Web安全攻防全解析
分享
扫一扫
文章平均质量分 84
推荐《Web安全渗透分类专栏》!涵盖了各种Web安全渗透技术和实践,适合初学者和经验丰富的安全从业者。作者深入浅出地解释复杂概念,包括网络扫描、漏洞利用、密码破解等实用的渗透测试方法和工具。订阅即刻启动您的Web安全之旅!
超级会员免费看
技术探索
作者强调本人的文章仅供学习相关技术使用,不得用于违法犯罪活动,对于违法行为造成的后果与作者无关。作者希望与读者分享技术心得体会和实践经验,并探讨IT行业的前沿技术和新方向。
展开
-
订阅前必读:网络安全专栏的重要提示,转行者必看
然而,通过这种方式找到的工作可能不太稳定,有可能在一个月甚至一个星期内被解雇。但不要气馁,这段经历也算是积累工作经验。下次找工作会更容易,直到你积累足够实战经验,工作才会变得更加稳定。对于转行网络安全,我认为至少需要专科学历(很多岗位要求本科学历),并具备挖掘原创漏洞的能力(有工作经验者则要求不那么严格)。若你已开始转行网络安全并投入学费,且不想放弃,那么寻找网络安全工作时,你需要精心包装和美化简历,准备面试题。本专栏的文章内容主要面向在校生或应届生,适合有学习需求的读者。如果你是其他行业想转向网络安全,原创 2024-07-19 16:16:57 · 119 阅读 · 0 评论
-
Windows 用户和组管理:掌握基本技巧
用户与组的管理原创 2022-10-28 18:47:06 · 917 阅读 · 0 评论 -
详解NTFS访问控制:保护文件和目录免受未授权访问
NTFS安全权限原创 2022-10-30 22:01:02 · 1240 阅读 · 0 评论 -
从零开始学习 MySQL:入门基础与实践技巧
MySQL基础原创 2023-01-18 23:20:00 · 1157 阅读 · 0 评论 -
构建完善的安全渗透测试环境:推荐工具、资源和下载链接
安全渗透环境准备(工具下载)原创 2023-02-14 20:43:38 · 3912 阅读 · 0 评论 -
渗透测试报告模板推荐:如何规范撰写并提交
渗透测试报告模板原创 2023-05-12 20:55:04 · 481 阅读 · 0 评论 -
如何使用GPT-3.5提高渗透测试工作效率以及测试用例自动生成
如何使用GPT-3.5提高渗透测试工作效率以及测试用例自动生成原创 2023-05-22 21:16:20 · 1268 阅读 · 0 评论 -
如何入门渗透测试?
如何入门渗透测试?原创 2023-05-23 21:24:37 · 455 阅读 · 0 评论 -
计算机系统和网络安全:101个常见术语简介
计算机系统和网络安全:101个常见术语简介原创 2023-05-31 17:03:56 · 1055 阅读 · 0 评论 -
一句话木马攻击复现:揭示黑客入侵的实战过程
一句话木马攻击复现:揭示黑客入侵的实战过程原创 2023-08-22 22:09:47 · 1390 阅读 · 0 评论 -
SQL注入漏洞复现:探索不同类型的注入攻击方法
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,原创 2023-08-26 22:25:09 · 1497 阅读 · 0 评论 -
细节揭示:XXE漏洞复现步骤及安全防护建议
XXE漏洞发生在那些使用XML解析器处理用户提供的XML输入的应用程序中。攻击者通过在用户输入的XML文档中插入恶意的实体引用,来触发XML解析器加载外部实体。这些外部实体可能指向本地文件系统或通过网络访问的远程资源。原创 2023-08-31 14:47:44 · 344 阅读 · 0 评论 -
保护网站安全:学习蓝莲花的安装和使用,复现跨站脚本攻击漏洞及XSS接收平台
攻击者将恶意脚本注入到目标网站的数据库中,然后其他用户在访问包含该恶意脚本的页面时,从数据库中读取并执行该恶意脚本。原创 2023-08-29 19:01:13 · 1071 阅读 · 0 评论 -
CSRF(跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险与防护方法
CSRF漏洞指的是攻击者利用受害者的身份,在其不知情的情况下发送恶意请求给目标网站。由于目标网站无法区分恶意请求和正常请求,因此会执行该请求。这使得攻击者能够以受害者的名义执行一些不被授权的操作,例如更改密码、发表言论、转账等。不过我这里是测试就直接在浏览器打开脚本复现成功,其他类型的攻击方式操作也是这样。SSRF漏洞指的是攻击者通过操纵目标Web应用程序中的请求来发起伪造请求。攻击者利用这种漏洞可以访问应用程序所在服务器上的本地资源,或者攻击内部网络中的其他系统,并执行恶意操作。原创 2023-08-30 18:40:42 · 863 阅读 · 0 评论 -
掌握逻辑漏洞复现技术,保护您的数字环境
这篇文章旨在用于,请勿进行任何非法行为,否则后果自负。原创 2023-08-31 21:17:12 · 1402 阅读 · 0 评论 -
命令执行漏洞复现攻击:识别威胁并加强安全
主要是输入验证不严格、代码逻辑错误、应用程序或系统中缺少安全机制等。攻击者可以通过构造特定的输入向应用程序或系统注入恶意代码,从而在受攻击的主机上执行任意命令。原创 2023-09-01 19:22:44 · 839 阅读 · 0 评论 -
Python、PHP和Java下的反序列化漏洞复现实例
这篇文章旨在用于,请勿进行任何非法行为,否则后果自负。原创 2023-09-01 19:39:19 · 1002 阅读 · 0 评论 -
网络端口安全问题解析:常见端口、安全隐患及推荐工具
本文列举了渗透测试中常见的端口及潜在问题,但需要注意的是,并非所有情况下都会存在问题,具体情况还需根据实际环境和配置来评估。免责声明:本文仅供学习和参考,禁止将文章用于任何非法用途。任何因使用本文内容造成的损失和法律责任均由读者自行承担。原创 2023-09-02 19:15:17 · 623 阅读 · 0 评论 -
1-1 windows文件和目录相关命令
windows文件和目录相关命令原创 2023-10-07 20:31:20 · 1751 阅读 · 0 评论 -
1-2 网络和系统操作命令
网络和系统操作命令原创 2023-10-07 23:03:30 · 829 阅读 · 0 评论 -
1-3 Windows批处理
命令时,程序将暂停执行,直到用户按下任意键才会继续执行下面的命令。:关闭命令的回显功能,这样在执行脚本时不会显示每条命令的具体执行过程。命令用于实现跳转,后面跟上要跳转到的标签名,从而实现控制脚本的流程。在执行脚本时,由于注释只用于说明,因此不会对程序的执行产生任何影响。:输出一个空行,可以在执行批处理脚本时在输出结果中插入空行。:为批处理脚本设置窗口标题,后面可以跟上要设置的标题内容。在执行脚本时,屏幕上将不会显示命令执行的具体过程,只会输出。在执行脚本时,程序窗口的标题将被设置为。原创 2023-10-08 11:31:42 · 182 阅读 · 0 评论 -
1-4 Linux目录和文件查看命令
cd ~/桌面。原创 2023-10-08 20:38:31 · 233 阅读 · 0 评论 -
1-5 Windows server 2012R2安全加固
Windows server 2012R2安全加固原创 2023-10-09 15:46:02 · 418 阅读 · 0 评论 -
2-1 Linux文件与目录的增删改查
连接多个文件并输出到终端,这个命令会将名为"file1.txt"、"file2.txt"和"file3.txt"的文件内容连接起来并输出到终端中。这个命令会创建一个名为"dir1"的目录,并在它下面创建一个名为"dir2"的子目录,再在"dir2"下面创建一个名为"dir3"的子目录。这个命令会在当前目录下同时创建名为"file1.txt"、"file2.txt"和"file3.txt"的空文本文件。这个命令会强制删除名为"file.txt"的文件,即使它是只读文件或其他原因导致的删除失败。原创 2023-10-09 18:46:56 · 689 阅读 · 0 评论 -
2-2 Linux系统 - vim编辑器及文件的压缩解压
vi是Linux操作系统中最通用的文本编辑器,而VIM编辑器则是从vi发展出来的一个性能更强大的文本编辑器。VIM编辑器具备以字体颜色辨别语法正确性的功能,方便程序设计,并且与vi编辑器完全兼容。原创 2023-10-10 13:31:44 · 230 阅读 · 0 评论 -
2-3 Linux系统用户和组管理
用户类型可以分为三类:超级管理员用户(root用户)、系统用户和普通用户。Linux系统中使用用户组来管理和授权访问权限是一种常见的做法。用户组使得多个用户能够共享相同的权限,特别是在需要让多个用户具有相同权限的情况下,使用用户组可以极大地简化权限管理。文件是Linux系统中用于存储用户密码信息的文件,也被称为影子文件。它的目的是将用户密码信息从文件中分离出来,以增强系统安全性。与文件不同,文件只有root用户才有读权限,其他用户没有任何权限。原创 2023-10-10 19:45:28 · 352 阅读 · 0 评论 -
2-4 Linux文件基本权限
在Linux系统中,每个文件和目录都有读(r),写(w)和执行(x)权限,这些权限决定了用户对该文件或目录的访问方式。Linux服务器上有严格的权限等级,如果权限过高导致误操作会增加服务器的风险。原创 2023-10-10 21:48:37 · 495 阅读 · 0 评论 -
2-5 Linux文件特殊权限与特殊属性
Linux特殊权限。原创 2023-10-11 00:10:28 · 259 阅读 · 0 评论 -
3-1 Linux网络和系统管理
其中,第一行显示了目标地址的解析结果和发送 ICMP 报文的数据部分长度,后续每一行显示了收到的 ICMP 回应报文信息,包括回应的序列号、TTL 值、往返时间等。最后一行则显示了统计信息,包括发送和接收的报文数量以及丢包率、总时间和往返时间的最小值、平均值、最大值和标准差。返回的信息,可以了解系统当前的网络连接情况,包括监听状态的端口和建立的连接。表示仅显示 TCP 相关的连接,并拒绝显示别名。注意:上述示例中的选项可以组合使用,例如。原创 2023-10-12 00:01:02 · 206 阅读 · 0 评论 -
3-2 Linux软件安装
rpm是 Linux 系统中用于安装、升级、删除和管理软件包的命令行工具。它是 Red Hat Package Manager(RPM 包管理器)的简称,原本是 Red Hat Linux 发行版专门用来管理各种软件包的程序,但现在已经被许多其他 Linux 发行版使用。yum是一种在Fedora、Red Hat和SUSE等Linux发行版中常用的前端软件包管理器,它基于RPM包管理系统。它可以自动从指定的服务器或软件仓库下载RPM包,并处理依赖关系。原创 2023-10-12 15:42:05 · 107 阅读 · 0 评论 -
3-3 Linux防火墙配置
Firewalld防火墙是CentOS 7系统默认的防火墙管理工具,它取代了之前版本的iptables防火墙。Firewalld工作在网络层,属于一种包过滤型防火墙。使用Firewalld,可以通过配置和管理防火墙规则来保护服务器的网络安全。防火墙规则由firewalld服务提供的命令行工具firewall-cmd进行管理。对于安装了图形化界面的Linux系统,可以使用firewall-config命令来调出一个图形化的工具,用于更直观且易于操作地配置和管理防火墙规则。原创 2023-10-12 20:45:02 · 251 阅读 · 0 评论 -
3-4 Linux日志管理
系统日志文件记录系统运行过程中的各种重要信息,包括系统的运行状态、错误、警告、用户活动等。这些日志对于系统管理员和开发人员来说是非常有价值的资源,可以用于系统审核、故障排查、性能优化和安全分析等方面。rsyslog 是一个开源的 Linux 日志收集工具,它可以将日志信息保存在本地,还可以通过 TCP、UDP 等协议将日志消息转发到其他主机。rsyslog 的主配置文件是,需要在文件中定义日志采集规则。日志类型(模块).日志级别 执行动作:wq。原创 2023-10-13 20:00:51 · 134 阅读 · 0 评论 -
3-5 Linux安全加固
注意:修改这个配置文件只能影响后面创建的用户,也就是说在之前的该是多少天过期就多少天过期。文件是Linux系统中用于存储用户密码信息的文件。一样修改这个配置文件只能影响后面创建的用户。原创 2023-10-14 22:20:28 · 562 阅读 · 0 评论 -
4-1 MySQL简介
在这个示意图中,我们以MySQL为例,展示了一张名为“students”的表格,其中包含了多个学生的姓名、年龄、性别等信息。在这个示意图中,我们以MongoDB为例,展示了一个JSON格式的文档,其中包含了一个学生的姓名、年龄、性别等信息。在这个示意图中,我们以Redis为例,展示了多个键值对,其中每个键都对应一个值,可以根据键快速检索和获取对应的值。查询优势:使用统一的SQL语言,能执行复杂查询操作和多表联结查询,方便高效地处理多表关联数据。原创 2023-10-15 13:25:06 · 165 阅读 · 0 评论 -
4-2 MySQL 的下载与安装
在CentOS系统中,如果已经安装了MariaDB并想要安装MySQL,可以先卸载MariaDB,然后再安装MySQL。将下载的数据包拉到虚拟机的linux系统的主文件夹下,创建一个MySQL文件存放。重新登录验证一下刚才设置的密码是否可行。原创 2023-10-15 23:14:01 · 457 阅读 · 0 评论 -
4-3 MySQL远程连接
直接在本地使用mysqladmin命令登录mysql:mysql 命令表示要启动 MySQL 客户端。-u root:-u 选项指定要使用的用户名。在这里,我们使用 root 用户名作为示例。-p:-p 选项需要用户输入密码。如果省略此选项,则 MySQL 客户端将在不需要密码的情况下以当前用户身份登录。因此,当您使用命令时,您正在尝试使用 root 用户登录到 MySQL 客户端,并提供 root 用户的密码(如果已设置)。原创 2023-10-16 20:21:57 · 3502 阅读 · 0 评论 -
4-4 MySq修改配置文件
常规步骤:使用文本编辑器修改配置文件中的值。例如,要修改 MySQL 监听的端口号,找到类似于。完成配置文件的修改后,您需要重新启动 MySQL 服务,以使新的配置生效。在大多数 Linux 系统上,默认的配置文件路径是。防火墙要放行你修改的端口外部才能连接。您可以使用文本编辑器(如。键退出编辑模式,然后输入。)以管理员权限打开该文件。修改为您想要的端口号。原创 2023-10-16 23:28:43 · 1103 阅读 · 0 评论 -
4-5 MySQL需要了解的常用命令
该命令用于查看当前系统中是否有mysqld进程在运行。该命令用于启动MySQL服务器。该命令用于关闭MySQL服务器。原创 2023-10-17 20:44:32 · 477 阅读 · 0 评论 -
5-1 MySQL用户权限管理
一个典型的MySQL用户名@主机的格式应该是这样的:username@hostname,其中username表示用户名,hostname表示主机名或IP地址。hostname10.0.0.51:表示只能从IP地址为10.0.0.51的主机连接;10.0.0.%:表示可以从IP地址以10.0.0.开头的任意主机连接;:表示可以从任意主机连接;(% 权限太大,做安全检查时需要重点检查):表示可以从与IP地址在同一网段的任意主机连接;Dbo1:表示可以从主机名为Dbo1(域名)的主机连接;原创 2023-10-19 09:09:47 · 274 阅读 · 2 评论 -
5-2 MySQL数据库读取外部文件
MySQL数据库读取外部文件原创 2023-10-19 20:27:58 · 713 阅读 · 0 评论