- 博客(7)
- 收藏
- 关注
RSS订阅原创 SQL注入实战思路(补充)
红队:前期资产较多,一般使用漏扫工具,后期才会针对性进行手工注入蓝队:看请求头和响应包,返回字段长度,相应数字WAF主要通过匹配规则库中的敏感字符进行拦截。因此,绕过WAF的关键在于让输入的数据不被WAF识别为恶意字符。
2024-06-29 17:47:32
606
原创 XSS漏洞(hw从零开始)
XSS,即跨站脚本攻击,是指攻击者利用Wb服务器中的代码漏洞,在页面中嵌入客户端脚本(通常是一段由avaScript编写的恶意代码),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。
2024-06-27 17:29:39
347
原创 远程代码执行漏洞(hw从零开始)
php中的shell_exec可以执行系统命令的函数Remote Code Execute 远程代码执行Remote Command Execute 远程命令执行1、窃取服务器的敏感数据1、对电脑的文件加密,实施勒索3、运行恶意代码,比如挖矿程序4、拒绝服务5、作为跳板机攻击他人 RCE是漏洞挖掘的最终目标,是价值最高的1、系统或者软件代码中使用了执行命令的函数2、执行的命令是可以通过参数控制的3、有个可以在外网访问的入口漏洞存在:目标系统、应用程序或服务中存在可被利用的漏洞。这些漏洞可能是由
2024-06-25 12:00:50
811
原创 SQL注入篇(hw从零开始)
下载地址:GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台 下载地址:小皮面板(phpstudy) - 让天下没有难配的服务器环境!https://github.com/sqlmapproject/sqlmap/zipball/master环境:python2、3 皆可 前端数据再传入后端时 没有做过滤,导致传入的数据被拼接到SQL语句中,当做SQL语句执行。 危害:导致数据库受损(被脱裤、数据库被
2024-06-21 17:57:22
530
原创 Linux应急响应
1.木马后门事件2.异常登录事件3.钓鱼邮件事件4.漏洞攻击事件5.暴力破解事件6.数据窃取事件7.拒绝服务事件一级事件演戏目标被控制,安全红色预警,一级响应二级事件重要系统或者设备被控制,安全红色预警,一级响应三级事件内网一般设备被控制,安全橙色预警,二级响应四级事件MDZ区一般设备被控制,安全橙色预警,三级响应五级事件DMZ区设备遭到攻击或内网终端遭到攻击,安全黄色预警,三级响应。
2024-06-15 12:50:17
675
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人