- 博客(8)
- 收藏
- 关注
RSS订阅原创 kali骚操作之系统字典
目录一、kali默认字典简单介绍二、关于johnjohn破解kali密码实战三、kali字典生成工具——crunchkali默认字典目录: /usr/share/wordlists/一、kali默认字典简单介绍dirbbig.txt #大的字典small.txt #小的字典catala.txt #项目配置字典common.txt #公共字典euskera.txt #数据目录字典...
2019-10-31 23:02:42
8307
原创 浏览器安全学习笔记
目录前言浏览器安全一、同源策略二、浏览器沙箱三、恶意网址拦截前言作为一个菜鸟渣渣,自以为懂得很多,然而在一次面试交谈中被问及浏览器相关安全策略,是一脸懵逼。脑袋里跑的是什么url、协议、用户访问过程啥的,能想到一点,但是很乱,在此自我批评。安全的范围太广了,感觉什么都要涉及,所以什么都会学习一点,但是没有系统性的思维,当朋友问及一个东西,虽然学过,但是回想不起来,只是熟悉。需要作一提醒才焕然大...
2019-10-29 22:49:00
1258
原创 关于SQL注入的一些分析
一、sql注入原理SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 举例说明: id=id=id=_GET[‘id’] sql=SELECT∗FROMusersWHEREid=sql=SELECT * FROM users WHERE id=sq...
2019-10-29 21:27:54
14109
2
原创 关于网络安全的思考
一、什么是安全?笔者在上大学之前就有听过“黑客”这个神乎其神的名字(那时候还不知道黑帽子对应的白帽子),觉得黑客就是一群很牛逼的人,可以通过电脑上天入地,在如今互联网的时代,拿到任何他想拿到的东西。包括看到的各种科幻类电影,比如最为经典的黑客帝国,当时为之震撼。还有前段时间看的-我是谁:没有绝对安全的系统。觉得这些人真的好厉害,如果我们有这种技术就好了,肯定就很炫酷。 前者这个电影呢,让我感受到...
2019-10-28 22:27:06
1630
原创 文件上传漏洞小总结
一、什么是文件上传漏洞文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。造成文件上传漏洞...
2019-10-28 21:18:03
3669
原创 漏洞验证之metasploit实战
一、metasploit简介Metasploit 是一款开源的渗透测试框架平台,可以用来信息收集、漏洞探测、漏洞利用等 渗透测试的全流程,被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的 Metasploit 是采用 Perl 语言编写的,但是再后来的新版中,改成了用 Ruby 语言编写的了,这使得使用者能够根 据需要对模块进行适当修改,甚至是调用自己写的测试模块。到目前为止,msf 已经内置了...
2019-10-23 08:51:39
5577
原创 set工具集的基础使用
一、setoolkit介绍开源的社会工程学利用套件,通常结合 metasploit 来使用。Social-Engineer Toolkit 专 门 用 于 社 会 工 程 的 高 级 攻 击 包 。SET 由 David Kennedy(ReL1K)编写,并在社区人员的大量帮助下,它包含了 以前从未见过的攻击工具集。渗透测试期间,工具包中内置的攻击工具可以进行有针 对性地集中攻击。SET 的主要...
2019-10-22 00:14:49
4399
1
原创 sqlmap基本用法及实例
这里`在这里插入代码片`写自定义目录标题一、 sqlmap介绍二 、sqlmap基本用法三、实例使用sqlmap实现自动化注入攻击,对操作系统命令进行操作一、 sqlmap介绍sqlmap 是一个自动化的 SQL 注入工具,其主要功能是扫描,发现并利用给定的 URL 进行SQL注入。 Sqlmap 采用了以下 5 种独特的 SQL 注入技术1、基于布尔类型的盲注,即可以根据返回页面判断条件真...
2019-10-21 23:11:02
1094
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人