![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
文章平均质量分 78
隔壁Cc
一起学习一起进步
展开
-
SSRF漏洞靶场
对于SSRF,回显是能够成功利⽤的重要条件,所以过滤返回信息,验证远程服务器对请求的响应是⽐较容易的⽅法。如果WEB应⽤是去获取某⼀种类型的⽂件,那么在把返回结果展⽰给⽤户之前先验证返回的信息是否符合标准。禁⽤不需要的协议,仅仅允许HTTP和HTTPS请求。可以防⽌类似于file://、gopher://、ftp://等引起的问题原创 2022-05-15 13:02:29 · 2735 阅读 · 0 评论 -
令牌验证码绕过
注意:开始阅读时候不要急慢慢阅读,做的很详细,新手也能看得懂Token令牌爆破Token介绍:Token在计算机身份认证中是令牌(临时)的意思,而token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,同的暗号被授权不同的数据操作。例如在USB1.1协议中定义了4类数据包:token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段,第一个阶段由主机发送token包,不同的token包内容不一样(暗号不一样)可..原创 2022-05-15 09:30:00 · 609 阅读 · 0 评论 -
验证码绕过
客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给服务端->服务端验证验证码同时销毁当前会话,返回给客户端结果。原创 2022-05-14 09:30:00 · 2512 阅读 · 0 评论 -
挖洞教程之漏洞扫描
联网工程任务组RFC4949[1]: 系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。中国国家标准 信息安全技术-网络安全漏洞标识与描述规范 GB/T 28458-2020[2]: 网络安全漏洞是网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。原创 2022-05-13 16:13:50 · 2743 阅读 · 0 评论 -
漏洞挖掘教程
明确是在哪种系统进行渗透,今天选择windows系统进行渗透,而明确目标的意思就是明确测试的需求,判断测试是针对哪方面漏洞,是针对支付漏洞,还是逻辑漏洞,还是管理员权限漏洞,其次就是渗透范文,如IP段,域名、整站渗透或者部分模块渗透,最后确定渗透规则,而在这个阶段主要就是测试人员针对测试项目有明确的测试方向,也是为了更好的制定测试计划原创 2022-05-13 16:07:49 · 3740 阅读 · 0 评论 -
XSS钓鱼攻击
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...原创 2022-05-13 16:01:41 · 1426 阅读 · 0 评论 -
利用sqlmap注入获取网址管理员账号密码
sqlmap 靶场的攻击注入利用。原创 2022-04-21 18:14:22 · 6535 阅读 · 2 评论