![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
TaibaiXX1
大王叫我来巡山
展开
-
可怕的漏洞,SQL注入漏洞实战演习
简介在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞(在最新的类型中:命令注入、代码注入、xss注入、sql注入等已经合并统称注入漏洞)。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!原理:SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。建议.原创 2020-12-16 13:18:27 · 605 阅读 · 1 评论 -
文件包含是方便了开发?还是方便了黑客?文件包含漏洞实战演习
简介简单一句话,为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。文件包含漏洞分为如下两种情况: 本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。 远程文件包含漏洞:能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任...原创 2020-12-16 13:16:02 · 118 阅读 · 0 评论 -
不安全的文件下载,小心服务器变成黑客后花园!!!
简介文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文原创 2020-12-16 13:13:17 · 348 阅读 · 0 评论 -
kali配置python开发环境支持+apache2+cgi支持
kali2020中python开发环境支持kali中默认安装python2和python3使用—version查看版本pip安装环境Github3开发环境Idle3工具安装使用sudo apt-get update更新系统才能进行安装完成上面步骤就可以愉快的使用python开发环境了。配置apache的CGI支持py格式sudo service apache start 或者/etc/init.d/apache st...原创 2020-12-16 13:10:16 · 261 阅读 · 0 评论 -
中文版Pikachu web靶机平台搭建指南,英语小白的福音
简介Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。重点是中文、中文、中文环境,好多靶机基本都是全英文,对于英语不好的初学者简直是打击积极性。靶机下载地址:https://github.com/zhuifengshaonianhanlu/pikachu实战Wampserver集成环境1.下载Wampserver集成环...原创 2020-12-16 13:02:18 · 1073 阅读 · 1 评论