- 博客(43)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Web渗透思路及src漏洞挖掘思路
网络渗透测试,或简称“Web渗透”,是一种系统性、有计划的对目标网站进行安全评估的过程。其核心目标是识别和利用网站的安全漏洞,以提升整体网络安全。文章通常会从理解目标环境开始,包括信息收集(如域名、子域、IP地址等),接着是应用扫描,寻找可能的漏洞点。然后,通过技术手段尝试利用这些漏洞,如SQL注入、XSS攻击等,以获取更多权限或数据。最后,报告发现的问题,并提出修复建议,帮助组织加强防御。整个过程强调合法授权和道德规范,旨在提升网络安全意识和防护能力。
2024-07-02 11:13:18
460
原创 HarmonyOS APP应用开发项目- MCA助手(Day02持续更新中~)
鸿蒙APP开发是指在华为的HarmonyOS平台上构建应用程序的过程,它利用华为提供的DevEco Studio集成开发环境(IDE)以及一套丰富的API库,支持Java、JavaScript等语言,采用组件化和模块化设计原则。开发者可以通过创建Ability和Particle组件,构建具有分布式能力的应用,实现一次开发,多端部署的目标,让应用能够在手机、平板、穿戴设备、智能家电等不同设备之间无缝流转,提供统一的用户体验和强大的跨设备协同能力。鸿蒙APP开发旨在简化开发流程,降低开发成本,同时增强应用的安全
2024-06-30 20:23:12
985
原创 web渗透-反序列化漏洞
反序列化漏洞发生在应用将不可信的数据转换回可执行的对象时,这可能使攻击者能执行任意代码或操控应用状态,导致安全风险。此漏洞常见于使用序列化格式如Java序列化、JSON、XML或YAML的数据交换中。预防措施包括验证数据来源、限制反序列化对象类型及使用安全的反序列化库。
2024-06-30 13:21:39
517
原创 HarmonyOS APP应用开发项目- MCA助手(Day01持续更新中~)
鸿蒙APP开发是指在华为的HarmonyOS平台上构建应用程序的过程,它利用华为提供的DevEco Studio集成开发环境(IDE)以及一套丰富的API库,支持Java、JavaScript等语言,采用组件化和模块化设计原则。开发者可以通过创建Ability和Particle组件,构建具有分布式能力的应用,实现一次开发,多端部署的目标,让应用能够在手机、平板、穿戴设备、智能家电等不同设备之间无缝流转,提供统一的用户体验和强大的跨设备协同能力。鸿蒙APP开发旨在简化开发流程,降低开发成本,同时增强应用的安全
2024-06-29 17:46:07
978
原创 Web渗透-逻辑漏洞
逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现任意密码修改(没有旧密码验证),越权访问,密码找回,交易支付金额等。对常见的漏洞进行过统计,发现其中越权操作和逻辑漏洞占比最高,在我们所测试过的平台中基本都有发现,包括任意查询用户信息,任意删除等行为;最严重的漏洞出现在账号安全,包括重置任意用户密码,验证码暴力破解等。
2024-06-28 22:04:26
270
原创 鸿蒙 HarmonyOS NEXT星河版APP应用开发-ArkTS面向对象及组件化UI开发应用实例
HarmonyOS NEXT星河版的应用开发标志着华为分布式操作系统的全新篇章,它聚焦于打造原生精致、易用、流畅、安全、智能和互联的极致体验。开发者可以利用其先进的API和工具集,如DevEco Studio,构建高性能、跨设备无缝协同的应用程序,从而充分利用HarmonyOS的分布式能力,为用户带来一致且丰富的多场景数字生活体验。随着“学习强国”、岚图汽车、中国电信等知名企业和应用的加入,鸿蒙生态正迅速扩展,引领着原生应用开发的新趋势。
2024-06-27 21:47:01
1647
原创 Web渗透-命令执行漏洞及常见靶场探测实战
命令执行(RCE):应用有时需要调用一些执行系统命令的函数,如php中的system,exec,shell exec,passthru,popen,proc popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
2024-06-27 14:04:40
299
原创 web渗透-SSRF漏洞及discuz论坛网站测试
ssrf(server-side request forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,ssrf是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)
2024-06-26 14:01:35
938
原创 鸿蒙 HarmonyOS NEXT星河版APP应用开发阶段三-热门组件使用及案例
HarmonyOS NEXT星河版的应用开发标志着华为分布式操作系统的全新篇章,它聚焦于打造原生精致、易用、流畅、安全、智能和互联的极致体验。开发者可以利用其先进的API和工具集,如DevEco Studio,构建高性能、跨设备无缝协同的应用程序,从而充分利用HarmonyOS的分布式能力,为用户带来一致且丰富的多场景数字生活体验。随着“学习强国”、岚图汽车、中国电信等知名企业和应用的加入,鸿蒙生态正迅速扩展,引领着原生应用开发的新趋势。
2024-06-25 22:01:42
623
原创 web渗透-CSRF漏洞
cross-site request forgery 简称为"csrf",在csrf的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以csrf攻击也为"onclick"攻击。
2024-06-25 16:41:41
1055
原创 鸿蒙 HarmonyOS NEXT星河版APP应用开发-阶段二
HarmonyOS NEXT星河版的应用开发标志着华为分布式操作系统的全新篇章,它聚焦于打造原生精致、易用、流畅、安全、智能和互联的极致体验。开发者可以利用其先进的API和工具集,如DevEco Studio,构建高性能、跨设备无缝协同的应用程序,从而充分利用HarmonyOS的分布式能力,为用户带来一致且丰富的多场景数字生活体验。随着“学习强国”、岚图汽车、中国电信等知名企业和应用的加入,鸿蒙生态正迅速扩展,引领着原生应用开发的新趋势。
2024-06-24 21:51:41
674
原创 Web渗透-XSS漏洞深入及xss-labs靶场实战
xss全称(cross site scripting)跨站脚本攻击,是最常见的web应用程序安全漏洞之一,位于owasptop102013年度第三名xss是指攻击者在网页中嵌入客户端脚本,通常是javascrip编写的危险代码,当用户使用浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的
2024-06-24 15:34:14
1230
原创 Web渗透-文件包含漏洞
文件包含漏洞是指在Web应用程序中,由于对用户输入的数据没有进行充分的过滤和验证,允许攻击者通过构造特定的参数,诱导程序去包含一个由攻击者指定的文件。这种漏洞可以被利用来执行任意代码、获取服务器敏感信息或控制服务器。一句话概括:文件包含漏洞让攻击者能远程控制Web服务器,执行恶意代码,泄露或篡改数据。
2024-06-23 14:58:50
1058
原创 鸿蒙 HarmonyOS NEXT星河版APP应用开发-阶段一
HarmonyOS NEXT星河版的应用开发标志着华为分布式操作系统的全新篇章,它聚焦于打造原生精致、易用、流畅、安全、智能和互联的极致体验。开发者可以利用其先进的API和工具集,如DevEco Studio,构建高性能、跨设备无缝协同的应用程序,从而充分利用HarmonyOS的分布式能力,为用户带来一致且丰富的多场景数字生活体验。随着“学习强国”、岚图汽车、中国电信等知名企业和应用的加入,鸿蒙生态正迅速扩展,引领着原生应用开发的新趋势。
2024-06-22 22:06:41
2867
1
原创 文件上传漏洞-下篇
文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制基至服务器论陷。,复杂一点的情况是配合webserver的解析漏洞来获取控制权或结合文件包含漏洞。
2024-06-22 17:29:20
897
原创 文件上传漏洞-上篇
文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制基至服务器论陷。,复杂一点的情况是配合webserver的解析漏洞来获取控制权或结合文件包含漏洞。
2024-06-21 15:53:35
769
1
原创 MicroPython+ESP32 C3+ST7735S LCD屏 WIFI联网显示实时时间
MicroPython+ESP32 C3+ST7735S LCD屏 WIFI联网显示实时时间
2024-06-20 21:43:30
828
原创 SQL注入-sqlmap使用
sqlmap是一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB
2024-06-20 15:25:12
1085
原创 SQL注入-下篇
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
2024-06-19 19:33:06
707
原创 SQL注入-中篇
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
2024-06-18 20:22:38
881
原创 SQL注入-上篇
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
2024-06-17 21:34:43
633
原创 MicroPython+ESP32 C3开发上云
MicroPython是python3编程语言的精简实现,能够在资源非常有限的硬件上运行,如MCU微控制器,Micropython的网络功能和计算功能很强大,有非常多的库可以使用,它为嵌入式开发带来了一种新的编程方式和思维模式。
2024-06-16 21:45:27
1382
原创 Web渗透信息收集进阶
网站敏感目录表示网站目录中容易被恶意人员利用的一些目录。通常恶意人员都是通过工具扫描,来扫出网站的敏感目录,敏感目录是能够得到其他网页的信息,从而找到后台管理页面,尝试进入后台等,扫描网站的目录结构,看看是不是存在遍历目录的漏洞。
2024-06-16 20:26:39
1254
原创 CDN绕过技术
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。
2024-06-15 13:44:56
666
原创 渗透测试信息收集
信息收集(Information Gathering),信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步,也是关键的一步
2024-06-14 20:30:01
1003
原创 Burp Suite使用及BruteForc_test靶场实战
Burp Suite是用于攻击和测试Web应用程序安全性的集成平台,包含多个协同工作的工具,支持信息共享与复杂攻击。设计有加速攻击流程的接口,所有工具共享强大框架,处理HTTP消息、持久性、认证、代理、日志和警报。主要用于安全性渗透测试,功能包括拦截修改请求、扫描漏洞、暴力破解表单和执行随机性检查等,提升测试效率。
2024-06-14 20:25:50
453
原创 PHP和Mysql前后端交互效果实现
在Web开发中,PHP通常作为后端语言与MySQL数据库配合使用,而前端则负责展示数据给用户。下面我将解释如何使用PHP和MySQL实现前后端的数据交互。
2024-06-13 16:35:09
763
原创 初识PHP
PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法学习了C语言,吸纳Java和Perl多个语言的特色发展出自己的特色语法,并根据它们的长项持续改进提升自己,例如java的面向对象编程,该语言当初创建的主要目标是让开发人员快速编写出优质的web网站。 [1-2]PHP同时支持面向对象和面向过程的开发,使用上非常灵活。
2024-06-12 16:07:23
1217
原创 Web安全渗透攻防技术
扩展0day:挖掘但是未公布出来的漏洞。代理服务器vpn:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器硬件、软件等多种方式实现。更新源地址:/etc/apt/sources.list# 选择源 # 中科大源 deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib。
2024-06-06 17:20:43
1267
2
原创 网络安全渗透工具汇总
HackBar是一款基于浏览器的渗透测试工具,可以简化目标网站的攻击流程。它可以轻松地注入JavaScript和其他脚本,进行SQL注入、XSS攻击、各种类型的扫描等。该工具可在Firefox和Chrome等流行的浏览器中使用,并且功能非常强大和定制化。自定义请求发送:HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET、POST、PUT、DELETE 等类型的请求,并添加自定义的 HTTP 头部、参数等信息。
2024-06-02 22:06:23
672
2
原创 一天一个设计模式
4、使用工厂:new 工厂类,调用方法并参入子类特点参数获得需要的子类。优:在获取实例的方法中进行初始化,使用该类较少时,节省系统资源。3、建立工厂类,通过子类独有的特点返回子类。2、类对象中new一个静态成员变量。缺:类加载立即获取实例,浪费内存。优:线程安全,获取实例速度快。1、创建类,构造方法私有化。3、静态方法方法获取实例。
2024-06-01 21:54:18
129
原创 springboot集成swagger3+knife4j-spring-ui
springboot集成swagger3+knife4j-spring-ui
2023-06-23 10:09:01
469
1
原创 GZ-2022034 物联网技术应用赛项赛题(Windows系统运行维护)
任务书1使用过程发现局域网内网络设备无法获取到有效IP,请配置DHCP服务分配的IP从172.16.【工位号】.150开始至172.16.【工位号】.200结束,并启用服务。使用路由器配置DHCP在工作站计算机中使用DOS窗口测试服务器计算机8005端口是否连接通畅。telnet IP 端口公司某台电脑配置了两块网卡,同时连接内外两个网络,外网(192.168.0.3/24,网关:192.168.0.254)和内网(192.168.67.12/24,网关:192.168.67.254
2022-05-30 12:46:19
2664
4
原创 2021年全国职业院校技能大赛_高职题目(Ubuntu题)
任务书_A卷使用给定的虚拟机系统文件(ova 文件)在服务器电脑上还原 Ubuntu 系统。未完成使用控制台命令设置系统拒绝 IP 为 192.168.100.100 这台 PC 机访问。//禁用ipsudo iptables -I INPUT -s 192.168.100.100 -j DROP// 查看sudo iptables -L INPUT任务书_B卷请使用命令查询网络地址配置结果,请将查询结果界面截图(要求截图中可以看到具体的命令)ifconfig配
2022-05-26 11:05:19
324
原创 新大陆控制4150继电器的两种方式
1 使用串口服务器package com.whltaoin.a0523_1;import androidx.appcompat.app.AppCompatActivity;import android.os.Bundle;import android.widget.TextView;import com.nle.mylibrary.forUse.mdbus4150.MdBus4150RelayListener;import com.nle.mylibrary.forUse.mdbus415
2022-05-23 11:46:47
474
求比较高效好用的学习方法
2024-04-06
TA创建的收藏夹 TA关注的收藏夹
TA关注的人