随笔分类 - 渗透/安全
摘要:一、Kali开启网络监听: service apache2 start 二、启动 Kali beef-xss 模块: beef-xss 如果需要查看密码路径root权限,可以用以下指令: vi /etc/beef-xss/config.yaml 其它指令,如下: apt-get remove bee
阅读全文
摘要:XSS作为OWASP TOP 10之一。XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(js)来完成恶
阅读全文
摘要:1、对客户端控件过度的信任; 2、高级逻辑漏洞; 3、低级逻辑缺陷; 4、对异常输入的处理不一致; 5、不一致的安全控制; 6、工作流程验证不足; 7、通过有缺陷的状态机绕过身份验证; 8、业务规则执行存在缺陷; 9、无限期货币逻辑缺陷; 10、通过加密预言机绕过身份验证; 11、身份验证漏洞,两用
阅读全文
摘要:AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。 AWVS可以通过SQL注入、XSS、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。 安装与启动: 这个AWVS并不是kali自
阅读全文
摘要:无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析,就可以掌握渗透的原理。 另外,很多网络攻击的方法也都是发送精心构造的数据包来完成的, 如常见的ARP欺骗。利用这种欺骗方式,黑客可以截获受害计算机与外部通信的全部数据,如受害者登录使用的用户名与密码
阅读全文
摘要:本文实验旨在简单介绍下使用 kali 渗透测试局域网手机,实验环境均在VMware虚拟机内,并无涉及真实IP地址。若因传播或利用本文所提供的信息而造成任何直接或间接的后果,均由使用者本人负责,作者不为此承担任何责任! 测试环境如下: kali虚拟机:攻击机。win10中间机:用于将kali生成的远程
阅读全文
摘要:本文实验旨在简单介绍下使用kali的自带工具hping3进行SYN FLOOD(属于典型的DOS/DDOS攻击)测试攻击,实验环境均在VMware虚拟机内,并无涉及真实IP地址。若因传播或利用本文所提供的信息而造成任何直接或间接的后果,均由使用者本人负责,作者不为此承担任何责任! 打开Kali虚拟机
阅读全文
摘要:Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具。 Metasploit核心中绝大部分有Rudy实现,一小部分由汇编和C语言实现。 文件结构与模块: 路径: /usr/share/metasploit-framework/ config: MSF环境配置信息,数
阅读全文
摘要:很多人以为ddos攻击是说:小店里的座位只能容纳20人,所以找30多个人就堆满了小店客容量就算是了。 个人理解觉得,实则不然,那是表面现象。 我觉得其原理应该是:纵使你的小店是万里连营,如果门口只能进出10个人,那我找11个僵尸带上小板凳往门口一站,这样进又进不来,出又出不去,这小店的生意就废了。
阅读全文
