WEB安全
文章平均质量分 55
WEB安全
real_plot
动力的源头是热爱
展开
-
渗透测试/安全测试面试问题汇总
Q1.HTTPS与HTTP的区别?https的端口是443,而http的端口是80https协议需要到ca申请证书http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。Q2.IOS七层模型第一层:物理层;主要功能:提供物理通路,二进制数据比特流传输、定义机械、电气特性和接口等。第二层:数据链路层;主要功能:把不可靠信道变为可靠信道,将比特组织成帧,在链路上提供点到点的帧传输,差错检测、流量控制等第三层:网络层原创 2022-05-17 22:35:13 · 3239 阅读 · 0 评论 -
代码执行漏洞
1.代码漏洞原理原理:用户输入的数据被当做后端代码进行执行eg:一句话木马:<?php @eval($_REQUEST[8])?>详解:其中eval就是执行命令的函数,$_REQUEST[8]就是接收的数据。eval函数把接收的数据当作php代码来执行。这样我们就能够让插了一句话木马的网站执行我们传递过去的任意php语句。2.RCE(remote command/code execute)RCE:远程代码/命令执行漏洞,攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码原创 2022-04-21 23:25:37 · 4002 阅读 · 0 评论 -
CSRF剖析
CSRF的核心是让客户端的浏览器去访问1.CSRF本质浏览器在你不知情的情况下偷偷发送了数据包,借用cookie,获取信任(ajax 异步传输)通过JS去发送请求,然后获取信息2.CRSF漏洞的利用存在CSRF漏洞黑客要自己做一个貌似合理的页面骗受害者来点击(设置的网页,是有指向性的 )目标登录过这个网站权限没有掉与钓鱼网站的不同:钓鱼网站:需要用户输入用户名密码CSRF:借用你在目标网站的cookie触发对应的请求例子:我是一个网站管理员,今天工作的时候某黑客给我发了个网原创 2022-04-02 22:51:13 · 299 阅读 · 0 评论 -
XSS注入原理解剖
1.XSS的原理和特性XSS:跨站脚本攻击(前端注入)注入:用户输入的数据被当做代码执行前端注入:用户输入的数据被当做前端代码执行2.XSS能做什么?盗取Cookie(用的最频繁的)获取内网ip(攻击内网) 获取浏览器保存的明文密码截取网页屏幕网页上的键盘记录 3.XSS类型反射型:没有保存下来的。 一次性的存储型:涉及到存储的(数据库、日志) XSS保存下来了就是存储型。持久的 没有传递恶意参数的时候,如果能触发XSS就是存储Dom型4.XSS核原创 2022-04-02 22:30:49 · 883 阅读 · 0 评论