上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 13 下一页

2016年11月16日

小白日记49:kali渗透测试之Web渗透-XSS(三)-存储型XSS、DOM型XSS、神器BEFF

摘要: 存储型XSS与DOM型XSS 【XSS原理】 存储型XSS 1、可长期存储于服务器端 2、每次用户访问都会被执行js脚本,攻击者只需侦听指定端口 #攻击利用方法大体等于反射型xss利用 ##多出现在留言板等位置 *推荐使用burpsuite a、观察返回结果,是否原封不动地返回输入数据?是否有其他标 阅读全文

posted @ 2016-11-16 21:24 子轩非鱼 阅读(3419) 评论(1) 推荐(0) 编辑

2016年11月9日

小白日记48:kali渗透测试之Web渗透-XSS(二)-漏洞利用-键盘记录器,xsser

摘要: XSS 原则上:只要XSS漏洞存在,可以编写任何功能的js脚本 【反射型漏洞利用】 键盘记录器:被记录下的数据会发送到攻击者指定的URL地址上 服务器:kali 客户端 启动apache2服务:service apache2 start 语法:<script src="http://192.168. 阅读全文

posted @ 2016-11-09 19:39 子轩非鱼 阅读(8974) 评论(0) 推荐(0) 编辑

2016年11月8日

小白日记47:kali渗透测试之Web渗透-XSS(一)

摘要: XSS 【推荐书籍:XSS跨站脚本攻击剖析与防御】 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户浏览器的控制。漏洞存在于服务器端 阅读全文

posted @ 2016-11-08 17:02 子轩非鱼 阅读(1408) 评论(0) 推荐(0) 编辑

2016年11月4日

PHP.12-PHP-设计文件上传类

摘要: 设计文件上传类 【PHP参数详解】{文件上传} ********************** *#构造方法编写 ********************** 此种传参方法规定必须用户必须按响应位置输入,并不能只输出其中某一个或几个参数的值 【使用中不方便,不推荐使用】 让用户不用按位置传参数,可任意 阅读全文

posted @ 2016-11-04 19:38 子轩非鱼 阅读(228) 评论(0) 推荐(0) 编辑

2016年10月31日

小白日记46:kali渗透测试之Web渗透-SqlMap自动注入(四)-sqlmap参数详解- Enumeration,Brute force,UDF injection,File system,OS,Windows Registry,General,Miscellaneous

摘要: sqlmap自动注入 Enumeration【数据枚举】 --privileges -U username【CU 当前账号】 -D dvwa -T users -C user --columns 【指定数据库,表,列】 --exclude-sysdbs 【排除系统层的库】 ************* 阅读全文

posted @ 2016-10-31 23:36 子轩非鱼 阅读(615) 评论(0) 推荐(0) 编辑

小白日记45:kali渗透测试之Web渗透-SqlMap自动注入(三)-sqlmap参数详解-Optimization,Injection,Detection,Techniques,Fingerprint

摘要: sqlmap自动注入 Optimization 【优化性能参数,可提高效率】 -o:指定前三个参数(--predict-output、--keep-alive、--null-connection) --predict-output: 根据检测方法,比岁返回值和统计表内容,不断缩小检测范围,提高检测效 阅读全文

posted @ 2016-10-31 00:24 子轩非鱼 阅读(505) 评论(0) 推荐(0) 编辑

2016年10月30日

小白日记44:kali渗透测试之Web渗透-SqlMap自动注入(二)-sqlmap参数详解REQUEST

摘要: Sqlmap自动注入(二) Request ################################################### #inurl:.php?id= 1、 数据段:--data Get/post都使用 【POST方法】Sqlmap -u “http://1.1.1.1/ 阅读全文

posted @ 2016-10-30 18:48 子轩非鱼 阅读(885) 评论(0) 推荐(0) 编辑

2016年10月28日

小白日记43:kali渗透测试之Web渗透-SqlMap自动注入(一)-sqlmap参数详解TARGET

摘要: SqlMap自动注入(一) sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞【动态页面中get/post参数、cookie、HTTP头】。它由Python语言开发而成,因此运行需要安装python环境。但在kali中已经集成。其功能完善,有强大的引擎,适用几乎所 阅读全文

posted @ 2016-10-28 19:30 子轩非鱼 阅读(1291) 评论(0) 推荐(0) 编辑

2016年10月27日

小白日记42:kali渗透测试之Web渗透-SQL盲注

摘要: SQL盲注 【SQL注入介绍】 SQL盲注:不显示数据库内建的报错信息【内建的报错信息帮助开发人员发现和修复问题】,但由于报错信息中提供了关于系统的大量有用信息。当程序员隐藏了数据库内建报错信息,替换为通用的错误提示,SQL注入将无法依据报错信息判断注入语句的执行结果,即为盲注。 思路:既然无法基于 阅读全文

posted @ 2016-10-27 23:20 子轩非鱼 阅读(2443) 评论(0) 推荐(0) 编辑

2016年10月26日

小白日记41:kali渗透测试之Web渗透-SQL手工注入(三)-猜测列名、表名、库名、字段内容,数据库写入

摘要: SQL手工注入 靶机:metasploitable(低) 1、当无权读取infomation_schema库【MySQL最重要的源数据库,必须有root权限】/拒绝union、order by语句 #若不为root a.猜列名: ' and coclumn is null--+ 【并且列有一个字段为 阅读全文

posted @ 2016-10-26 20:27 子轩非鱼 阅读(1727) 评论(0) 推荐(0) 编辑

上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 13 下一页

导航