![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全相关
「已注销」
这个作者很懒,什么都没留下…
展开
-
Nmap速查表v1.0
基本语法:#nmap [扫描方式] [命令选项] {目标}扫描目标格式:IPv4 地址: 192.168.1.1IPv6 地址:AABB:CCDD::FF%eth0主机名:www.target.tgtIP 地址范围:192.168.0-255.0-255掩码格式:192.168.0.0/16使用列表文件:-iL 设置扫描端口无转载 2013-11-08 00:58:43 · 734 阅读 · 0 评论 -
点击挟持
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面上的某个按钮或者链接。通过调整iframe 页面的位置,可以诱使用户恰好点击在iframe 页面的一些功能性按钮上。一个简单的实例如下:clickjacking.html代码#clic原创 2014-01-02 16:31:50 · 769 阅读 · 0 评论 -
sqlmap用户手册(一)——综述
当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增转载 2013-11-08 23:19:30 · 810 阅读 · 0 评论 -
sqlmap用户手册(七)——爆破等
爆破暴力破解表名参数:--common-tables当使用--tables无法获取到数据库的表时,可以使用此参数。通常是如下情况:1、MySQL数据库版本小于5.0,没有information_schema表。2、数据库是Microssoft Access,系统表MSysObjects是不可读的(默认)。3、当前用户没有权限读取系统中保存数据结构的表的权转载 2013-11-08 23:46:59 · 3705 阅读 · 0 评论 -
sqlmap用户手册(五)——探测
探测探测等级参数:--level共有五个等级,默认为1,sqlmap使用的payload可以在xml/payloads.xml中看到,你也可以根据相应的格式添加自己的payload。这个参数不仅影响使用哪些payload同时也会影响测试的注入点,GET和POST的数据都会测试,HTTP Cookie在level为2的时候就会测试,HTTP User-Agent/转载 2013-11-08 23:42:50 · 1413 阅读 · 0 评论 -
sqlmap用户手册(四)——注入
注入测试参数参数:-p,--skipsqlmap默认测试所有的GET和POST参数,当--level的值大于等于2的时候也会测试HTTP Cookie头的值,当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。但是你可以手动用-p参数设置想要测试的参数。例如: -p "id,user-anget"当你使用--level的值很大但是有个转载 2013-11-08 23:36:49 · 1787 阅读 · 0 评论 -
sqlmap用户手册(三)——请求
请求http数据参数:--data此参数是把数据以POST方式提交,sqlmap会像检测GET参数一样检测POST的参数。例子:python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1" -f --banner --dbs --users参数拆分字符参数:--para转载 2013-11-08 23:31:15 · 912 阅读 · 0 评论 -
sqlmap用户手册(二)——获取目标方式
获取目标方式目标URL参数:-u或者--url格式:http(s)://targeturl[:port]/[…]例如:python sqlmap.py -u "http://www.target.com/vuln.php?id=1" -f --banner --dbs --users从Burp或者WebScarab代理中获取日志参数:-l转载 2013-11-08 23:20:33 · 1325 阅读 · 0 评论