摘要:
利用第三方服务对目标进行被动信息收集防止被发现 信息收集方式分为主动收集和被动: 主动:类似于直接访问,扫描网站,用nmap扫描端口 或者layer子域名查询。 被动:通过搜索引擎,公开的渠道获得目标主机信息,从而不与目标系统直接交互,避免留痕迹。 通过收集的内容有:IP地址段,域名信息,邮件地址, 阅读全文
摘要:
XSS 跨站脚本攻击 (GET POST) 或者cookie 获取后台管理地址 CSRF 跨站请求伪造 用户 常发生在支付的收获,比如某宝网页跳转支付 或者QB 虚拟物品支付 SSRF 服务端请求伪造,隐藏 内网 杀戮,可以当作跳板,获取服务器ip地址 预防手段:下线功能、白名单(特殊情况下也可破解 阅读全文