龙哥盟

摘要： 米斯特白帽培训讲义 漏洞篇 逻辑漏洞 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 任意密码找回 这是补天平台上的一个案例： http://www.118114.cn/reg.jsp 首先注册一个账号，然后找回。 我们收到的验证码是六位数。如果网站没有设置频率限制，或者最 阅读全文

摘要： 米斯特白帽培训讲义 漏洞篇 CSRF 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是 阅读全文

摘要： 米斯特白帽培训讲义 工具篇 BruteXSS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 介绍 BruteXSS 是一个非常强大和快速的跨站点脚本检测工具，可用于暴力注入参数。BruteXSS 从指定的词库加载多种有效载荷进行注入，并且使用指定的载荷和扫描检查这些存在 阅读全文

摘要： 米斯特白帽培训讲义 工具篇 Safe3 WVS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 介绍 Safe3 WVS 是一款使用较为领先的智能化爬虫技术及 SQL 注入状态检测技术的工具，相比国内外同类产品智能化程度更高，速度更快，结果更准确。 所以我们一般用它检测 S 阅读全文

摘要： 米斯特白帽培训讲义 工具篇 Nmap 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 介绍 Nmap（网络映射器）是由 Gordon Lyon 涉及，用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓补图，Nmap 发送特制的数据包到目标主机，然后对返回数据包 阅读全文

摘要： 米斯特白帽培训讲义 工具篇 AWVS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 功能 AWVS 即 Acunetix Web Vulnerability Scanner 是一个网站及服务器漏洞扫描软件。 自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应 阅读全文

摘要： 米斯特白帽培训讲义 漏洞篇 文件上传 讲师：gh0stkey 整理：飞龙 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0 我们首先看一下文件上传的流程图。 其中，浏览器通过上传页面将文件储存到服务器中。一般这 阅读全文

摘要： 米斯特白帽培训讲义 漏洞篇 越权 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 越权漏洞是 Web 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是开发人员在对数据进行增、删、改、查时对 阅读全文

摘要： 米斯特白帽培训讲义 漏洞篇 XSS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 分类 总共有三种 反射型：经过后端，不经过数据库存储型：经过后端，经过数据库DOM：不经过后端 原理：反射型 将这段代码保存为xss.php。 \\XSS反射演示 <form action= 阅读全文

摘要： 米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 原理与危害 SQL 注入就是指，在输入的字符串中注入 SQL 语句，如果应用相信用户的输入而对输入的字符串没进行任何的过滤处理，那么这些注入进去的 SQL 语句就会被数据库误认为是正常 阅读全文