![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Web安全
文章平均质量分 87
孪生质数-
帅哥一枚,热衷于信息安全,网络空间安全,红蓝实网攻防,边缘计算等领域,获2023年省级职业院校技能大赛网络空间安全项目三等奖,有着非常扎实的实战经验,补天白帽工程师,注重信息安全和互联网隐私的保障。精通安全运维,Windows 安全加固,镜像站搭建,云服务器基础运维。合作可+vX-fovik-1208
展开
-
Hack The Box(黑客盒子)Mongod-mongoDB工具篇
数据库可能存在未知缺陷,可能存在匿名访问漏洞。原创 2024-06-10 15:38:22 · 856 阅读 · 1 评论 -
Hack The Box(黑客盒子)Preignition篇
我这里没有使用burp suite爆破,直接尝试弱密码,直到admin/admin。-x,--extensions string 要搜索的文件扩展名-定义为PHP。Web、定制应用程序、Apache、侦察、网站结构发现、默认凭证。查看该应用的帮助信息,查找全部参数。根据现有的情报,尝试访问。附上其他可能会用到的参数。,出现访问身份验证入口。原创 2024-06-10 14:14:46 · 412 阅读 · 0 评论 -
HackTheBox(黑客盒子)基础模块速通Responder篇
Responder是HackTheBox平台上的一个基础模块,用于嗅探网络中的NTLMv1/v2认证请求,并进行中间人攻击。本篇文章将介绍Responder的基本用法和一些常用技巧。原创 2024-06-08 17:21:42 · 1212 阅读 · 0 评论 -
CentOS搭建OpenVPN实现异地访问内网OA
本期教大家如何使用OpenVPN来实现异地接入公司内网访问办公OA系统,解决异地办公的安全问题。主要应用于中小型企业的异地办公,异地组网等需求,大家可以以此作为参考。在这里我将使用云服务器来给大家做演示。原创 2024-05-03 16:16:46 · 1946 阅读 · 0 评论 -
网络空间安全攻防平台搭建
网络安全攻防平台是一种为提高网络安全防御能力而设计的训练平台。该平台的主要目的是模拟和训练各种网络攻击事件,并提供相应的攻防策略和实践。网络安全攻防平台通常包括虚拟网络环境,其中包含了各种网络设备、服务和应用程序,以及模拟的攻击场景。用户可以通过这个平台学习和实践如何检测、防御和应对各种网络攻击,以增强网络安全意识和技能。此外,网络安全攻防平台还提供多种不同级别和类型的训练模式,以适应不同用户的需求。原创 2024-04-06 13:41:59 · 906 阅读 · 0 评论 -
天融信TopSec的使用-1-主机评估篇
天融信脆弱性扫描与管理系统是一款专业的网络安全工具,旨在帮助企业全面检测网络环境中的安全漏洞,并提供相应的修复建议和管理策略。该系统综合运用了多种扫描手段和技术,包括智能主机服务发现、预探测、多线程扫描等,能够快速准确地发现网络中的存活主机和存在的漏洞弱点。原创 2024-04-04 22:00:58 · 1476 阅读 · 0 评论 -
E056-web安全应用-File Inclusion文件包含漏洞进阶
当网站服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件。恶意文件可能是一句话木马也可能是含有一句话木马的文档或者图片,只要访问页面就会在当前页面源文件目录下生成一句话木马。PHP文件包含漏洞,就是在通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,就会导致文件信息的泄露甚至注入了恶意代码原创 2023-10-18 13:26:14 · 959 阅读 · 0 评论 -
E049-论坛漏洞分析及利用-针对bwapp进行web渗透测试的探索
磐石公司邀请渗透测试人员对该公司的论坛进行渗透测试,由于公司部门的特殊性,该公司要求渗透测试人员小王和公司网站运维协同工作,来识别出潜在的安全风险,我们在知道目标网站源码和其他一些信息的情况下对其进行的测试,通过对代码进行分析挖掘出其中潜在的安全风险,buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASP Top10安全风险。原创 2023-10-18 12:01:28 · 308 阅读 · 0 评论 -
E048-论坛漏洞分析及利用-针对Wordpress论坛插件实现远程代码执行的探索
在没有找到常见的注入漏洞的情况下,可以从浏览器安装的插件入手,例如WordPress原创 2023-10-18 09:55:57 · 364 阅读 · 0 评论 -
E055-web安全应用-File Inclusion文件包含漏洞初级
网站服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件。原创 2023-10-17 16:44:54 · 1143 阅读 · 0 评论 -
E054-web安全应用-Brute force暴力破解进阶
弱口令常常是人的疏忽造成的,有的人会图方便就把密码设置得很简单,这样会导致渗透者通过暴力破解的方式把密码给破解出来。通过Burp抓取登录的请求包,然后通过字典对登录点进行一一尝试,根据返回的字节判断,哪个密码是正确的。原创 2023-10-17 16:18:58 · 1061 阅读 · 0 评论 -
E053-web安全应用-Brute force暴力破解初级
登录是先通过表单获取到值,再对应到数据库里去查询,如果有对应的值则登录成功,如果没有则登录失败。但是如果Web管理员在设计上没有对一些关键字进行过滤的话,就会导致’且’运算或者’或’运算带入到数据库里查询,那么当php语言执行为真的时候,就会绕过验证程序直接进入后台。原创 2023-10-17 15:52:56 · 867 阅读 · 0 评论