渣渣🐟

导航

2020年4月21日

360网络安全学习笔记——文件上传漏洞(二)

摘要: 客户端检测与绕过 客户端(Client):或称用户端(前端),与服务器相对应。由于客户端对于文件上传漏洞的防御是通过JS代码实现的,所以客户端检测与绕过也成为JS检测与绕过 检测原理 调用JS的selectFile()函数,先将文件名转换为小写,然后通过substr获取文件名最后一个点号后面的后缀( 阅读全文

posted @ 2020-04-21 22:10 渣渣yu; 阅读(430) 评论(0) 推荐(0)

2020年4月20日

360网络安全学习笔记——文件上传漏洞(一)

摘要: 文件上传 文件上传是线代互联网的常见功能,润许用户上传图片、视频及其它类型的文件。但是向用户用户提供的功能越多,Web受攻击的风险就越大 文件上传漏洞概述 上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(包括asp、aspx、php、jsp等) 恶意上传行为 阅读全文

posted @ 2020-04-20 19:43 渣渣yu; 阅读(378) 评论(0) 推荐(0)

2020年4月14日

360网络安全学习笔记——SQL盲注

摘要: SQL盲注概念 如果数据库 运行返回结果时之反馈对错不会返回数据库当中的信息时,可与采用逻辑判断是否正确盲注来获取信息 盲注是不能通过直接显示的途径来获取数据库的方法 在盲注中,攻击者根据其返回页面的不同来判断按信息(可能是页面内容的不同,也可以是响应时间不同)。 盲注分类 (1)布尔盲注 (2)时 阅读全文

posted @ 2020-04-14 21:44 渣渣yu; 阅读(189) 评论(0) 推荐(0)

2020年4月9日

360网络安全学习笔记——SQLmap

摘要: SQLmap简介 SQLmap是一个开源的自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。 SQL注入模式 1.基于布尔的盲注 2.基于时间的盲注 3.基于报错注入 4.联合查询注入 5.堆查询注入 SQL注入支持如下数据库:MySQL, Oracle, Posta 阅读全文

posted @ 2020-04-09 20:47 渣渣yu; 阅读(330) 评论(0) 推荐(1)

2020年4月7日

360网络安全学习笔记——SQL注入(二)

摘要: SQL注入危害 绕过登陆验证:使用万能密码登录网站后台等 获取敏感数据:获取网站管理员账号,密码等 文件系统操作:列目录,读取、写入文件等 注册表操作:读取、写入、删除注册表等 执行系统命令操作:远程执行命令 判断一个http请求是否存在SQL注入的方式: 经典:and = | and 2 > 1 阅读全文

posted @ 2020-04-07 20:48 渣渣yu; 阅读(213) 评论(0) 推荐(0)

2020年4月2日

360网络安全学习笔记——SQL注入

摘要: 动态网站体系结构 数据库分类 关系数据库:把复杂的数据结构归结为简单的二元关系(即二维表格形式),通过SQL结构化查询语句存储数据,保持数据一致性,遵循ACID理论。 关系数据库典型产品:MySql,Microsoft SQQL Sever,Oracle,PostgreSQL,IBM DB2,Acc 阅读全文

posted @ 2020-04-02 21:06 渣渣yu; 阅读(252) 评论(0) 推荐(0)

2020年3月31日

360网络安全学习笔记——cookie

摘要: Cookie是用户浏览网页时网站储存在用户机器上的小文本文件,主要记录与用户相关的一些状态或者设置,如有用户名、ID、访问次数等 Cookie作用:维持会话凭证、减少登录次数、记录用户信息 Cookie类型:暂时型、持久性 Cookie工作原理 Cookie属性: Name——Cookie名称 Va 阅读全文

posted @ 2020-03-31 20:51 渣渣yu; 阅读(322) 评论(0) 推荐(0)

2020年3月26日

360网络安全学习笔记——CSRF漏洞

摘要: 浏览器同源策略 A网页与B网页的协议相同、域名相同、端口相同时,才可以从B网页打开A网页 的cookie,A与B同源 同源策略目的 为了保证用户的信息安全,防止恶意的网站窃取数据 Cookie两个重要属性 Domain:cookie所在域 Path:cookie所在目录 浏览器提交cookie条件 阅读全文

posted @ 2020-03-26 20:40 渣渣yu; 阅读(217) 评论(0) 推荐(0)

2020年3月24日

360网络安全学习笔记——XSS漏洞原理与实践(一)

摘要: XSS介绍 跨站脚本:由于web应用程序对用户输入过滤不足导致,攻击者利用网站漏洞将恶意代码载入,窃取cookie、session等信息或调用js下载木马。 XSS分类:反射型、持久性、DOM型 进行XSS漏洞利用时可以通过编码转换绕过过滤命令,如base64、md5、十六进制转换等 翻译 朗读 复 阅读全文

posted @ 2020-03-24 20:56 渣渣yu; 阅读(330) 评论(0) 推荐(0)

2020年3月19日

360网安学习笔记——Web攻防配置(Metasploit)

摘要: Metasploit路径:/usr/share Metasploit框架 实例操作(ms08-067漏洞利用渗透靶机windos7,操作主机kali Linux) search ms08-067(寻找相应漏洞) use exploit/windows/smb/ms08-067_netapi(在相应路 阅读全文

posted @ 2020-03-19 19:56 渣渣yu; 阅读(383) 评论(0) 推荐(0)

下一页