- 博客(8)
- 收藏
- 关注
RSS订阅原创 网络安全——CSRF与SSRF
CSRF , 中文全称叫做客户端请求伪造 , 是建立在会话之上的攻击 , 欺骗用户访问恶意的url , 如转账和添加管理员用户。程序员在开发的时候,未对相关页面进行token和referer判断,造成攻击者可构造自己的URL地址欺 骗目标用户进行点击访问。SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成 , 由服务端发起请求的个安全漏洞,属于服务端攻击 , 一般,服务端提供了从其他服务器应用获取数据的功能 ,但是没有对目标地址做过滤与限。
2024-07-16 11:04:07
1107
原创 网络安全——挖掘漏洞(中间件漏洞)
学习网络安全的同学肯定了解过漏洞挖掘,漏洞挖掘通常指的是在软件、系统、网络或任何其他类型的技术系统中寻找安全漏洞的过程。这些漏洞可能允许未经授权的访问、数据泄露、服务中断或其他形式的安全威胁。漏洞挖掘是一个网络安全专业领域。作为初学者,学习了知识不等于能力,丰富的项目实战能力才意味着完全掌握。已经入行的大佬们应该都已经了解的相关的漏洞挖掘平台,比如SRC漏洞挖掘。
2024-07-13 18:26:39
1038
原创 网络安全——SQL注入
这里修改了1个重要参数,id=-1这个值在数据库中是不存在的,原因是程序只返回⼀个结果,所以 我们需要使 union 前面的语句出错才可以让我们后⾯查询的结果返回。从而可以判断查询的字段数。获取数据库名称会使⽤到 database(),而database()是数据库内嵌的函数,主要是用于查询 当前的数据库名称 database()的使用方法: MariaDB [security]> select database();我们获得了对应字段的显示位置,就可以在对应的位置查询我们想要获取到的数据库信息。
2024-07-10 22:29:16
1205
原创 网络安全——CC攻击
CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送 大量貌似合法的请求。CC根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器 发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。
2024-07-09 16:32:03
385
1
原创 FOFA网络空间安全搜索引擎的使用
FOFA主要针对公网上的资产进行探测,类似于谷歌地图上的建筑物(IP地址),虽然可以看到建筑物的外部结构和规模,但无法了解内部的情况。不同的是,这些数据不仅包括像谷歌或百度一样的网页,还包括像摄像头、打印机、数据库、操作系统等资产。我们可以使用FOFA搜索一些我们想要用的网址,比如最近比较火的ChatGPT,我们可以通过在FOFA上搜索网站标题,找到包含ChatGPT关键词的网站。FOFA是一款网络空间测绘的搜索引擎,旨在帮助用户以搜索的方式查找公网上的互联网资产。进入FOFA的官网,可以查询所有语法。
2024-07-09 16:06:34
887
原创 网络安全——文件上传漏洞
文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa办公文件传,媒体上传,允许用户上传文件,如果过滤不严格,恶意用户利用件上传漏洞,上传有害的可以执行脚本文件到服务器中,可以获取服务器的权限,或进一步危害服务器。确定目标站点允许的文件类型和上传点。尝试上传恶意文件,观察服务器响应。使用代理工具抓取上传请求,分析验证逻辑。根据分析结果,修改请求以绕过客户端和服务器端验证。
2024-07-08 19:14:57
827
1
原创 网络安全——网络渗透测试入门
在信息技术迅猛发展的今天,网络安全已成为全球关注的焦点。作为一名网络工程专业的学生,我有幸参加了一次渗透测试的实习,通过实践活动深入了解了网络安全的诸多方面。本次学习总结旨在回顾实习过程中的关键知识点,反思学习体会,并对未来的网络安全学习路径做出规划。一、渗透测试基础知识渗透测试是一种评估网络和系统安全性能的方法,通过模拟黑客攻击来检测潜在的安全漏洞。实习的第一天,我们重点学习了渗透测试的相关术语和基础知识,包括但不限于系统相关、网络协议、网络应用、安全相关术语等。二、渗透测试流程。
2024-07-07 18:53:06
1201
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人