黑客
文章平均质量分 62
DMXA
三大件
展开
-
文件上传漏洞(upload-labs:1-4关)
通过上传功能,把恶意文件上传到服务器端,然后利用上传功能的不完善,绕过类型或者大小的限制,把恶意文件上传到服务器,从未实现攻击,如果服务器被入侵,就可能导致数据泄露等安全问题,所以对于文件上传功能,需要控制文件类型和大小数量,同时进行安全校验和过滤,防止文件上传的漏洞。原创 2023-12-10 20:56:37 · 123 阅读 · 0 评论 -
WebShell介绍(蚁剑&哥斯拉工具使用)
该文章仅用于信息网络安全防御技术学习,请勿用于其他用途! 该文章为纯技术分享,严禁利用本文章所提到的技术进行非法攻击!原创 2023-12-10 19:41:12 · 338 阅读 · 0 评论 -
Bruteforc_Test靶场使用Burpsuite爆破教程
Bruteforc_Test靶场使用Burpsuite爆破教程。原创 2023-11-01 21:34:09 · 254 阅读 · 1 评论 -
XSS-Lab(XSS注入教程)
解题思路:先观察题目的类型,猜哪个地方可以存在注入,代码分析这个可以交给chatgpt,下面就可以尝试自己构造好的payload 做了10题下来,发现难度是依次上升的解题思路:先观察题目的类型,猜哪个地方可以存在注入,然后是代码分析,这个可以交给chatgpt,下面就可以尝试自己构造好的payload,也可以进行BP抓包看下具体数据,或者指纹识别查一下框架是否有历史漏洞,XSS常用的标签:原创 2023-11-01 21:06:34 · 230 阅读 · 1 评论 -
BUUCTF[第二章Web进阶]XSS闯关教程
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意代码连同正常信息一起注入帖子的内容中。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件中,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS。原创 2023-11-01 20:48:31 · 407 阅读 · 1 评论 -
轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大原创 2023-11-01 20:36:38 · 602 阅读 · 1 评论 -
反射型XSS(pikachu)攻略详解
防止反射型XSS漏洞的关键是对用户输入进行严格的过滤和编码,避免恶意代码被执行。同时,也需要在后端做好校验和过滤,避免恶意代码被存储在数据库中。最后,使用CSP可以限制网页中执行的脚本来源,从而增加网页的安全性。在后端,可以对用户输入的内容进行严格的校验和过滤,确保不合法的输入不会被存储。等,或者使用一些正则表达式来限制输入的内容。同时,也可以对输入的内容进行编码,如。Content-Security-Policy头。比如可以对用户输入的特殊字符进行过滤,如。,限制网页中可以执行的脚本来源。原创 2023-10-27 20:37:45 · 221 阅读 · 1 评论 -
最常用的sql注入工具
当然,还有一些别的功能,比如读取文件点击Read Files,在下面的输入框中输入本地某个文件地址,点击Read即可读取文件(前提是my.ini文件中的secure_file_priv=’ ’值为空不是为null)选择Query,下方输入框填写select @@secure_file_priv 点击Execute即可查询是否为空还是为null。原创 2023-10-26 20:58:17 · 338 阅读 · 1 评论 -
【sqlmap之tamper脚本绕过】更新中。。。
level设置注入探测等级共有五个等级,默认为1级, 这个参数不仅影响使用哪些payload同时也会影响测试的注入点,GET和POST的数据都会测试,HTTP Cookie在level为2的时候就会测试,HTTP User-Agent/Referer头在level为3的时候就会测试。总之在你不确定哪个payload或者参数为注入点的时候,为了保证全面性,建议使用高的level值。-v ["x"]原创 2023-10-18 23:26:58 · 171 阅读 · 1 评论