随笔分类 - Web安全
摘要:1、SA口令的获取 webshell或源代码的获取 源代码泄露 嗅探(用CAIN等工具嗅探1433数据库端口) 口令暴力破解 2、常见SQL server 提权命令 查看数据库的版本(select @@version;) 查看数据库所在服务器操作系统的参数 查看数据库启动的参数 查看数据库启动的时间
阅读全文
摘要:1、Whois 查询 爱站工具网 https://whois.aizhan.com 站长之家 http://whois.chinaz.com VirusTotal https://virustotal.com 2、备案信息查询 ICP 备案查询网 http://www.beianbeian.com
阅读全文
摘要:1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取、会话劫持、钓鱼欺骗等各种攻击。
阅读全文
摘要:CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。 我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。 XSS:攻击者
阅读全文
摘要:PhishTank 是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁。 1、XSS 1.1、 XSS简介 跨站脚本攻击,英文全称是Cross Site Script,本来缩写是CSS,但是为了和层叠样式表有所区分,所以在安全领域叫做“XSS”。 XSS攻击,通
阅读全文
摘要:测试方法 1、Web应用安全测试 1.1、 Web应用安全测试概述 Web应用安全测试只侧重于评估Web应用的安全性。这个过程包括主动分析应用程序的所有弱点、技术缺陷和漏洞。任何被发现的安全问题连同影响评估、缓解建议或者技术方案一起提交给系统所有者。 1.2、 什么是OWASP测试方法 测试模型 测
阅读全文
