2、子域名暴破法:用子域名挖掘机、御剑等证书查询法:crt.sh(只适用于https的网站)搜索引擎法:谷歌搜索、fofa等3、端口扫描Nmap(扫描之王)常用命令:-p 指定端口扫描-v 显示扫描过程-Pn 跳过主机发现过程直接端口扫描(目标禁ping时)-O 探....原创 2022-06-24 21:56:45 · 800 阅读 · 2 评论