04 2020 档案
摘要:一. java环境配置 这部分我就不具体写了,下载jdk,配置变量,网上教程很多 jdk百度网盘链接:https://pan.baidu.com/s/1VqOh8Q_LDmmHL4jHjRgMpw 提取码:ce64 二.Android Studio下载安装 我们可以去http://www.andro
阅读全文
摘要:IIS日志 1、iis日志文件名称及路径介绍 IIS日志,主要用于记录用户和搜索引擎蜘蛛对网站的访问行为。IIS日志中,包括客户端访问时间、访问来源、来源IP、客户端请求方式、请求端口、访问路径及参数、Http状态码状态、返回字节大小等信息。Windows2003环境中,IIS日志默认存储路径:C:
阅读全文
摘要:越权漏洞概述: 由于没有对用户权限进行严格判断,导致低权限账号(比如普通账号)可以去完成高权限账号(比如超级管理员)范围内的操作 平行越权: A用户和B用户属于同一级别用户,但各自不能操作对方个人信息, 但是A用户越权操作了B用户的个人信息的情况 垂直越权: A用户权限高于B用户,但是B用户越权操作
阅读全文
摘要:文件下载漏洞概述: 很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件,但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他敏感文件。(又称:任意文件下载) 下面我在pikachu文件下载漏洞页面演示一下 进入页面,随便点击
阅读全文
摘要:File Inclusion(文件包含漏洞)概述: 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了: include(),include_once() require(),require_
阅读全文
摘要:RCE(remote command/code execute)概述: RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行漏洞 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检
阅读全文
摘要:sql注入漏洞概述: 数据库注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行, 导致数据库信息泄露的一种漏洞。 sql注入攻击流程: 常见注入类型: 数字型 user_id=$id 字符型 user
阅读全文
摘要:Cross-site request forgery简称为“CSRF” 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了,所以CSRF攻击也被称为"one click"攻击。 CSRF攻击要想成功需要特定条件:
阅读全文
摘要:XSS漏洞是一种发生在Web前端危害较大的漏洞,其危害对象主要是前端用户,此漏洞可以用来进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器对用户主机进行远程控制等。 XSS漏洞常见类型有3种,分别是反射型,储存型和DOM型,危害性:储存型>反射型>DOM型。 反射型:交互数据一般不会储
阅读全文