- 博客(8)
- 收藏
- 关注
原创 SQL漏洞注入(附实战练习)
环境部署phpstudy、DVWA、SQLI-LABS(学习sql注入平台)、upload-labs、课程源码环境webSQL注入原理SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的 参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来 实现对数据库的任意操作。举例说明:id=id=id=_GET[‘id’]sql=SELECT∗FROMusersWHEREid=sql=SELECT * FROM users WHERE
2020-05-15 21:32:46 6126 1
原创 HTTP数据包
HTTP协议和WEB应用Web应用通常是指基于http的应用程序HTTP协议简介• HTTP协议是HyperTextTransferProtocol(超文本传输协议)的缩写是用于从万维网服务器传输超文本到本地浏览器的传 送协议。• HTTP是一个基于TCP/IP通信协议来传递数据(HTML文件,图片文件,查询结果等)。• HTTP是一个属于应用层的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。• 目前在WWW中使用的是HTTP/1.1。web2.0• HTTP协议工作于客户
2020-05-14 17:54:07 2826
原创 Web渗透之信息收集技术(附实战练习)
先附上思维导图方便查阅????1、收集子域信息子域名检测工具:Layer子域名挖掘机,K8,wydomain,Sublist3r,dnsmaper,subDomainsBrute,Maltego CE搜索引擎枚举:可以利用前面的google黑客语法。列如:搜索百度旗下的子域名就可以使用“site:baidu.com”,site:baidu.com –www 不包含www第三方聚合应用枚举:很多第三方服务汇聚了大量DNS数据集,可通过它们检索某个给定域名的子域名。只要往其搜索栏中输入域名,
2020-05-13 22:20:45 2505
原创 Windows 7环境下部署靶场环境(附靶场环境工具)
部署grade、dvwa、sqli-lbas、upload-labs、book、web几个靶场环境1. 将靶场环境copy到windows7虚拟机中2. 启动phpStudy3.打开phpMyAdmin4.将靶机环境文件夹放在www目录下5.创建数据库并访问各个环境(DVWA和upload直接就可以搭建)靶场环境提取链接(百度网盘):https://pan.baidu.com/s/1iSI6FXI4XTpZioXlRGa-mA提取码:84tn...
2020-05-12 18:00:40 2088 1
原创 Google hacking介绍
1 Google HackingGoogle Hacking 是利用谷歌搜索的强大,来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。利用Google搜索我们想要的信息,需要配合谷歌搜索引擎的一些语法:基本搜索逻辑与:and逻辑或: or逻辑非: -完整匹配:“关键词”通
2020-05-12 17:33:13 2419
原创 渗透测试简单介绍
渗透测试介绍渗透测试 (penetration test)是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可 能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对 某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所 有者。网络所有者根据渗透人员提供的渗透测试报告,可以
2020-05-11 15:17:26 1483
原创 Python基础知识详解
python:基础知识环境: 环境变量 http://www.python.org 文档:https://www.python.org/doc/win安装: exe/zip linux安装: downloads/source 下载对应的压缩包 python-3.x.x.tgz ./configure make&&make install检查:python -V基础语法:编码utf-8 “”–coding:utf-
2020-05-11 00:31:09 1038 4
原创 Python简单入门介绍
黑帽子(脚本小子?黑客/骇客)->白帽子Python:人生苦短,我用python!!一套脚本语言: 1、逐行解释,编辑器很简单,记事本,python交互编程模式,编译超容易,运行分为前/后两种 前:.py 后:.pyw2、弱规则: java/C#:方法定义,变量定义,内置语言,编译模式 python/javascript/typescript 如:java: String name = “”;int age = 17;age = 17.0 name = “zhang
2020-05-10 16:32:26 188
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人