posted @ 2023-02-12 14:20 季啊 阅读(54) 评论(0) 推荐(0) 编辑
摘要:
CSRF CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。 场景需求: 小黑想要修改大白在购物网站tian 阅读全文
摘要:
Burt Force(暴力破解漏洞) “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可 阅读全文
posted @ 2023-02-10 21:27 季啊 阅读(59) 评论(0) 推荐(0) 编辑
摘要:
https://portswigger.net/web-security/xxe/blind burpsuite平台的地址 Blind XXE 带外交互 首先进入这个页面后进行抓包 根据它的一个解决方案对于抓到的包中信息做一个修改 <!DOCTYPE stockCheck [ <!ENTITY xx 阅读全文
posted @ 2022-09-22 19:39 季啊 阅读(122) 评论(0) 推荐(0) 编辑
摘要:
在数据库中创建用户后,在给用户的权限时,根据需求只给几个可用的基本权限,禁止将root的所有权限给用户。 对于用户的查询,可以只让它查自己的数据库或数据表,对于其他的如user、tables数据库,没有权限去访问。 创建的用户的密码不要过于简单,如123,123456,自己姓名的首字母等都不要使用。 阅读全文
posted @ 2022-08-02 21:18 季啊 阅读(23) 评论(0) 推荐(0) 编辑
摘要:
一、什么是渗透测试? 渗透测试没有标准的定义,国内外一些组织达成共识的一种说法:渗透测试是模拟黑客的攻击方式来评估计算机网络安全的一种评估方法。(另一种说法渗透测试是人员在不同的位置,例如:测试人员在外网或内网对特定的网络进行的某种测试,经过长期的测试将系统中存在的一些漏洞进行整理,编写成报告,并提 阅读全文
posted @ 2022-07-25 20:05 季啊 阅读(552) 评论(0) 推荐(0) 编辑
摘要:
0x00: <script>alert(1)</script>0x01: </textarea><a href="javascript:alert(1)">asdf</a>0x02: " onclick="alert(1)0x03:``反撇 <a href="javascript:alert`1`" 阅读全文
posted @ 2022-07-04 20:38 季啊 阅读(165) 评论(0) 推荐(0) 编辑
摘要:
反射型xss(get):get型在url中 <script>alert()</script> 反射型xss(post): 先登录:admin 123456 <script>alert()</script> 存储型xss: 用户输入 ->把输入的内容发送到服务器 ->服务器把发送来的东西放到数据库 - 阅读全文
posted @ 2022-07-04 20:33 季啊 阅读(70) 评论(0) 推荐(0) 编辑
摘要:
<!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> window.alert = function() { c 阅读全文
posted @ 2022-07-01 20:59 季啊 阅读(57) 评论(0) 推荐(0) 编辑