- 博客(5)
- 资源 (1)
- 收藏
- 关注
原创 SSRF服务器请求伪造
定义SSRF:服务器请求伪造,攻击者又到服务器发送http请求给目标服务器,一般ssrf攻击目标为从外网无法访问的内网环境。原因一般都是因为服务器提供了从其他服务器应用获取数据的功能,而且没有过滤或者限制,例如从指定url获取网页文本内容,加载指定地址的图片,下载等出现ssrf的地方一般是:1、在线翻译2、转码服务3、分享4、图片加载与下载(通过url地址下载或者下载图片)5、图片、文章收藏功能6、网站采集、网页抓取的地方7、头像的地方。(远程加载头像)8、输
2023-12-08 15:04:01
328
原创 小知识---注入
对用户输入进行严格的验证,使用参数化的SQL语句,以及确保数据库用户拥有最小必要的权限,都是有效的防范措施。攻击者通过在应用程序的用户输入中插入恶意的SQL代码,从而欺骗数据库执行意外的查询。SQL 注入是通过将恶意 SQL 代码插入到应用程序的输入字段中,从而执行未授权的数据库查询或操作。攻击者通过在SQL语句中使用UNION关键字将额外的查询结果合并到原始查询结果中,从而获取额外的数据。攻击者在应用程序中的存储过程、触发器或其他地方注入恶意代码,以便在稍后的操作中触发执行。
2023-12-01 09:01:28
329
1
原创 知识点回顾---CSRF(跨站请求伪造)
CSRF 攻击是通过伪造用户的请求,利用用户在其他网站上的已登录状态执行未经授权的操作。攻击者可以通过这种方式执行任何需要身份验证的操作。使用 SameSite 属性来限制第三方网站对 cookie 的访问。检查请求中的 Referer 头,确保请求是从正确的来源发起的。使用随机生成的 CSRF 令牌,并将其嵌入到表单或请求中。
2023-11-30 22:15:00
361
原创 知识点回顾---web攻击流程
"""请注意,渗透测试应该始终在受控的、合法的环境中进行,并且只能在获得明确授权的情况下执行。使用自动化工具,如扫描器,检测目标中可能存在的常见漏洞,如 SQL 注入、XSS、CSRF 等。渗透测试是一种授权的活动,其目的是评估系统、应用程序或网络的安全性。尝试获取目标系统中的敏感信息,如数据库中的用户凭据、个人数据等。撰写渗透测试报告,详细描述发现的漏洞、攻击路径和建议的修复措施。利用发现的漏洞进行攻击,如 SQL 注入、XSS、命令注入等。收集有关目标的公开信息,如域名、IP地址、子域名等。
2023-11-30 17:30:47
408
1
原创 认识的积累
1、用相当于一倍的时间去记笔记。2、用同一种呈现形态去记忆(记忆是画面+内容的记忆)。3、笔记可以只记自己可以看懂的笔记,但是要“好看”,笔记是自己的理解和认识创造,不是摘抄。4、...
2022-04-04 23:14:16
332
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人