随笔分类 - 安全
安全
安全总结
摘要:xss:请简述xss的原理: xss的全称(英文自己搜索)为跨站脚本攻击,原理就是:用户的数据(一篇文章或者一个评论或者浏览器访问时的一个参数等)最后被当成脚本在页面中执行(执行的地方有可能是在script标签内,也有可能是其他标签的属性或者是一些富文本中等等)了。 最根本的就是本来是一个数据的,被
阅读全文
点击劫持(UI覆盖攻击)
摘要:通过可见的页面,诱导用户点击可见的页面进而达到同时点击不可见页面的动作,从而在用户不知情的情况下完成黑客要你完成的点击动作,以达到黑客不可告人的目的
阅读全文
预防中间人(ettercap)攻击
摘要:1.客户端 通过arp 静态绑定网关的mac地址(正确的服务网关),可以有效防止中间机作为中间机动态更改你的网关的mac地址为中间机的mac地址 2.服务端进行加密,将http加密成https(公钥加密,私钥解密;公钥验证签名,私钥签名)
阅读全文
防止暴力破解ssh
摘要:1.将ssh的登录密码修改为高级别(字母大小写+数字+特殊字符+20位以上)并未定期更换 2.修改ssh默认端口22为别的端口: vim /etc/ssh/sshd_config 将 #Port 22 去掉前面的#修改为 Port 54367 :wq! 保存退出 3.基于PAM实现登录限制 vim
阅读全文
文件包含漏洞
摘要:1.在代码中包含哪些文件就写包含指定的文件,尽量不要包含所有类型的文件,即包含*,防止文件包含漏洞结合文件上传漏洞生成一句话木马(上传一个带有生成一句话木马的图片,结合文件包含漏洞将生成一句话木马的代码执行,进而生成一句话木马文件,然后远程通过一句话木马文件控制服务器) 2.文件包含:包含本地 和包
阅读全文
文件上传漏洞
摘要:1.对上传的文件进行后缀名限制,可以在一定程度上抵御文件上传漏洞,即不让代码类型的文件上传。 2.上传一个脚本文件(后缀名属于限制级别),使用burpsuit做代理,将请求中的16进制文件进行修改,就可以达到欺骗的目的,成功上传脚本类型的文件
阅读全文
XSS攻击
摘要:1.对输入的<>/进行处理后,可预防xss攻击 反射型xss: 一般是查询输入框中招,将代有木马参数的url发送给某用户,用户点击后即中招 存储型xss:输入并存储在页面,一般如留言框中招; domxss:在URL的哈西值部分(即URL#号后的部分)植入xss攻击 2.在输入框中输入: <scrip
阅读全文
常用命令
摘要:1.ip a :查看IP地址 2. ss -tnlp : 查看监听的端口 3.lsop -i :8080 :查看某个端口 4.find / -name sound.wav :查找某个文件 5. ls /var/www/html/ :列出某个路径下的所有文件 6.grep 10.30 22.xml :
阅读全文
sql注入
摘要:1.输入框中输入单引号,报数据库语法错误,说明可以进行sql注入。 2.输入框中输入单引号加或恒成立条件,例如:' or 1=1 会查询到该表全部数据 3.输入:' or 1=1 --yangge ' 其中--后表示数据库的注释,--后的内容都不进入正式查询语句 4.使用union语句,例如输入:
阅读全文
