![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
文章平均质量分 76
杰尼龟会呲水
网络安全局编外人员
展开
-
【VulHub靶场】之CFS三层靶机内网渗透
msf配置代理的实操原创 2022-10-21 18:24:10 · 1629 阅读 · 1 评论 -
SSRF的原理、攻击手法以及防御措施
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。原创 2022-09-18 22:13:42 · 1657 阅读 · 6 评论 -
CSRF(客户端跨站请求伪造)---专篇
CSRF的一些知识原创 2022-09-17 22:01:22 · 1384 阅读 · 7 评论 -
XSS的原理、攻击方式、一些绕过姿势和防御方法
XSS的原理、利用手法、绕过姿势、以及防御方法原创 2022-09-16 20:34:57 · 2654 阅读 · 7 评论 -
Log4j2漏洞复现
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......原创 2022-08-12 15:53:03 · 13935 阅读 · 2 评论 -
sqlmap的两种挂代理方式
sqlmap代理配置原创 2022-07-20 23:34:13 · 12362 阅读 · 35 评论 -
SQL注入的注入点找法
1,注入点首先观察搜索框的地址是否是有与数据库交互,例如html这种几乎是不存在注入的所以要先判断是否有交互。2,交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//www.xxx.com/index.php?id=1这种很大程度存在注入当然有些注入点不会这么一眼看出会有些比较复杂例如http://www.xxx.com:50006/index.php?x=home&c=View&a=index&aid=9 这样的地址其实也可能存在注入。......原创 2022-07-18 19:10:04 · 8337 阅读 · 19 评论 -
Linux系统ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统安装教程
系统CentOS 7自动化收集资产,实时探测终端输入1、 cd /etc/yum.repos.d/2、yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3、yum install docker-ce docker-ce-cli containerd.io4、service docker start5、下载docker-compo原创 2022-05-05 19:06:33 · 2495 阅读 · 2 评论