随笔分类 - 安全测试
摘要:今天我来带大家简单渗透一个小破站,通过这个案例,让你深入了解为什么很多公司都需要紧急修复各个中间件的漏洞以及进行URL解析拦截等重要操作。这些措施的目的是为了保护网站和系统的安全性。如果不及时升级和修复漏洞,你就等着被黑客攻击吧! 基础科普 首先,我想说明一下,我提供的信息仅供参考,我不会透露任何关
阅读全文
摘要:HTTP.sys 远程代码执行 测试类型: 基础结构测试 威胁分类: 操作系统命令 原因: 未安装第三方产品的最新补丁或最新修订程序 安全性风险: 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 技术描述: 通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys
阅读全文
摘要:一、安装包测试 1.1 关于反编译 目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。 为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代码通过
阅读全文
摘要:很多时候私人pc上为了减少登陆的麻烦,就跟会选择保存密码操作 我举例csdn登陆操作: 如果之前有登陆保存密码的操作,那么再次打开就是这样。 如果此时我们想知道登陆密码。非常的简单首先按下 F12 键,查找关键字 password 看到有一个type 字段,修改为:type=“text” 好了,此时
阅读全文
摘要:点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接
阅读全文
摘要:WEB扫描工具-Vega 纯图形化界面,Java编写的开源web扫描器。两种工作模式:扫描模式和代理模式【主流扫描功能】。用于爬站。处理表单,注入测试等。支持SSL:http://vega/ca.crt 专注于应用程序代码方面的漏洞 总结: 添加浏览器代理,启动全局代理,默认vega 验证:nets
阅读全文
摘要:1.到官网下载安装包(选择版本:我这里以Linux64位为例) vega下载地址:https://subgraph.com/vega/download/ 2.解压到指定目录: 3.终端输入以下命令,启动vega 欢迎界面如下:
阅读全文
摘要:扫描工具-Nikto #基于WEB的扫描工具,基本都支持两种扫描模式。代理截断模式,主动扫描模式 手动扫描:作为用户操作发现页面存在的问题,但可能会存在遗漏 自动扫描:基于字典,提高速度,但存在误报和触发警告 #参考书:Web_Penetration_Testing_with_Kali_Linux
阅读全文
摘要:httrack是一款免费的网站镜像程序,简单理解就是可以在网站结构(网页及一些主要信息文件),下载到本地,可离线浏览,我是按照搭建成功后的console直译过来的 下面说下安装: 我都是在Linux环境下安装的: centos7下安装: 如果安装没有报错,输入命令httrack 验证如下 如果你也遇
阅读全文
摘要:Http协议基础 Web技术发展【http://www.cnblogs.com/ProgrammerGE/articles/1824657.html】 静态WEB【网页】 动态WEB 属于一种应用程序 基于数据库 每个人看到的内容不同 根据用户输入,返回不同结果 WEB攻击类型有数百种 WEB攻击面
阅读全文