- 博客(9)
- 收藏
- 关注
RSS订阅原创 入侵检测系统
文章目录IDS 入侵检测系统 (旁路部署)概述意义入侵检测系统的特点入侵检测原理入侵检测的技术实现入侵检测系统评价指标IPS 入侵防御系统(串行部署)入侵防御技术入侵防御技术优势入侵防御系统入侵检测系统与入侵防御系统对比系统漏洞病毒IDS 入侵检测系统 (旁路部署)入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术。入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统
2021-12-30 16:23:53
5261
原创 ctfshow baby杯web
文章目录一、baby_captcha一、baby_captcha点击首页的无脑给了一个500常用的密码字典看来是要爆破密码了,而根据题目给出了的信息可以知道这个系统的账号是admin,只要把密码爆破出来就行了。抓包进行爆破,payload用给的500常用密码滴滴滴拿到密码fire,然后练习下听力,根据放的声音写出来验证码登录就有flag。...
2021-10-23 06:07:30
2425
原创 Pikachu漏洞靶场系列之SQL注入
文章目录1.概述1.1.发生原因1.2.注入点类型1.3.SQL注入流程2.数字型注入(POST)2.1.简易2.2.拓展3.字符型注入(GET)4.搜索型注入4.1.拓展5.XX型注入6.insert/update/delete注入6.1.基于函数报错注入总结1.概述1.1.发生原因Web应用程序对用户输入的合法性没有判断或者过滤不严,用户在输入的字符串之中注入SQL指令,导致这些注入进去的恶意指令被数据库误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。比如我们期望用户输入整数的id,但是
2021-10-22 04:43:21
2749
原创 Burpsuite的超详细安装教程(图文版)
文章目录概述一、配置JAVA环境二、安装Burpsuite概述Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Su
2021-10-13 00:24:38
70397
16
原创 Pikachu漏洞靶场系列之CSRF
文章目录概述CSRF攻击需要条件CSRF和XSS的区别检测是否存在CSRF漏洞一、CSRF(get)二、CSRF(post)CSRF(token)防护措施概述CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了、所以CSRF攻击也被称为“one click”攻击。CSRF攻击需要条件1、目标网站没有对修改个人信息修改的请
2021-09-11 02:48:54
1398
原创 Pikachu漏洞靶场系列之XSS
文章目录概述跨站脚本漏洞常见类型XSS漏洞的测试流程搭建XSS后台一、反射型XSS(Get)实验案例-获取Cookie二、反射型XSS(Post)三、存储型XSS实验案例-钓鱼攻击实验案例-键盘记录什么是跨域跨域-同源策略为什么要同源策略四、DOM型XSS五、DOM型XSS-X六、XSS之盲打七、XSS之过滤转换的思路编码的思路XSS之htmlspecialcharsXSS常见防范措施XSS之href输出XSS之js输出总结XSS常见Payload概述1、XSS就是攻击者在web页面插入恶意的Scri
2021-09-10 04:23:04
4819
1
原创 DVWA笔记(二)Command Injection(命令注入)
文章目录前言命令注入原理一、注入流程二、源码分析第一等级最高等级防御问题一:乱码前言DVWA四个等级:没有做过滤做了基础过滤(中级)设置了命令黑名单’&&‘跟’;'过滤了做了比较强的过滤从逻辑上改了,将ip切割为四个部分,且都为数字命令注入原理原理: 通过web程序在服务器上拼接系统命令危害: 如果在web应用使用的是root权限,则该漏洞可以导致攻击者在服务器上执行任意命令一、注入流程1.利用管道符 命令执行漏洞执行ping命令以后查看目录127.0.0
2021-08-23 02:59:49
649
原创 DVWA笔记(一)SQL Injection(SQL注入)
文章目录SQL注入原理前言1.注入流程2.源码分析2.复现过程总结SQL注入原理Web应用程序对用户输入的合法性没有判断或者过滤不严,用户在输入的字符串之中注入SQL指令,导致这些注入进去的恶意指令被数据库误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。前言重点:information_schema在学习SQL注入漏洞之前,先学习一个相关的知识点。在MySQL 5.0版本之后,MySQL默认在数据库中存放一个“information_schema”的数据库,在该库中,需要记住三个表名,分别
2021-08-20 05:45:19
375
1
转载 Windows下用Xshell连接centos7系统(图文详细有步骤)
Windows下用Xshell连接centos7系统(图文详细有步骤)前言1.Linux改用桥接自动获取动态IP,以IP地址192.168.1.61为例1.首先查看下虚拟机的IP地址如果只显示了127.0.0.1这个IP,不要急,输入vi /etc/sysconfig/network-scripts/ifcfg-eth0 打开如下的,将ONBOOT=no改成yes,然后按Esc,输入:wq,保存退出• 拓展小提示:在/etc/sysconfig/network-scripts/ifcfg-et
2021-05-31 02:06:01
1545
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人