- 博客(10)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 渗透测试PTES标准流程(超详细)
渗透测试的基本流程一、什么是渗透测试?二、渗透测试的阶段过程一、什么是渗透测试?渗透测试就是利用学习掌握的技能通过一种模拟攻击的技术与方法,挫败目标系统的安全控制策略并获得控制访问权的安全测试方法,对网站进行渗透,发现其中的漏洞风险,并撰写报告告知客户,客户依据我们攥写的报告对漏洞和风险进行修补,防止攻击。进行渗透测试的前提必须是在经过客户书面授权之后进行的! 如果没有取得客户的书面授权进行渗透测试是违法的行为,最少三年哦!在2016年11月7日通过2017年6月1日施行的《网络安全法》中有明确规定。
2021-04-15 09:53:34
18792
原创 数据库语法基础高级语法
数据库语法基础高级语法一、like二、order by 排序三、group by 分组在数据库中,仅有一些基础的语法是往往不够的,有一些目的需要高级语法来完成。一、like例:选取 name 以字母“G”开头的所有客户: SELECT * FROM Websites WHERE name LIKE '_G%'; 通配符: % 代表多个字符 _ 代表一个字符二、order by 排序SELECT * FROM test_table ORDER BY user
2021-03-16 14:54:17
173
原创 数据库基础二
数据库基础二数据库基础二三.SQL语法基础1.用于关系型数据库的标准SQL命令2.分为三组3.命令基础①create 创建新的表、视图或者其他数据库中的对象②ALTER alter 修改先存数据库对象③数据库基础二三.SQL语法基础1.用于关系型数据库的标准SQL命令主要有CREATE、SELECT、INSERT、UPDATE、DELETE和DROP2.分为三组①数据定义(create、prop)②数据操纵(select、insert、update、delete)③数据控制(grant、r
2021-02-28 18:46:41
177
1
原创 数据库基础一
数据库基础数据库基础一.主流数据库1.Microsoft SQL Server2.MySQL数据库基础一.主流数据库1.Microsoft SQL ServerSQL Server是Microsoft公司推出的关系型数据库管理系统。具有使用方便、可伸缩性好、与相关软件集成程度高等优点。从旧版的个人电脑到运行Microsoft Windows Server的大型处理器的服务器都可以使用。2.MySQLMySQL是现在非常流行的关系型数据库管理系统,在Web应用方面MySQL是最好的RDB
2020-12-30 19:50:44
129
1
原创 验证机制问题
验证机制问题验证机制问题验证机制问题一.暴力破解一.暴力破解暴力破解(brute force),也可以称为蛮力攻击,指利用穷举法将所有的可能性一一尝试,理论上可以破解所有密码问题。实际测试中,考虑到攻击成本的问题,通常使用字典攻击,即逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。弱口令攻击①弱口令是指容易被他人猜到的口令,除常见的123456、12345678、admin等口令外,生日、姓名、手机号、1qazqwas也被称为弱口令。②为了节省攻击成本,通常也会使用弱口令字典进行
2020-12-24 19:50:26
263
原创 逻辑漏洞概述
web漏洞一 逻辑漏洞(一)逻辑漏洞概述文章目录web漏洞一 逻辑漏洞(一)逻辑漏洞概述一、访问控制权概述二、逻辑漏洞概述1.什么是逻辑漏洞2.逻辑漏洞的分类三、验证机制1.身份标识2.验证机制四.会话管理五.权限控制六.业务逻辑一、访问控制权概述访问在某种程度上来说,信息安全就是通过如何访问信息资源来防范资源泄露或未经授权修改的工作。访问就是主体(Subiect)和客体(Object)之间的信息流动,主体是访问中主动的实体,可以是程序、进程等;客体是被动的实体,可以是文件、光盘、数
2020-12-23 21:07:56
759
原创 Web漏洞XSS之会话管理
会话管理web漏洞XSS之会话管理一,概述二、session管理方式三、cookie管理方式四、token管理方式web漏洞XSS之会话管理一,概述为什么需要会话管理?HTTP是无状态的,一次请求结束,连接断开;服务器再次收到请求时,无法识别此次连接用户是哪个用户;为了需要辨别访问的用户,需要一种记录用户的方式。会话管理的方式①.session; ②cookie; ③token二、session管理方式认证过程①服务器session是用户第一次访问应用时,服务器就会创建的对
2020-12-01 10:49:44
175
原创 web安全基础知识(二)
web安全基础知识(接上篇文章)十,HTTP认证——BASIC认证1,认证过程:(1)客户端发起HTTP请求,请求的资源是受限资源(登陆可以访问)(2)服务器接收到请求后,先不返回资源,给客户端返回登录名和密码(3)客户端收到页面后输入用户名和密码,发送给服务器。服务器返回数据库验证(4)验证成功后用户可以访问首先资源2,用途:小型网络认证(如路由器)3,特点:base64编码后明文传输用户名及口令4,优点:几乎所有浏览器都支持5,缺点:安全性无保障十一,HTTP认证——HTTP OA
2020-11-27 10:57:23
1131
7
原创 web安全基础知识(一)
web安全基础知识一,TCP的三次握手二,TCP的四次挥手三,web应用的请求过程1,用户输入url:**.cn(要访问的url连接)2,DNS域名解析3,建立TCP连接(TCP的三次握手)4,发送HTTP Request5,web服务器响应6,应用服务器响应7,关闭TCP连接(TCP的四次挥手)8,用户浏览器渲染页面四,HTTP超文本传输的特点1,建立在TCP协议基础之上;2,无状态五,URL与URIURL:统一资源定位符URI:统一资源标识符六,URL各部分解析
2020-11-26 11:21:46
466
原创 WEB安全综述
web安全综述1,web体系系统结构(由低到高的顺序)①操作系统:Linux/Windows②存储:web应用保存大量信息,包括平台信息、用户信息、服务器数据等③web容器:为上层开发语言提供运行环境(中间件有相同的功能)中间件:联系操作系统和web应用,作为中转部分用来进行沟通联系,向web应用和操作系统执行连接。apache/nginx:既可以起到web容器的作用,为编程语言提供环境的同时也是中间件,沟通web应用和操作系统IIS④web服务端语言:PHP/JSP/.NET⑤web开发
2020-11-26 09:04:19
456
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人