摘要:
米斯特白帽培训讲义 漏洞篇 XSS 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 分类 总共有三种 反射型:经过后端,不经过数据库存储型:经过后端,经过数据库DOM:不经过后端 原理:反射型 将这段代码保存为xss.php。 \\XSS反射演示 <form action= 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理与危害 SQL 注入就是指,在输入的字符串中注入 SQL 语句,如果应用相信用户的输入而对输入的字符串没进行任何的过滤处理,那么这些注入进去的 SQL 语句就会被数据库误认为是正常 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 代码执行 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理 由于开发人员编写源码时,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务端执行。命令注入攻击中,Web 服务器没有过滤类似system、eval和 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 成因 弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如”123”、”abc 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 文件包含 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理 文件包含就是将一个文件包含到自己的文件中执行。它可分为本地包含和远程包含,本地包含即包含本地磁盘上的文件,文件名称是相对路径或绝对路径,远程包含即包含互联网上的文件,文件名称是 UR 阅读全文
摘要:
米斯特白帽培训讲义 挖掘篇 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 信息侦探 信息侦探技术用于得到网站信息,包括网站服务器、WHOIS 信息,网站用户信息,网站程序信息以及其他。这些信息服务于我们的渗透测试。 信息侦探所用的工具和技术有很多种,主要是站长之家、搜索引 阅读全文