渗透类
文章平均质量分 81
学习通过模拟恶意黑客攻击来评估计算机系统、网络或Web应用安全性的方法
Ange 宇
真嘟假嘟
展开
-
35_WebShell管理工具、中国蚁剑AntSword的安装及使用、御剑的使用、后台目录扫描
WebShell管理工具、中国蚁剑AntSword的安装及使用、御剑的使用、后台目录扫描原创 2024-08-14 01:51:09 · 365 阅读 · 0 评论 -
34_Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试执行流程、AWVS破解
Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试执行流程、AWVS破解原创 2024-08-14 00:42:52 · 516 阅读 · 0 评论 -
33_对bluecms v1.6进行代码审计、用代码审计三种方法分别进行实施、bluecms v1.6下载与安装、定向功能分析法
对bluecms v1.6进行代码审计、用代码审计三种方法分别进行实施、bluecms v1.6下载与安装、定向功能分析法原创 2024-08-13 18:13:27 · 798 阅读 · 0 评论 -
32_代码审计实施准备工作、代码审计标准、代码审计流程、代码审计方法、代码审计工具、安装与使用RIPS、Seay代码审计工具、Seay的简单使用
代码审计实施准备工作、代码审计标准、代码审计流程、代码审计方法、代码审计工具、安装与使用RIPS、Seay代码审计工具、Seay的简单使用原创 2024-08-13 01:00:51 · 381 阅读 · 0 评论 -
31_逻辑漏洞、水平垂直越权、垂直越权漏洞测试、水平越权、支付漏洞概述原理
如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。因此,在在权限管理中应该遵守:1.使用最小权限原则对用户进行赋权;2.使用合理(严格)的权限校验规则;原创 2024-08-11 16:42:00 · 620 阅读 · 0 评论 -
30_XXE漏洞、XML基础知识、XXE实体注入防御、XXE漏洞概念、 XXE实体注入测试
-- DTD文档类型定义 -->ENTITY a "今天周三了">]>-- 父元素 -->-- 子元素 -->18&b;原创 2024-08-10 14:13:41 · 134 阅读 · 0 评论 -
29_反序列化漏洞、反序列化概念、反序列化原理、反序列化漏洞防御、序列化
工具可以去菜鸟工具的在线php的序列化输出一下弹框("alert(1);原创 2024-08-08 22:11:53 · 592 阅读 · 0 评论 -
28_文件包含漏洞、本地文件包含、远程文件包含、文件包含漏洞防御措施
File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如 在PHP中,提供了:这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。原创 2024-08-08 14:27:11 · 636 阅读 · 0 评论 -
27_文件上传漏洞、upload-labs靶场安装、蚁剑安装、蚁剑使用、AntSword-Loader-v4.0.3安装使用、upload-labs通关
文件上传漏洞、upload-labs靶场安装、蚁剑安装、蚁剑使用、AntSword-Loader-v4.0.3安装使用、upload-labs通关原创 2024-08-06 19:44:18 · 877 阅读 · 0 评论 -
26_RCE远程代码/命令执行-RCE概念、RCE漏洞原理、RCE利用方式、相关函数
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。原创 2024-08-06 01:27:53 · 266 阅读 · 0 评论 -
24_XSS跨站脚本攻击-学习与测试/Beef工具使用/Beef-xss攻击实战
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。原创 2024-08-05 10:33:56 · 638 阅读 · 0 评论 -
23_sql注入的防御
本质是,过滤+转义。原创 2024-08-05 10:45:00 · 245 阅读 · 0 评论 -
23_windows 使用sqlmap、kali使用sqlmap,SQL注入、sqlmap自动注入
安装python环境链接:https://pan.baidu.com/s/16QhhYCppSvuUikhKiOHNgg?pwd=9LJY提取码:9LJYC:\Users\leyilea> python // 测试python能不能用>>> exit() // 退出测试sqlmap是否可用kali中运行sqlmap(两者不同区别是,win10里是脚本的方式运行,kill里是变成了命令方式运行)原创 2024-08-04 08:15:00 · 245 阅读 · 0 评论 -
22_BurpSuite安装—BurpSuite_v2.1_Windows
BurpSuite v2.1.zip的下载地址,这个版本建议用英文,因为汉化的使用时可能会出现bug,我用22版本的汉化就出现过bug。原创 2024-08-03 02:04:06 · 292 阅读 · 0 评论