web安全工程师成长之路
关注
分享
扫一扫
S40D1
这个作者很懒,什么都没留下…
展开
-
一篇文章搞懂XSS跨站脚本攻击
文章目录0x00 XSS跨站脚本概要1、什么是XSS跨站脚本漏洞?2、XSS攻击流程3、恶意脚本的形式4、XSS危害检验概括0x01 XSS跨站脚本分类1、反射型XSS1.1反射型XSS概述1.2反射型XSS的流程2、存储型XSS2.1 存储型XSS概述2.2存储型XSS攻击流程DOM型XSS0x02 检测XSS漏洞1、手工检测2、工具检测3、检测思路0x03 漏洞利用**演示视频传送门**0x04 漏洞防御0x00 XSS跨站脚本概要1、什么是XSS跨站脚本漏洞?XSS跨站脚本(Cross-Site原创 2020-07-24 17:36:51 · 657 阅读 · 0 评论 -
跨站请求伪造CSRF漏洞
0x00 CSRF原理概要1. 概念CSRF(Cross-Site Request Forgery)是指跨站请求伪造,通常缩写为CSRF或者是XSRF。也可以这么理解CSRF攻击:攻击者盗用了你的身份(即用了你的COOKIE),以你的名义进行某些非法操作。CSRF能够修改你的密码,使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产等。2. 必要条件要完成一次CSRF攻击,受害者必须依次完成两个步骤:登录受信任网站A,并在本地生成Cookie在不登出A的情况下,访问恶意网站B必须是原创 2020-07-08 22:48:55 · 717 阅读 · 0 评论 -
Web渗透测试学习笔记
文章目录第一章 信息收集1.1域名信息1.1.1whois查询1.1.2备案信息查询1.2敏感信息1.3子域名信息1.3.1 子域名检测工具1.3.2搜索引擎枚举1.3.3第三方聚合应用枚举1.3.4证书透明公开日志枚举1.4端口信息1.5指纹信息1.6真实IP1.7敏感目录文件1.8社会工程学第二章 环境搭建2.1在Linux中安装LANMP2.2在Windows中安装wamp2.3搭建DVWA漏洞平台2.4搭建SQL注入平台2.5搭建XSS测试平台第三章 渗透工具3.1sqlmap3.1.1安装3.1.原创 2020-05-26 22:37:40 · 4932 阅读 · 2 评论 -
web安全相关概念之文件上传漏洞
1、漏洞描述:文件上传漏洞,直面意思可以利用WEB上传一些特定的文件。一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有:1、上传Web脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行。2、上传F...原创 2019-01-18 11:55:49 · 379 阅读 · 0 评论 -
web安全相关概念之SQL注入(待完善)
简介 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了...原创 2019-01-11 20:57:08 · 160 阅读 · 1 评论 -
web安全工程师成长之路(成长中……)
本菜菜为成为一名web安全工程师而奋斗,在某网站上找到一篇学习路线,本菜菜将以此路线学习。希望最后能达到如下求职要求:职位描述:对公司网站、业务系统进行安全评估测试(黑盒、白盒测试); 对公司各类系统进行安全加固; 对公司安全事件进行响应,清理后门,根据日志分析攻击途径; 安全技术研究,包括安全防范技术,黑客技术等; 跟踪最新漏洞信息,进行业务产品的安全检查。 职位要求...原创 2019-01-11 19:45:45 · 722 阅读 · 3 评论