Web攻防
文章平均质量分 59
Web攻防
Java秦老师
让知识变得简简单单
展开
-
Web攻防第 05 讲:文件上传漏洞
稍后同步原创 2022-01-01 16:15:07 · 1851 阅读 · 0 评论 -
Web攻防第 06 讲:ARP欺骗,kali中间人攻击
使用kali系统模拟攻击者,利用中间人的攻击手段来获取用户登陆的用户名与密码。一、攻击原理1.1、利用ARP协议的漏洞1.2、ARP协议原理 1)发送ARP广播请求 2)发送ARP单播应答1.3、ARP攻击原理 攻击人通过发送虚假的ARP应答以实现ARP缓存投毒,而受害人没有办法进行身份(真伪)验证二、开启ARP欺骗及sniff嗅探功能2.1、启动kali linux,打开ettercap软件,如图,在搜索框中输入etter,即可搜索到...原创 2021-12-17 16:29:38 · 594 阅读 · 0 评论 -
Web攻防第 05 讲:灰鸽子软件使用
一、生成木马二、爆破smb服务2.1、使用ScanPort扫描服务器开放的端口2.2、使用NTScan暴力破解ipc$(445端口smb服务)使用cmd命令连接要攻击的服务器(smb服务,端口445)拷贝木马文件到要攻击的服务器在要攻击的服务器执行一个计划任务命令:net time \\192.168.27.129作用:获取要攻击的服务器的当前系统时间命令:at \\192.168.27.129 11:28 c:\S...原创 2022-01-01 16:10:52 · 554 阅读 · 0 评论 -
Web攻防第 04 讲:Metasploit渗透平台(kali-MSF)
metasploit概述 是一款开源的安全漏洞检测工具,它可以帮助网络安全和IT专业人士识别安全性问题,验证漏洞的解决措施,从而完成对目标的安全性评估该工具包括了 智能开发,代码审计,web应用程序扫描和社会工程等各项功能什么是metasploit 可以用来发现漏洞,利用漏洞,提交漏洞,并实施攻击,用户可以从其他 漏洞扫描程序导入数据,基于漏洞主机的详细信息来发现可攻击漏洞模块按照不同用途可分为7中类型,分别是Exploits(渗透攻击模块),Auxiliary(辅助...原创 2021-12-31 22:53:14 · 1137 阅读 · 0 评论 -
Web攻防第 03 讲:XSS跨站脚本攻击
主要基于JS脚本进行恶意攻击行为一、XSS的危害XSS利用JS代码实现攻击,有很多种攻击方法,一下简单列出多种盗取各种用户账号 盗取用户Cookie资料,冒充用户身份进入网站 劫持用户会话,执行任意操作 刷流量,执行弹窗广告 传播蠕虫病毒二、XSS漏洞的验证方法 我们可以用一段简单的代码来验证和检查漏洞的存在,这样的代码叫POC(Proof of Concept)POC:漏洞的验证与检测 EXP:漏洞的完整利用工具 shellcode:利用漏洞时,所执行的代码 ...原创 2021-12-31 22:50:00 · 1236 阅读 · 0 评论 -
Web攻防第 02 讲:SQL注入
一、造成SQL注入的原因程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句 为对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中二、注入点可能存在的位置GET数据 POST数据 Cookie数据 HTTP头部(HTTP请求报文其他字段)三、SQL注入存在的危害 攻击者利用SQL注入漏洞,可以获取数据库中的多种信息(例如:管理员后台的密码),从而脱取数据库中的内容(俗称脱库)。四、SQL注入四大基本手法联合注入报错注入...原创 2021-12-31 22:46:02 · 474 阅读 · 0 评论 -
Web攻防第 01 讲:信息收集
在收集DNS信息的时候,主要关注域名注册商,管理员联系方式,电话和邮箱,子域名等信息。一、whois查询whois是一个集成在kali中的小工具,可以用来查询域名注册信息也可以通过站长之家进行whois查询https://whois.chinaz.com/二、域传送漏洞 DNS区域传送(DNS zone transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的数据库。 这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主服务器...原创 2021-12-31 22:44:56 · 665 阅读 · 0 评论