上一页 1 ··· 3 4 5 6 7 8 下一页
2021年6月24日
[渗透测试]:业务安全
摘要: [渗透测试]:业务安全 业务安全 *业务安全概述 近年来,随着信息技术的迅速发展和全球一体化进程的不断加快,计算机和网络以及成为与所有人都息息相关的工具和媒介,个人的工作、生活和娱乐、企业的管理、乃至国家的发展和变革都无处其外。 信息和互联网带来便利和高效的同时,大量的隐私、敏感和高价值的信息数据和 阅读全文
posted @ 2021-06-24 16:29 jpSpaceX 阅读(364) 评论(0) 推荐(0) 编辑
[渗透测试]:SSRF
摘要: [渗透测试]:SSRF SSRF SSRF 概述及危害 *SSRF 概述 互联网上的很多Web 应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,Web 应用可以获取图片、文件资源(下载或读取)。如百度识图等 用户可以从本地或者URL 的方式获取图片资源,交给百度识图处理。 阅读全文
posted @ 2021-06-24 13:11 jpSpaceX 阅读(431) 评论(0) 推荐(0) 编辑
[渗透测试]:CSRF
摘要: [渗透测试]:CSRF CSRF *概述 跨站请求伪造(Cross-site request forgery,SCRF)是一种攻击,它强制终端用户在当前对其进行身份验证后的Web 应用程序上执行非本意的操作。 CSRF 攻击的重点在伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的响 阅读全文
posted @ 2021-06-24 13:03 jpSpaceX 阅读(183) 评论(0) 推荐(0) 编辑
[渗透测试]:文件上传
摘要: [渗透测试]:文件上传 文件上传漏洞 *漏洞描述 文件上传是Web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件、exe 程序等,这就造成了文件上传漏洞。 *漏洞成因 文件上 阅读全文
posted @ 2021-06-24 12:55 jpSpaceX 阅读(589) 评论(0) 推荐(0) 编辑
2021年6月23日
[渗透测试]:文件包含
摘要: [渗透测试]:文件包含 文件包含 文件包含漏洞 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 连接数据库 放在单独的文件 程序开发人员通常会把可重复使用的函数写到单个文件中,使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含 程 阅读全文
posted @ 2021-06-23 17:48 jpSpaceX 阅读(245) 评论(0) 推荐(0) 编辑
[渗透测试]:OS命令注入
摘要: [渗透测试]:OS命令注入 OS命令注入 原理及成因 程序员使用脚本语言(比如PHP)开发应用程序过程中,脚本开发十分快速、简介、方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要调用一些外部程序(系统命令或者exe等可执行文件)。当应用需 阅读全文
posted @ 2021-06-23 17:37 jpSpaceX 阅读(443) 评论(0) 推荐(0) 编辑
[渗透测试]:PHP代码注入
摘要: [渗透测试]:PHP代码注入 PHP代码注入 原理及成因 RCE 代码执行(注入) 代码执行(注入)类似SQL 注入漏洞,SQLi 是将SQL 语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤,相当于直接有一个Web 后门的存在。 1、程序 阅读全文
posted @ 2021-06-23 12:55 jpSpaceX 阅读(1276) 评论(0) 推荐(0) 编辑
[渗透测试]:XSS(二)
摘要: [渗透测试]:XSS(二) XSS XSS 的构造 *利用[<>]构造HTML/JS 利用[<>]构造HTML标签和<script> 标签 在测试页面提交参数[<h1 style='color:red'>利用[<>]构造HTML/JS</h1>] 提交[<script>alert(/XSS/)</s 阅读全文
posted @ 2021-06-23 12:45 jpSpaceX 阅读(101) 评论(0) 推荐(0) 编辑
[渗透测试]:XSS(一)
摘要: [渗透测试]:XSS(一) XSS 漏洞 XSS漏洞概述 *简介 XSS 被称为跨站脚本攻击,本来应该缩写为CSS,但是由于和CSS重名,所以更名位XSS。 XSS主要是基于JavaScript完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS 攻击的想象空间特别大。 阅读全文
posted @ 2021-06-23 12:31 jpSpaceX 阅读(358) 评论(0) 推荐(0) 编辑
[渗透测试]:SQL自动化注入
摘要: [渗透测试]:SQL自动化注入 自动化注入 半自动化 burp 全自动 sqlmap 定制化脚本 sqli-labs题库 Less-01 字符型注入 单引号 ?id=1 ?id=1' and 1=2 union select 1,version(),3 --+ Less-02 数字型注入 ?id=- 阅读全文
posted @ 2021-06-23 12:20 jpSpaceX 阅读(116) 评论(0) 推荐(0) 编辑
[渗透测试]:SQL注入
摘要: [渗透测试]:SQL注入 SQL 简介 SQL 结构化查询语言,是一种特殊的编程语言,用于数据库中的标准数据查询语言。美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言。 MYSQL ACCESS MSSQL Oracle 明显的层次结构 库名|表名|字段名|字段内容 不过个 阅读全文
posted @ 2021-06-23 12:08 jpSpaceX 阅读(325) 评论(0) 推荐(0) 编辑
[渗透测试]:口令破解
摘要: [渗透测试]:口令破解 口令破解 口令安全威胁 *口令安全概述 现在很多地方以用户名(账户)和口令(密码)作为鉴权的方式,口令(密码)就意味着访问权限。例如网站后台、数据库、服务器、个人电脑、QQ、邮箱等等。 *口令安全现状 弱口令 类似123456、654321、admin123 等这些常见的弱密 阅读全文
posted @ 2021-06-23 10:53 jpSpaceX 阅读(801) 评论(0) 推荐(0) 编辑
2021年6月22日
[渗透测试]:扫描技术
摘要: [渗透测试]:扫描技术 扫描 自动化 提高效率 资产发现 发现目标环境中哪些资产,联网设备,主机,服务器,各种服务等。 资产整理,发现,收集。 扫描神器(nmap) nmap.org 跨平台 自动集成在 kali 如果使用kali 中的nmap 扫描的时候,建议桥接 如果在没有指定端口的情况下,默认 阅读全文
posted @ 2021-06-22 17:40 jpSpaceX 阅读(323) 评论(0) 推荐(0) 编辑
[渗透测试]:信息收集
摘要: [渗透测试]:信息收集 信息收集 为什么学习这节课程? 在确定渗透测试的具体目标之后,就需要进入信息收集阶段。在这个阶段,渗透人员需要使用各种公共资源尽可能地获取测试目标的相关信息。他们从互联网上搜集信息的渠道主要有: 论坛 公告板 新闻组 媒体文章 博客 社交网络 其他商业或非商业性网站 GitH 阅读全文
posted @ 2021-06-22 17:26 jpSpaceX 阅读(117) 评论(0) 推荐(0) 编辑
[渗透测试]:Web架构安全分析
摘要: [渗透测试]:Web架构安全分析 为什么学习这节课? 我们学习渗透测试这门课程,主要针对的Web应用,所以对Web 架构需要一定的了解 Web 工作机制 网页、网站 我么可通过浏览器上网看到精美的页面,一般都是经过浏览器渲染的.html 页面,其中包含css 等前端技术。多个网页的集合就是网站。 W 阅读全文
posted @ 2021-06-22 16:54 jpSpaceX 阅读(72) 评论(0) 推荐(0) 编辑
上一页 1 ··· 3 4 5 6 7 8 下一页