自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

weixin_56714714的博客

  • 博客(8)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 黑客常用的几个渗透工具(请正确使用)

1. SqlmapSQLmap是一个开源软件,用于检测和利用数据库漏洞,并提供将恶意代码注入其中的选项。 它是一种渗透测试工具,可自动检测和利用SQL注入漏洞,在终端中提供其用户界面。 该软件在命令行运行,可供不同操作系统下载:Linux发行版,Windows和Mac OS操作系统。sqlmap完全支持多个DBMS,包括MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird和SAP Ma

2021-07-31 14:03:17 2545

原创 upload-labs1-10通关步骤

upload-labs通关详细步骤pass -01先查看源码 分析一下:我们先上传一个php文件,发现了是前端验证前端验证的话 直接F12查看器 找到并删掉代码return checkFile()删除代码后可以发现 上传成功了上传成功后复制文件地址去访问一下,执行一下phpinfo(),执行成功了就证明成功了,可以使用工具链接pass -02查看下源码:上传一个一句话试试,可以看出这是后端验证,验证了文件的类型。使用burp抓包修改文件类型,改成允许的图片类型image/jpeg

2021-07-25 01:07:54 761 2

原创 csrf&ssrf漏洞详解

CSRF什么是CSRF?跨站请求伪造也叫CSRF/XSRF攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。CSRF攻击的危害CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF危害:以你的名义发送邮件,发

2021-07-25 00:34:45 1413 2

原创 XXE漏洞详解

XXE什么是XXE?​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码,许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击什么是XML?

2021-07-25 00:33:52 7754

原创 代码执行&命令执行详解

代码执行什么是代码执行?当应用在调用一些能将字符串转换成代码的函数时,没有考虑到用户是否能够控制这个字符串传入一些恶意代码,将造成代码注入漏洞https://www.anquanke.com/post/id/229611 详细介绍为什么存在代码执行漏洞?应用有时候会考虑代码的简洁性,灵活性,会在代码中调用 eval之类的函数利用方式比如可以利用PHP的文件操作写入一个shell文件PHP代码执行*eval() //把字符串作为PHP代码执行assert() //检查一个断言是

2021-07-25 00:33:09 4387

原创 反序列化漏洞详解

反序列化漏洞什么是序列化和反序列化?​ PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果​ 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行getshell等一系列不可控的后果。​ 反序列化漏洞并不是PHP特有,也存在于java,python等语言中,但其原理基本相同为什么存在反序列化?​ 1.大型网站中类创建的对象多的时候会占用大量的空间,反序列化就

2021-07-25 00:32:26 752

原创 逻辑漏洞详解

逻辑漏洞逻辑漏洞简介​ 逻辑漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。​ 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或者代码问题或固有不足,操作上并不影响程序的允许,在逻辑上是顺利执行的。​ 这种漏洞一般防护手段或设备无法阻止,因为走的是合法流量也没有防御标准。逻辑漏洞的重要性​ 常见的OWASP漏洞,通过漏洞扫描工具,大多支持自动化或者半自动化扫描出来,并且传统的安全设备或者防

2021-07-25 00:31:35 12366 1

原创 sql注入详解

首先什么是SQL注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入有什么危害?危害:数据泄露、脱库、篡改网站、破坏数据库、植入后门、getshell(获取网站权限)为什么会有SQL注入漏洞?后端代码在执行的过程将用户输入的数据也当做代码来执行,违背一个原则:代码和数据相分离(本质问题)前段传递的数据可以随意控制,参数可控;后端对前段传递过来的数据没有过滤或者过滤不严谨,最终导致SQL注入(注入的原因)

2021-07-25 00:26:51 1093 1

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除