04 2022 档案
渗透测试-21:渗透测试流程
摘要:
相关术语 SRC SRC(Security Response Center)的全称为“安全应急响应中心“ 补天漏洞响应平台:https://www.butian.net/ 业务模式 公益SRC 是厂商自行注册申请成为补天公益SRC企业用户。注册成功后,可通过补天平台享受白帽子系统漏洞测试服务,白帽子
相关术语 SRC SRC(Security Response Center)的全称为“安全应急响应中心“ 补天漏洞响应平台:https://www.butian.net/ 业务模式 公益SRC 是厂商自行注册申请成为补天公益SRC企业用户。注册成功后,可通过补天平台享受白帽子系统漏洞测试服务,白帽子
渗透测试-20:Payload 总结
摘要:
SQL注入 通用 select user(),version(),database() select group_concat(schema_name) from information_schema.schemata select group_concat(table_name) from inf
SQL注入 通用 select user(),version(),database() select group_concat(schema_name) from information_schema.schemata select group_concat(table_name) from inf
云计算:Docker 部署 Go 应用
摘要:
构建镜像 下载地址:git clone https://github.com/olliefr/docker-gs-ping 创建 main.go package main import ( "net/http" "os" "github.com/labstack/echo/v4" "github.c
构建镜像 下载地址:git clone https://github.com/olliefr/docker-gs-ping 创建 main.go package main import ( "net/http" "os" "github.com/labstack/echo/v4" "github.c
云计算:Docker 命令
摘要:
常用命令 docker version docker info docker <命令> --help # 镜像 docker login -u <用户名> docker tag <镜像名> <用户名>/<镜像名> docker images docker push <用户名>/<镜像名> docke
常用命令 docker version docker info docker <命令> --help # 镜像 docker login -u <用户名> docker tag <镜像名> <用户名>/<镜像名> docker images docker push <用户名>/<镜像名> docke
云计算:Docker 学习
摘要:
运行容器 docker run -d -p 80:80 docker/getting-started docker run -dp 80:80 docker/getting-started -d - 以分离模式(在后台)运行容器 -p 80:80 - 将主机的80端口映射到容器的80端口 docke
运行容器 docker run -d -p 80:80 docker/getting-started docker run -dp 80:80 docker/getting-started -d - 以分离模式(在后台)运行容器 -p 80:80 - 将主机的80端口映射到容器的80端口 docke
渗透测试-19:业务逻辑漏洞
摘要:
业务逻辑漏洞 逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性,一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密、代码问题或固有不足,操作上并不影响程序运行,在逻辑上是顺利执行的 这种漏洞一
业务逻辑漏洞 逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性,一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密、代码问题或固有不足,操作上并不影响程序运行,在逻辑上是顺利执行的 这种漏洞一
渗透测试-18:反序列化漏洞
摘要:
序列化/反序列化 序列化:将对象转为字节流,目的是方便对象在内存、文件、数据库或者网络之间的传递 反序列化:序列化的逆过程,即将字节流转为对象的过程 序列化技术的用途 • 经由电信线路传输资料(通信) • 存储资料(存在数据库或硬盘) • 远程程序调用 • 检测随时间资料的变动 漏洞原理 原因是程序
序列化/反序列化 序列化:将对象转为字节流,目的是方便对象在内存、文件、数据库或者网络之间的传递 反序列化:序列化的逆过程,即将字节流转为对象的过程 序列化技术的用途 • 经由电信线路传输资料(通信) • 存储资料(存在数据库或硬盘) • 远程程序调用 • 检测随时间资料的变动 漏洞原理 原因是程序
Golang:Go 语言学习
摘要:
免责声明 本文转自李文周的博客,转载此文章仅为个人学习查阅,如有侵权,请联系博主进行删除。 原文作者:李文周 原文地址:https://www.liwenzhou.com/ Go基础篇 Go命令行工具 // 当前路径编译 go build go build -o 新名字.exe // 编译后可执行文
免责声明 本文转自李文周的博客,转载此文章仅为个人学习查阅,如有侵权,请联系博主进行删除。 原文作者:李文周 原文地址:https://www.liwenzhou.com/ Go基础篇 Go命令行工具 // 当前路径编译 go build go build -o 新名字.exe // 编译后可执行文
渗透测试-17:CRE 漏洞
摘要:
RCE RCE(Remot Command/Code Execute),远程命令/代码执行 远程命令执行:用户可以控制系统命令执行函数的参数,也称命令注入 远程代码执行:用户输入的参数可以作为代码执行,也称代码注入 命令执行可以看作是一种特殊的代码执行,代码执行相对会更加灵活 应用有时候会考虑代码的
RCE RCE(Remot Command/Code Execute),远程命令/代码执行 远程命令执行:用户可以控制系统命令执行函数的参数,也称命令注入 远程代码执行:用户输入的参数可以作为代码执行,也称代码注入 命令执行可以看作是一种特殊的代码执行,代码执行相对会更加灵活 应用有时候会考虑代码的
