摘要:
安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。 方法简介: 除标准的GET和POST方法外,HTTP请求还使 阅读全文
摘要:
渗透人员可通过目录遍历攻击获取服务器的配置文件等等资料。 常见的目录遍历攻击,访问“../”这类的上级文件夹的文件。 例子: 那么一般来说就可以在Cookie做手脚(当然这是数次测试之后才能推测的path): 然后服务器给了回答: 阅读全文
摘要:
Kali Linux是一款开源的基于Debian的渗透测试专用操作系统,系统中包含一系列用于渗透测试的神器。最近,Kali的开发者们为喜爱Docker的童鞋们发布了新版本。 FreeBuf百科:什么是Docker? Docker是目前最火热的开源应用容器,发布于2014年6月。它能让开发者打包他们的 阅读全文
摘要:
使用Sqlmap扫描SQL注入漏洞时,首次扫描会在SQL的/root/.sqlmap/output/目录下留下 以IP地址为名称的文件夹,如下所示: 而如果该安全漏洞经过修复后,再次使用SQLMAP扫描的时候仍然会出现与首次扫描相同的结果, 原因就是/root/.sqlmap/output/目录下存 阅读全文