摘要:
[渗透测试]:Metasploit(MSF) Metasploit 简介 Metasploit 是一个开源的渗透测试软件,也是一个逐步发展成熟的漏洞研究与渗透测试代码开发平台(可扩展),此外也将成为支持整个渗透测试的安全技术集成开发与应用环境。 *诞生与发展 Metasploit 项目最初是由HD 阅读全文
摘要:
[渗透测试]:提权 提权 权限提升 水平权限提升(越权) A|B(A,B同级) C 是管理员 垂直权限提升 普通用户获得了管理员的权限 Web 用户直接提权成管理员用户 基于WebShell 的提权 IIS 的 aspx 大马 asp 脚本权限比较低 尝试上传aspx 的大马 Windows 如果目 阅读全文
摘要:
[渗透测试]:业务安全 业务安全 *业务安全概述 近年来,随着信息技术的迅速发展和全球一体化进程的不断加快,计算机和网络以及成为与所有人都息息相关的工具和媒介,个人的工作、生活和娱乐、企业的管理、乃至国家的发展和变革都无处其外。 信息和互联网带来便利和高效的同时,大量的隐私、敏感和高价值的信息数据和 阅读全文
摘要:
[渗透测试]:SSRF SSRF SSRF 概述及危害 *SSRF 概述 互联网上的很多Web 应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,Web 应用可以获取图片、文件资源(下载或读取)。如百度识图等 用户可以从本地或者URL 的方式获取图片资源,交给百度识图处理。 阅读全文
摘要:
[渗透测试]:CSRF CSRF *概述 跨站请求伪造(Cross-site request forgery,SCRF)是一种攻击,它强制终端用户在当前对其进行身份验证后的Web 应用程序上执行非本意的操作。 CSRF 攻击的重点在伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的响 阅读全文
摘要:
[渗透测试]:文件上传 文件上传漏洞 *漏洞描述 文件上传是Web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件、exe 程序等,这就造成了文件上传漏洞。 *漏洞成因 文件上 阅读全文