风中人-cool

导航

2021年3月10日

VPN

摘要: 1、VPN(Virtual Private Network) 虚拟专用网络 虚拟专网 2、引入 VPN在不安全的网络上,安全的传输数据,好像专网 VPN只是一个技术,使用PKI,来保证数据的安全的三要素 3、安全三要素: 机密性 完整性 身份验证 4、加密技术: 1)对称加密:加密与解密使用相同的密 阅读全文

posted @ 2021-03-10 11:48 风中人-cool 阅读(6) 评论(0) 推荐(0) 编辑

2021年2月19日

13-口令破解

摘要: 1.口令安全概述 现在很多地方以用户名(账户)和口令(密码)作为鉴权的方式,口令(密码)就意味着访问权限。例如网站后台、数据库、服务器、个人电脑、QQ、邮箱等等。 2.口令安全现状 弱口令 类似123456、654321、admin123 等这些常见的弱密码 默认口令 很多应用或者系统存在默认口令。 阅读全文

posted @ 2021-02-19 17:01 风中人-cool 阅读(244) 评论(0) 推荐(0) 编辑

12-XXE漏洞

摘要: 1.概述 <!--第一部分:XML声明--> <?xml version="1.0"?> <!--第二部分:文档类型定义DTD--> <!DOCTYPE note [ <!--定义此文档是 note 类型的文档--> <!ENTITY entity-name SYSTEM "URL/URL"> <! 阅读全文

posted @ 2021-02-19 16:58 风中人-cool 阅读(25) 评论(0) 推荐(0) 编辑

10-命令执行漏洞

摘要: 1.命令执行漏洞介绍 应用程序有时需要调用一些执行系统命令的函数,如在php中,使用system,exec,shell_exec,passthru,popen,proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常的命令中,从而造成命令执行攻击, 阅读全文

posted @ 2021-02-19 16:55 风中人-cool 阅读(37) 评论(0) 推荐(0) 编辑

8-WebShell总结

摘要: WebShell 1.webshell介绍 在计算机科学中,Shell 俗称壳(用来区别“核”),是指“为使用者提供操作界面”的软件(命令解释器)。类似于windows 系统给的cmd.exe 或者Linux 下bash 等,虽然这些系统的命令解释器不止一种。 WebShell 是一个网站的后门,也 阅读全文

posted @ 2021-02-19 16:12 风中人-cool 阅读(214) 评论(0) 推荐(0) 编辑

7-文件上传漏洞

摘要: 1.上传漏洞介绍 上传文件是一种常见的功能,因为它有助于提高业务效率,比如企业的OA系统,允许用户长传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到的攻击的风险就越大。 2.上传漏洞原理 上传文件时,如果服务端代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可 阅读全文

posted @ 2021-02-19 16:10 风中人-cool 阅读(23) 评论(0) 推荐(0) 编辑

6-SSRF漏洞

摘要: 1.SSRF漏洞介绍 SSRF是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,ssrf攻击的目标是外网无法访问的内部系统。 2.SSRF原理 Ssrf的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 攻击方式如下所示: 1.对外网、服务器所在的 阅读全文

posted @ 2021-02-19 16:05 风中人-cool 阅读(15) 评论(0) 推荐(0) 编辑

5-CSRF漏洞

摘要: 1.CSRF介绍 Csrf漏洞也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同,xss利用站点内的信任用户,而csrf则通过伪装成受信任用户请求受信任的网站。与xss攻 阅读全文

posted @ 2021-02-19 10:18 风中人-cool 阅读(29) 评论(0) 推荐(0) 编辑

3-XSS漏洞

摘要: 1.XSS原理 跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。 2.XSS分类反射型xss 反射型xss又称非持久 阅读全文

posted @ 2021-02-19 10:14 风中人-cool 阅读(121) 评论(0) 推荐(0) 编辑

4-注入漏洞

摘要: 一,sql注入 1.sql注入的原因 语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。 在解释型语言中,如果程序与用户进行交互。用户就可以构造 阅读全文

posted @ 2021-02-19 10:07 风中人-cool 阅读(42) 评论(0) 推荐(0) 编辑