![](https://img-blog.csdnimg.cn/6376189a8d444f99b79730e6a33fe191.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
信息安全
文章平均质量分 88
安全基础
UtoCoo
有幸成为长河的一粒沙
展开
-
WAF防范原理
WAF,即Web Application Firewall,和传统防火墙的区别是,它是工作在应用层的防火墙,也是基于特征规则库防御,主要对web请求/响应进行防护。WAF能做什么呢?1.纵深安全纵深防护,精确识别人机识别,拦截爬虫行为隐藏服务器敏感信息泄露2.WAF其实是部署在服务器的前置,这样可以减少对服务器的资源消耗,但是对WAF的性能要求比较高。原创 2024-04-23 19:22:05 · 553 阅读 · 0 评论 -
木马——文件上传
WebShell就是以网页文件形式(asp\php\jsp)存在的一种命令执行环境,客户端通过远程连接,利用W ebS h ell连接到服务器,并可对服务器进行操作。前提是后端一定可以解析这种环境。原创 2024-04-21 15:37:50 · 636 阅读 · 0 评论 -
BP使用和弱口令漏洞
完成后会弹出结果,对比每一行的Length,和其他行不一样的一般是破解成功的,且状态码为200。右键选择发送到Intruder,在Positions选项中,设置要暴力破解的变量,这里是登录的密码。比如图片验证码,具体绕过原理是,使用BP拦截包后,单独发送验证码,获得正确的验证码后,再暴力破解密码。要爆破一台win10的账号登录和密码,拿我这台机器举例,需要知道账号名,比如abc。我们不知道密码,验证码也不知道,因为是在服务端验证,因此我们需要获得正确的验证码。也可以观察到响应的包的具体内容。原创 2024-04-20 14:38:04 · 886 阅读 · 0 评论 -
SQL注入作业
实际上这个过程是,admin'# 作为用户名登录后,数据库对该用户名,密码信任,实际上这个用户名被代码替换后,登录的不是admin'# ,而是admin。修改的是admin的密码,这就是二阶注入的原理。所谓的二阶注入,利用的是,数据库系统对已有信息的“信任”,将注入的用户名输入到系统后,利用这种信任,登录到数据库其他用户,比如admin'#成功注册后,但是登录的却是admin。此时,username为8 ,根据or的运算,3=3是永真式,#将后半句注释了,故这句代码执行结果永远为真,可以登录成功。原创 2024-04-19 20:49:57 · 1175 阅读 · 0 评论