- 博客(77)
- 收藏
- 关注
原创 web安全漏洞总结
分析了一下漏洞造成的原因,怎么利用漏洞,怎么防御漏洞。漏洞分为两个部分,常见的漏洞:sql注入、文件上传漏洞、文件包含漏洞、代码执行漏洞、命令执行漏洞、代码执行漏洞、xxe、xss、csrf、ssrf漏洞、反序列化漏洞、中间件漏洞、解析漏洞、权限提升漏洞。第二部分:敏感信息漏洞、授权访问漏洞、逻辑漏洞、未授权访问、中间件漏洞
2023-07-25 11:00:31
3381
1
原创 企业src-白帽赚钱的合理途径
src(应急响应中心),这是白帽合理赚钱的途径之一,厂商悬赏白帽门来挖自己产业的漏洞,挖到不同的漏洞,就给不同的赏金。
2023-07-04 21:55:33
1290
原创 入侵排查与响应-window和linux版
入侵检测:看看你的电脑有没有被入侵过,应急响应:如果你的电脑被入侵了,应该怎么做讲述linux和window系统一些入侵检测的方法,如果你担心或者好奇你的电脑有没有被入侵的化,可以试试用这些方法检查一下
2023-07-03 19:36:09
2275
原创 流量分析工具wireshark-学习笔记
Wireshark是一种开源网络分析工具,能够捕获不同类型的流量,根据流量追踪数据包,可以帮助分析网络的状态,是否使用什么协议,是否存在攻击
2023-06-26 21:33:49
4423
原创 黑客常用cmd命令(window版)
包括ping、nbtstat、netstat、tracert、ipconfig、ipconfig、arp、at、nsllokup、net、ftp、telnet
2023-06-25 20:10:19
59379
27
原创 文件上传漏洞-用骗子的角度分析
文件上传漏洞:在文件上传中存在的漏洞,不管是有限制还是无限制,只要有方法把我们的不符合文件传入到服务器中,这就是漏洞。这里是利用骗子的角度,来破解文件上传漏洞的检测、拦截方法。
2023-06-23 20:57:09
781
原创 msf渗透练习-生成木马控制window系统
利用kali的msf工具生成木马window木马,对目标window主机进行控制,本次练习仅用于学习,不要用于非法用途(做个好白帽)
2023-06-12 18:36:29
4299
原创 msf渗透测试学习-与永恒之蓝漏洞案例
MSF是Metasploit Framework的缩写,是一款广泛使用的渗透测试工具,具有强大的攻击功能。它提供了一个模块化的平台,通过将各种攻击载荷、漏洞利用和辅助工具组装在一起,可用于模拟各种攻击,测试系统安全性,也可以用于执行红队实战训练、漏洞挖掘等工作。
2023-06-08 11:29:15
4562
1
原创 黑客学习-xss漏洞总结
XSS攻击全称跨站脚本攻击,是一种在Web应用中常见的安全漏洞,它允许用户将恶意代码植入到Web页面中,当其他用户访问此页面时,植入的恶意脚本就会在其他用户的客户端中执行。是为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。导致xss漏洞存在有几个原因对用户提交的数据未进行充分验证和过滤,如未对特殊字符和标签进行转义,导致恶意脚本被注入到Web页面中。
2023-06-06 20:22:26
1093
原创 python数据可视化-matplotlib学习总结
用python中的matplotlib绘制图形:趋势图、散点图、柱形图、条形图、直方图、饼图、级线图、气泡图、棉棒图、箱线图、误差棒图。还总结几个常用的样式:设置刻度线样式、添加指示、坐标轴与标题的阴影效果、坐标轴的转移、窗口的分区
2023-06-05 17:30:28
1639
原创 逻辑漏洞学习-知识点总结
学习完个人感觉:逻辑漏洞是思维上的对决,开发者第一目的是实现功能,在一些开发上,就存在漏洞。在身份证验证、验证码验证、忘记密码、支付时、其他方面等都存在漏洞
2023-06-03 20:21:37
1459
原创 逻辑漏洞学习-身份验证漏洞
逻辑漏洞就是程序在实现业务逻辑上存在的错误,辑漏洞的出现通常是因为程序在设计业务逻辑时考虑不够全面,或者程序员的思维过程存在瑕疵,没有充分考虑到各种可能的情况大部分程序员在设计的时候,目标是实现功能需求,考虑并不是很全面,所以是可能存在漏洞的,接下来,学习身份验证漏洞。身份验证漏洞是在识别用户身份这一功能方面存在的漏洞(个人感觉:逻辑漏洞是思维上的对决,)
2023-05-30 22:48:08
1506
原创 kali安装ARL灯塔过程
ARL(Advanced Reconnaissance Library)是一款基于云端的安全扫描工具,它可以自动化地扫描和评估网络设备和应用程序的安全性。ARL灯塔系统自动化扫描工具专门用于灯塔系统的安全扫描和评估,可以快速、准确地检测出灯塔系统中可能存在的漏洞和安全隐患
2023-05-25 20:57:21
2116
原创 python-序列知识点总结
这是我学习python序列时候,对知识点的总结,包括了列表、元组、字典、集合常用的四种内置数据结构,对其创建、增加等基本操作
2023-05-25 14:36:04
1061
原创 信息收集-服务器信息
服务器上面可以运行大量的系统服务和第三方应用服务,如果操作系统或者第三方软件没有及时升级打补丁,攻击者就有可能直接通过服务器上运行的服务进行攻击。
2023-05-23 15:29:30
1127
原创 信息收集-目录信息
网页的目录结构跟整个网站的布局有关,收集到的信息可以包括目录名称、目录结构、目录所包含的文件、文件类型、文件大小等。dirsearch是一款常用的目录扫描工具,是Python编写的,通过扫描字典列表中的所有可能的目标URL中提供的目录(或文件),来寻找Web应用程序中存在的潜在目录和文件。/usr/share/dirbuster/wordlists是dirbuster自带的字典目录,我使用的是自带的字典,也可以选择自己的字典。-r 递归目录(跑出目录后,继续跑目录下面的目录)-e 指定网站语言。
2023-05-22 20:42:29
510
原创 信息收集-ip地址
它通过将内容(如网页、图片、视频等)缓存到公共的服务器上,以便更快速、更可靠地交付给用户所在的位置。交换机、路由器、网络摄像头、私人网盘、打印机、ATM、物联网家电等等。这些所有的系统和设备,就是网络里面的一个个节点,共同组成了网络空间,我们想直接通过引擎去搜索网络上的这些硬件设备,就有了网络空间搜索引。域名解析记录(DNS record),也称为资源记录、域名记录,是存储在域名解析服务器上的数据。域名解析记录的目的是查找之前的ip地址,在早些年,cdn并没有被用到,那时候用的ip地址都是真实地址。
2023-05-19 21:08:27
511
原创 信息收集-子域名
企业可能有多个、几十个甚至更多的子域名应用,因为子域名数量多,企业子域名应用的防护可能会没有主站及时。攻击者在主站域名找不到突破口时,就可以进行子域名的信息收集,然后通过子域名的漏洞进行迂回攻击。“Layer子域名挖掘机”是图形化的工具,内置了很多常见的子域名字典,支持多线程,可以识别域名的真实IP,是子域名枚举常用的工具之一。子域名是父域名的下一级,比如“huiyuan.xxx.com”和“bbs.xxx.com”这两个域名是“xxx.com”的子域名,可以通过枚举的方式对子域名进行收集(暴力破解)
2023-05-19 12:28:47
832
原创 AppScan-证书安装
选择记录代理,第一次需要增加证书,过程中会弹窗,选择是。带入证书,选择appscan证书。1、选择扫描-手动扫描-外部设备。证书是zip压缩包,进行解压。搜索栏搜索证书,点击查看证书。在火狐浏览器上,点击设置。
2023-05-01 21:14:41
555
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人