摘要:
https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/1502891(参考网站) 1、什么是SQL注入: SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语 阅读全文
摘要:
做实验之前先来简单的介绍一下: 一、CSRF(跨站请求伪造)概述: Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成 阅读全文
摘要:
我们来到了Pikachu-Burt Force环节,那么和之前的DVWA又什么不同呐,我们来看看吧! 首先我们看到这个模块有这么几个要点:我们一个一个来! 一、什么是暴力破解: 什么是暴力破解呐: “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就 阅读全文
摘要:
这一次我们又开启了Pikachu-master的新的旅程了,学无止境,不要懈怠! 首先我们先介绍一下pikachu-master的安装及环境的搭建。 如果以前就有PHPstudy的环境中,做过DVWA或者Sqli-labs的就好说了,没有的话我在简单的啰嗦一遍: 1,、首先去PHPstudy官网去下 阅读全文
摘要:
什么是存储型XSS:攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。存储型 XSS 一般出现在网 阅读全文
摘要:
在练习之前我们来讲一讲XSS的基本知识吧! 什么是XSS攻击:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制–例如同源策略(same origin polic 阅读全文
摘要:
File Uplode:文件上传漏洞可以说是危害很大了,因为可以直接通过此漏洞getshell。漏洞原因简单点说就是由于开发人员或者网站运维人员的一些失误导致用户上传的文件可以被服务器当作脚本(可执行文件)解析执行。Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 但是想要成功利用这个 阅读全文
摘要:
1、什么是文件包含(File Inciusion):一种代码处理方法,文件包含是指应用程序加载的文件(本地/远程)可以由用户提交的数据控制,从而导致攻击者控制恶意文件在服务器上执行。如当服务器开启allow_url_include选项时,就可以通过php的某些函数如include(),require 阅读全文
摘要:
许多渗透方式都python写脚本,比较方便,写一下vscode和插件的安装办法,虽然不是很复杂,但是写一下做一下笔记: Visual Studio Code (简称 VS Code / VSC) 是一款免费开源的现代化轻量级代码编辑器,支持几乎所有主流的开发语言的语法高亮、智能代码补全、自定义热键、 阅读全文
摘要:
我们这一次来介绍的命令注入:人对计算机的操纵方式,展现出来的无非是两个方面——数据,以及操作这些数据的指令。当数据和指令都是事先预设好的,各司其职,则天下太平——人们通过指令将输入的数据进行处理,获得期望的结果后通过特定的渠道输出。但随着IT技术的飞速发展,这两者混杂在一块,没有经过良好的组织,就会 阅读全文