摘要:
对于新手来说,学习Linux系统有多种方式选择,可以选择虚拟机、可以选择直接安装Linux系统,下面主要和大家分享一下通过直接安装Linux系统的方法。 U盘启动盘的制作 准备一个 8G 以上的 U 盘(其实 4G 就足够),备份资料,后面会对 U 盘进行格式化。 然后去 ubuntu 的官网下载你 阅读全文
摘要:
一、Kali开启网络监听: service apache2 start 二、启动 Kali beef-xss 模块: beef-xss 如果需要查看密码路径root权限,可以用以下指令: vi /etc/beef-xss/config.yaml 其它指令,如下: apt-get remove bee 阅读全文
摘要:
XSS作为OWASP TOP 10之一。XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(js)来完成恶 阅读全文
摘要:
1、对客户端控件过度的信任; 2、高级逻辑漏洞; 3、低级逻辑缺陷; 4、对异常输入的处理不一致; 5、不一致的安全控制; 6、工作流程验证不足; 7、通过有缺陷的状态机绕过身份验证; 8、业务规则执行存在缺陷; 9、无限期货币逻辑缺陷; 10、通过加密预言机绕过身份验证; 11、身份验证漏洞,两用 阅读全文
摘要:
AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。 AWVS可以通过SQL注入、XSS、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。 安装与启动: 这个AWVS并不是kali自 阅读全文
摘要:
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期We 阅读全文
摘要:
无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析,就可以掌握渗透的原理。 另外,很多网络攻击的方法也都是发送精心构造的数据包来完成的, 如常见的ARP欺骗。利用这种欺骗方式,黑客可以截获受害计算机与外部通信的全部数据,如受害者登录使用的用户名与密码 阅读全文
摘要:
本文实验旨在简单介绍下使用 kali 渗透测试局域网手机,实验环境均在VMware虚拟机内,并无涉及真实IP地址。若因传播或利用本文所提供的信息而造成任何直接或间接的后果,均由使用者本人负责,作者不为此承担任何责任! 测试环境如下: kali虚拟机:攻击机。win10中间机:用于将kali生成的远程 阅读全文
摘要:
本文实验旨在简单介绍下使用kali的自带工具hping3进行SYN FLOOD(属于典型的DOS/DDOS攻击)测试攻击,实验环境均在VMware虚拟机内,并无涉及真实IP地址。若因传播或利用本文所提供的信息而造成任何直接或间接的后果,均由使用者本人负责,作者不为此承担任何责任! 打开Kali虚拟机 阅读全文
摘要:
Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具。 Metasploit核心中绝大部分有Rudy实现,一小部分由汇编和C语言实现。 文件结构与模块: 路径: /usr/share/metasploit-framework/ config: MSF环境配置信息,数 阅读全文