摘要:
CSRF 概述 cross site request forgery CSRF攻击场景中攻击者伪造一个请求,然后切片目标用户进行点击,用户一旦点击,攻击就完成了。 判断一个网站是否存在CSRF漏洞,就是判断其对关键信息的操作(增删改)是否容易伪造。 利用的场景被攻击者必须要本身处于登录的状态,因为攻 阅读全文
摘要:
XSS cross site script xss是一种发生在web前端的漏洞,一般是html代码拼接造成的。 分为: 1. 反射型 2. 存储型 3. DOM型 可以用来钓鱼、上传用户cookie,反正就是运行第三方的js代码。 原理 1. 反射型是攻击者准备url让用户浏览,用户执行攻击者的js 阅读全文
摘要:
暴力破解 概述 连续性尝试+字典+自动化 如果一个网站没有对登录接口实施防暴力破解的措施,或者实施了不合理的措施,则该网站存在暴力破解漏洞。 1. 是否要求用户设置了复杂的密码 2. 是否每次认证都是用安全的验证码 3. 是都对尝试登录的行为进行判断和限制 4. 是丢在必要的情况下采用了双因素认证 阅读全文
摘要:
-u “(url)” sqlmap支持五种不同的注入模式: 阅读全文
摘要:
目的:完成linux的双机和集群实验 2016-12-06 在网上查找了一些资料现整理如下,以供之后查看和帮助他人。 注意事项: 1、关闭源虚拟机的电源; 操作很简单 选择完整创建 输入源克隆机的用户名和密码就能登陆这个克隆机。 在网上查看了一下别人的克隆操作有的网卡mac地址冲突造成上不成网的,但 阅读全文