渗透测试个人总结贴

最新推荐文章于 2024-03-03 21:50:47 发布
VIP文章 最新推荐文章于 2024-03-03 21:50:47 发布
阅读量4.7k 收藏 22
点赞数 1
分类专栏: Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010726042/article/details/78604890
版权

OWASP TOP 10

1、注入2、失效的身份认证和会话管理3、XSS 4、脆弱的访问控制 5、安全配置错误6、敏感数据暴露7、不充足的攻击检测与预防8、CSRF 9、应用已知脆弱性的组件10、未收保护的API

 

Sql注入

原理:通过输入构造域名或页面请求的字符串达到欺骗服务器执行恶意SQL命令。有布尔型注入(构造and条件判断页面返回情况获得信息),报错型注入(构造能够报错的sql命令获得报错信息),联合查询注入(union),多语句查询注入(select;select),基于时间延迟注入(加入判断和时间延迟语句)。

 

修复方式:

1、  过滤输入语句;

2、参数化处理

 

 

XSS

跨站脚本攻击,攻击者将恶意脚本代码注入到网页中,当其他用户浏览这些网页时执行其中的恶意代码。

 

修复方式:

1、  使用xss filter:输入过滤以及输出编码;

2、  Web安全编码规范:将能触发XSS的字符使用相应的HTML实体代替(<转成&It);

3、  使用浏览器插件:Firefox的NoScript插件,IE8的XSS Filter;

4、  使用HTTP-only的c

最低0.47元/天 解锁文章
Q1n6
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试思路总结
08-27
某安全实验室关于渗透测试总结,分为针对网站的,针对服务器的等
Web安全之CSRF跨站请求伪造
whuhewei的博客
03-15 353
跨站请求伪造(Cross-site request forgery),是一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与XSS相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。 一、CSRF漏洞现状 CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出C...
网站安全渗透测试公司的五年经验总结
网站安全专家
02-22 2053
5年,说长也长,说短也短,以前在A3年,从公司的自建房十多人,到走的那时候,上百人,自主创业不容易,一路上说不出的艰苦,也算记录了一个互联网公司的发展壮大,而且据说听闻发展壮大的也非常好,很有可能快挂牌上市了。以后跳到了一个招标方,通称B公司,到现在,又做了3年,可是与在A公司不同,身处招标方,不单单是是分析网络安全问题了,更重视的是维护公司的安全,促进安全建设。刚刚的那时候,公司五百多人,到现在快到一千八人。到公司的挂牌上市,也是人的一生较为难能可贵的行业发展机会。有的那时候我经常说,我可能也是比其他人走
渗透测试第一周总结
weixin_63650919的博客
03-03 352
渗透测试-渗透测试常见的总结
lza20001103的博客
05-18 4104
渗透测试常见的总结
渗透测试实习生总结
duan_qiao925的博客
06-09 4377
经过安恒渗透测试工程师面试,谈谈收获和感受吧。 感受: 1. 昨天一个极其炎热的晌午,约了面试jin'zhang'de
渗透测试中的学习总结
qq_51241304的博客
04-19 1478
本文简略的记录了一下最近学习的内容,进行一下汇总。 1、关于FOFA,可以通过FOFA查询想找到的管理界面。学到的语法有:host,title,body的筛选。以及log4j中针对某一系统的一系列漏洞,例如致远OA。在log4j查到某一中间件或者系统后,可以通过peiqi文库或者百度学习相关系统的漏洞。 2、关于dirsearch、 python dirsearch.py -u URL -e extension (测试过程中切记未授权非法测试)原理也就是遍历一下网站的目录,看是否存在某些目录。 3、关于SS
渗透测试常用术语的总结
最新发布
03-07
自己在学习渗透测试过程中对于渗透测试过程中的一些常用术语
web安全,渗透测试工具使用总结
12-20
介绍Kali linux中各种渗透工具的使用。并有各种人的博客连接,能够帮助作为快速黑客入门,渗透测试,安全审计等使用。
网络安全、Web安全、渗透测试笔试总结(一)
07-19
以下是我网络安全、Web安全、渗透测试笔试总结题目,通过面试题目对网络安全常见的知识有大概了解,总共29道题 主要内容: 1.什么是 WebShell? 2.什么是网络钓鱼? 3.你获取网络安全知识途径有哪些? 4.什么是 ...
内网渗透技术总结大全.pdf
12-22
内网渗透技术总结大全.pdf
渗透测试技巧小结-备忘
网络安全领域优质创作者
02-15 670
一、信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞 4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,...
记第一次渗透测试的心得
sjtu_jzh的博客
08-09 3691
工作目标: 对█████████进行渗透测试 工作时间: 2018.██.██-2018. ██.██ 实际完成情况: 周█周█我们主要学习了nmap和burpsuite的使用,利用nmap对███████进行了端口扫描,发现██████的22端口可能存在可利用的漏洞,但是没有利用成功,当时并没有下一步思路。于是通过burpsuite进行抓包,在实现了对百度的抓包测试之后,...
渗透测试工程师从业经验
热门推荐
黑面狐
03-30 2万+
这周参加360的补天大会听了一位渗透大佬的分享,感觉获益匪浅。一、常见问题1、客户系统,之前做过渗透测试,我们要怎么做?深入了解客户系统,一丝不苟发现系统深层次漏洞。2、客户系统,部署了防火墙,我们要怎么做?可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已有的安全防护,不一定安全,很容易被绕过。3、客户系统,采用Ukey登录,还需要渗透吗?Ukey的安全性也需要验证,之前有ukey发送...
一名 IT 工程师的九年工作总结
weixin_33938733的博客
08-14 473
时间一晃而过,大学毕业转眼间已经工作 9 年了,总结一下自己这些年来的感受。与程序打交道的人生,是简单的人生一次做规划局的项目,规划局的职员很是钦佩地说:“你们真了不起,在电脑上敲敲键盘就能做出软件来。”规划局领导说:“跟电脑打交道是最简单的,难的是跟人打交道。”领导的话很有深意,一语道破了本质,做程序的人,是比较简单的。不懂什么叫编程大学本科,读“计算机科学与技术专业”(相信看这篇博客的人多半也...
两个月运维工程师的工作总结及心得
weixin_33958585的博客
05-19 3449
不知不觉已经过来上海两个多月了,经过找工作的大漩涡,在几近崩溃的情况下终于拿到了自己人生中的第一份offer,运维工程师,成了it业中的一员,祝贺祝贺,不过值得一提的是我们公司除了一个人事一个财务,其他都是男生,所以我想我是有点另类的吧,嘻嘻,既然另类那就另类的彻底吧。看到51里面也是有女工程师的心里好歹有了点鼓动。话说我找的这份工作也算是机缘巧合吧,再经过好多次的“不好意思...
网站渗透测试公司总结心得
bluemoon_0的博客
03-16 439
网站渗透测试公司总结心得
渗透测试总结
qq_36386435的博客
02-26 5095
前序 我觉得渗透测试有点像机械化的过程,遇到一个目标时,就要按照某个流程都走一遍,工具什么的都用上,当都弄完还没有思路,就需要有些其他的思想了,我想先大致总结一波这个机械化的流程该怎么走,然后收集一些好的渗透思路,学习别人的渗透路径,而前面那个机械化流程是肯定必须要走的。 要干什么? 主要还是在这个渗透测试流程里面总结一些外围打点经历的流程和需要使用的工具,以及优质的博客教程,这还是很重要的,我就不专门写一个工具专题来阐述,一些比较大型的非常好用的工具,我会另外开启page来记述,完全就是为了提升我的渗透测
[个人心得]渗透测试的一些总结
weixin_30915275的博客
11-15 1573
[个人心得]渗透测试的一些总结 http://www.freebuf.com/articles/3562.html 0×01 前言 师弟们经常问我如何“黑网站”,这个问题答起来不是那么难又不是那么容易,为什么这么说呢? “千里之堤,溃于蚁穴”,有时候你只需了解很小 一部分知识却能对看似强大的一个集合造成巨大的破坏. 诚然,渗透测试并不是一个简单的工作.它需要很广阔的涉猎...
python渗透测试
08-29
Python 在渗透测试中被广泛应用。它是一种功能强大且易于使用的编程语言,适合用于自动化渗透测试任务和开发自定义工具。以下是一些常见的 Python 库和工具,可以帮助你进行渗透测试: 1. Scapy:Python 中的网络包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值