![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
文章平均质量分 82
轻风筝
所有事都没有联系,也没有意义
展开
-
2021年9月30日08点31分 逻辑漏洞
什么是逻辑漏洞逻辑漏洞指的是程序条件判断不充分或逻辑运算不严谨,绕过了条件检查,使程序以非正常的流程处理数据。弱口令容易被猜解的密码,纯字母,纯数字,可被社工猜解暴力破解破解Web端使用Burpsuite,破解客户端使用hydra和john验证码前端可读:响应包含有json格式验证码,前端读取响应包,然后前端生成验证码发送到手机或邮箱,可以直接读取验证码内容前端可控:前端控制手机号和验证码,在请求数据包中可更改手机号,可以更改请求手机号为自己手机号前端验证:前端判断关键字,关键字为yes/原创 2021-09-30 09:44:48 · 1469 阅读 · 0 评论 -
2021年8月27日10点29分 常见漏洞
CSRF客户端请求伪造CSRF(Cross Site Request Forgery) 是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。漏洞原因:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。利用前提:攻击者可以得到url的所有参数项并了解其含义,并且这些参数的值是用户可以控制的,这时就可以根据URL构造一个payload。CSRF通常是发生在有意义的操作上,比如修改资料,加关注等其他一些敏感操作。发现漏洞确定功能点并抓包寻找原创 2021-08-27 10:42:13 · 400 阅读 · 0 评论 -
2021年7月23日08点36分 XSS跨站
XSS跨站基础跨站脚本(Cross-Site Scripting,XSS)漏洞是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这也是大多数的web应用程序都存在的一个通病,简单的说,就是会把用户输入的信息完完整整的输出在页面中,这样很容易便会产生一个XSS。漏洞危害:网络钓鱼,包括盗原创 2021-08-20 20:06:40 · 133 阅读 · 0 评论 -
2021年6月10日08点53分 SQL注入
1、SQL注入基础1.1、SQL注入基础SQL注入( SQL Injection ):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”。URLSQLwww.test.com/news.php?id=1FROM news WHERE id=1www.test.com/news.php?id=1原创 2021-07-22 15:01:54 · 596 阅读 · 1 评论 -
2021年6月7日08点37分 渗透测试基础部分
1、基础知识1.1、HTTP一个客户端请求应答的标准基于TCP层次的应用层协议,默认端口801.2、HTTPS以安全为目标的HTTP通道,简单来说是HTTP的安全版,既HTTP下加入SSL层,HTTPS的安全基础是SSL,默认端口是4431.3、SSL(Secure Sockets Layer 安全套接字协议)SSL是为网络通信提供安全及数据完整性的一种安全协议,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。1.4、URL(统一资源定位符)浏览器原创 2021-06-07 15:10:58 · 355 阅读 · 0 评论 -
2021年6月3日22点29分 linux安装nessus 8.15破解16个ip限制
使用centos安装nessus 8.13,并解除IP限制环境:宿主机为Windows10,虚拟机安装CentOS8,虚拟机的网络连接方式为桥接。从nessu官方网站下载合适的最新版本https://www.tenable.com/downloads去nessus官方申请激活码,姓名随便填,邮箱必须正确,用来接收激活码。https://zh-cn.tenable.com/products/nessus/nessus-essentials下载完Nessus使用rpm命令安装[root@local原创 2021-06-03 22:48:58 · 7435 阅读 · 3 评论 -
2021年6月1日09点00分 Xray扫描器
Xray扫描器Xray扫描器下载:https://github.com/chaitin/xrayXray是社区版漏洞扫描器,可以主动、被动扫描,自备盲打平台,灵活定义POC,支持Windows、MacOS、Linux操作系统使用方法直接调用,扫描指定的站点,–basic-crawler是爬取网页方式扫描xray webscan --basic-crawler 网站 //use a basic spider to crawl the target and scan the results例如:原创 2021-06-02 17:01:31 · 2434 阅读 · 0 评论 -
2021年5月24日08点40分 Java基础部分
Java特性Java语言是简单的:Java语言的语法与C语言和C++语言很接近,使得大多数程序员很容易学习和使用。另一方面,Java丢弃了C++中很少使用的、很难理解的、令人迷惑的那些特性,如操作符重载、多继承、自动的强制类型转换。特别地,Java语言不使用指针,而是引用。并提供了自动的废料收集,使得程序员不必为内存管理而担忧。Java语言是面向对象的:Java语言提供类、接口和继承等面向对象的特性,为了简单起见,只支持类之间的单继承,但支持接口之间的多继承,并支持类与接口之间的实现机制(关原创 2021-05-24 10:29:20 · 167 阅读 · 0 评论 -
2021年5月20日08点55分 数据库基础
数据库数据库是一个以某种有组织的方式存储的数据集合人们通常用数据库这个术语来代表他们使用的数据库软件,这是不正确的,也因此产生了许多混淆。确切地说,数据库软件应称为数据库管理系统(DBMS),数据库是通过 DBMS 创建和操纵的容器,而具体它究竟是什么,形式如何,各种数据库都不一样。表,是一种结构化的文件,可用来存储某种特定类型的数据。表可以保存顾客清单、产品目录,或者其他信息清单。这里的关键一点在于,存储在表中的数据是同一种类型的数据或清单。决不应该将顾客的清单与订单的清单存储在同一个数据库表中原创 2021-05-20 11:04:59 · 147 阅读 · 0 评论 -
2021年5月18日08点38分 HTML语言
HTML介绍HTML 是用来描述网页的一种语言。HTML 指的是超文本标记语言 (Hyper Text Markup Language)HTML 不是一种编程语言,而是一种标记语言 (markup language)标记语言是一套标记标签 (markup tag)HTML 使用标记标签来描述网页HTML 标记标签通常被称为 HTML 标签 (HTML tag)。HTML 标签是由尖括号包围的关键词,比如 HTML 标签通常是成对出现的,比如 和 标签对中的第一个标签是开始标签,第二个标签原创 2021-05-18 14:50:01 · 193 阅读 · 0 评论 -
2021年5月17日14点35分 AppScan安装使用
安装p安装过程很简单,一路下一步即可。安装完成后替换dll文件进行破解。环境:需要.net 4.0,但是安装4.0的时候会提示证书问题装不上,这时候系统更新一下就行了32位系统补丁下载地址:https://www.microsoft.com/zh-CN/download/details.aspx?id=3911064位系统补丁下载地址:https://www.microsoft.com/zh-CN/download/details.aspx?id=39115扫描使用扫描向导开始扫描,使用原创 2021-05-17 15:56:11 · 449 阅读 · 0 评论 -
2021年5月13日10点10分 Nmap的基本操作
介绍下载:https://nmap.orgNmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。官网:https://nmap.org/Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。一般情况下,Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、原创 2021-05-13 14:36:23 · 232 阅读 · 0 评论 -
2021年5月12日17点49分 绿盟极光
绿盟极光是一款商业网络扫描软件,需要usb key硬件支持,个人无法使用桥接模式1、编辑虚拟机,选择网络适配器2桥接模式(配置适配器2扫描口网卡,适配器1为管理口网卡),桥接至本机指定网卡(推荐桥接模式更稳定流畅)2、插入usbkey,输入账号密码,初始密码为conadmin/conadmin,进入虚拟机(如果未识别,需要在工具栏点击虚拟机=》可移动设备=》连接至虚拟机)3、查看本机IP,并设置虚拟机在同一网段4、设置扫描口地址(network setting=》set scan interfac原创 2021-05-13 14:35:54 · 3021 阅读 · 2 评论 -
2021年5月10日11点30分 常见服务
IIS服务IIS(互联网信息服务)安装过程略过网站发布原创 2021-05-11 17:03:15 · 235 阅读 · 0 评论