学安全的小白

摘要： Nmap扫描常用命令 参数速查表 参数(注意区分大小写) 说明 -sT TCP connect()扫描，这种方式会在目标主机的日志中记录大批连接请求和错误信息。 -sS 半开扫描，很少有系统能把它记入系统日志。不过，需要Root权限。 -sF -sN 秘密FIN数据包扫描、Xmas Tree、Nul 阅读全文

摘要： Sqlmap sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等 S 阅读全文

摘要： 1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议 代码层最佳防御sql漏洞方案：使用 阅读全文

摘要： XXE注入定义 XXE注入，XML外部实体注入。通过XML实体，“SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值，使处理程序解析它。当引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内 阅读全文

摘要： 漏洞概述 SSRF（Server-Side Request Forgery:服务器端请求伪造）是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。正是因为恶意请求由服务端发起，而服务端能够请求到与自身相连而与外网隔绝的内部网络系统，所以一般情况下，SSRF的攻击目标是攻击者无法直接访问的内网 阅读全文

摘要： 内网也指局域网，是指在某一区域内由多台计算机互连而成的计算机组，组网范围通常在数千米内。在局域网中，可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等 1.1内网基础知识 1.1.1工作组 将不同的计算机按功能（或部门）分别列入不同的工作组，例如技术部的计算机都 阅读全文

摘要： 阅读全文

摘要： 短信炸弹 漏洞描述 短信轰炸攻击是常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。 漏洞挖掘 1、手工找到有关网站注册页面，认证页面，是否具有短信发送页面， 阅读全文

摘要： ASCII网页转换工具 指纹识别 指纹识别 MD5解密 MD5在线解密一 MD5在线解密二 站长工具 Unicode编码转换-站长工具 DES加解密-站长工具base64加解密-站长工具base64转图片base64转图片-站长工具 文本在线加密 文本在线加密 干净的信息流推送工具，偏向安全圈的点点 阅读全文

摘要： Apache渗透 Apache的简介 Apache是世界使用排名第一的web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl、Python等解释器编译到服务器中 Apache的 阅读全文