【WEB渗透】

学习kali linux的几个不错的网站

gid=67Kali官方教材:https://kali.training/KaliLinux秘籍:wizardforcel/kali-linux-cookbook-zh-码云-开源中国KaliLinuxWeb
董成荣·2017-11-17 15:27

web渗透—xss之基于DOM漏洞

这个漏洞往往存在于客户端脚本,如果一个Javascript脚本访问需要参数的URL,且需要将该信息用于写入自己的页面,且信息未被编码,那么就有可能存在这个漏洞。(一)DOM—basedXSS漏洞的产生DOM—basedXSS漏洞是基于文档对象模型DocumentObjeetModel,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,
dongxie_tk·2017-11-14 13:47

小白入坑 Web 渗透测试必备指南

本文来自作者肖志华在GitChat上分享「Web渗透测试入坑必备指南」,「阅读原文」查看交流实录「文末高能」编辑|黑石小白如何快速入门由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我
GitChat技术杂谈·2017-11-13 00:00

web渗透—xss攻击

XSS攻击:跨站脚本攻击(Cross-SiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。XSS分类存储型XSS:主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程
dongxie_tk·2017-11-10 09:10

2018 web渗透教程(150节课左右持续更新中)11月5号更新

原文博客地址:http://www.superzedlv.cn/?id=17讲师:SuperZedQQ:2732663467博客地址:http://www.superzedlv.cn微信公众号:SuperZedLv声明:本教程只做技术研究请不要用于非法用途请认真一些,连解压密码下面有,你们不要老是问解压密码声明:不做公益,前面35节课免费,后面的不免费,想学习交流的小伙伴们QQ联系我,非诚勿扰,统
SuperZedLv·2017-11-04 23:52

web渗透—SQL注入思路

当拿到一个MySQL的注入点的时候,我们需要判断MySQL的版本。因为当MySQL的版本小于4.0时,是不支持unionselect联合查询的;当MySQL版本大于5.0时,有个默认数据库information_schema,里面存放着所有数据库的信息(比如表名、列名、对应权限等),通过这个数据库,我们就可以跨库查询,爆表爆列。现在一般情况下,MySQL都是4.0以上的,所以我们就放心的用联合查询
dongxie_tk·2017-11-01 14:45

kali linux web渗透测试学习笔记

kalilinuxweb渗透测试学习笔记metasploit使用方法:启动:第一步:启用Postgresql服务。servicepostgresqlstart第二步:启用metasploit服务。
花米徐·2017-10-31 09:38

web渗透——SQL注入漏洞攻击步骤

注入思想:1、找到注入点:判断是否有漏洞,寻找插入位置2、构造注入语句,并在注入点注入形成新的SQL语句3、新形成的SQL语句提交数据库处理4、数据库执行新的SQL语句,引发注入攻击操作流程1、寻找注入点:http://127.0.0.1/sql/1/?id=1'2、爆出列数:http://127.0.0.1/sql/1/?id=1'+ORDER+BY+4--+http://127.0.0.1/s
dongxie_tk·2017-10-19 14:00

Kali linux渗透测试(三)

以后会一直更新哈~0x00熟悉环境第一个是要记住登录密码,如果在官网下载的话默认是toor,如果是自己安装的话就是自己设置的密码top10工具简要介绍aircrack-ngburpsuite目前很火的web
csu_vc·2017-09-17 01:46

WEB渗透常见

1.信息泄露特殊页面404、403、500等异常页面是否显示版本信息HTTP返回头返回头中是否显示服务器版本等信息CMS信息对使用的cms系统版本信息是否明确显示,是否特征信息、页面未做自定义处理敏感文件在根目录下留存有开发、测试、运维人员的数据文件,并可浏览下载(wwwscan、御剑)后台管理页面对于隐藏后台页面,若被猜解出来(wwwscan、御剑)用户信息在用户交互系统中,对用户的关键信息进行
Blog_inG·2017-09-06 08:45

浅谈Web渗透测试中的信息收集

下面一张图比较详细的介绍了渗透测试中的信息收集,看过许多freebuf大牛写的文章,今天也给大家分享一些自己的经验(也就一小白,错误的地方各位牛牛多多指正)。信息收集对于渗透测试可以说是重中之重,正所谓“知己知彼,百战不殆”。所以我们的信息收集也是一样,收集的信息自然也是越多越好,这里有个文章http://www.doc88.com/p-7784047461299.html,这里的PTES渗透测试
qq_27446553·2017-08-29 02:39

Web渗透测试常规套路文章

0x01本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中的工具如菜刀等更是经典之作,即使发布已经
合天智汇·2017-08-23 15:25

kali linux web渗透测试中用到的一些重要的工具

1.Mitmproxymitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试2.BP用的比较多,不加以描述3.Owasp-zapZedAttackProxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。4.Parosparosproxy,这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的w
TLXX1126·2017-07-13 16:07

利用nginx日志结合本地包含漏洞GetShell

0前言在WEB渗透测试中尤其是PHP,经常会挖到LFI漏洞,想要GETSHELL,但无奈没有文件上传的途径,这里给一个思路,抛砖引玉。
我不爱学习·2017-06-16 00:00

Kali Linux 使用教程

www.hackfun.org/kali-tools/kali-tools-zh.htmlKaliLinux秘籍:wizardforcel/kali-linux-cookbook-zh-码云-开源中国KaliLinuxWeb
黑礼服丶弑魂·2017-06-15 11:59

【百度、腾讯、阿里等】+【JAVA开发实习生】+春招面试经验

基本情况介绍:性别:lz**萌**妹子一枚学校:本科双非、硕士985实力:只是女生比,中等偏上一丢丢面试公司:百度、腾讯、阿里、今日头条、美团、京东、去哪儿、CVTE、神州数码、知道创宇、intel面试职位:web
清渠如许muse·2017-06-03 21:56

PentesterLab渗透演练平台

https://www.blackh4t.org/archives/1143.htmlhttp://www.91ri.org/5958.htmlwebforpentester是国外安全研究者开发的的一款web
擒贼先擒王·2017-04-02 11:09

渗透测试(一):DVWA安装

DVWA全称DamnVulnerabilityWebApplication,是开源的Web渗透测试演练系统。在GitHub可以找到相应的源码。
HumphreyHu·2017-04-01 12:44

近一个月学习的思考(逆向、NLP)

也不像之前学习Web渗透,有足够多的没有防护的网站,自己也可以很容易的搭建类似实际环境的网站。因此
GarD0u·2017-03-30 13:59

web渗透-SQL注入文件操作

SQL文件操作原理在判定数据库连接权限的条件下,利用SQL操作函数SELECTLOAD_FILE('E://test.txt')#下载文件orSELECT'nihao'INTOOUTFILE'E://test1.txt'#上传写入文件语句对网站服务器进行本地文件操作。一般只有root连接用户才能进行文件操作。攻击步骤:1.获取网站路径@通过恶意制造访问错误,在错误中暴露网站路径@通过谷歌黑客访问,
豆不女·2017-03-01 10:36

web渗透-SQL注入数据库信息盗取

sql注入原理脚本代码接收来自前端数据未进行过滤,导致恶意sql语句插入到数据库中查询执行。如下代码:sql注入攻击流程1.and语法判断是否存在注入点And1=1正确页面And1=2错误页面http://127.0.0.1:80/index.php?id=1and1=1http://127.0.0.1:80/index.php?id=1and1=2结果:如果以上两条语句都没有引起页面错误,则判断
豆不女·2017-02-28 21:14

安全牛 Kali实战 Web渗透 1&2章 笔记&心得

Http协议基础1.明文:无内建的机密性安全机制嗅探或代理阶段可查看全部明文信息https只能提高传输层安全攻击情景:中间人攻击黑客从获取通信链路中某个节点权限(假设叫T)——>Client向Server发送请求——>T接受到Client请求,并发送给Server——>Server发送真实CA(假设叫RCA)给T——>T收到RCA,并伪造CA(假设叫FCA)给Client——>Client讲数据按
复杂也不复杂的Mr囚·2016-12-03 23:42

小白日记36:kali渗透测试之Web渗透-手动漏洞挖掘(二)-突破身份认证,操作系统任意命令执行漏洞

手动漏洞挖掘######################################################################################手动漏洞挖掘原则【会比自动扫描器发现的漏洞要多,要全面】1.每一个变量都进行尝试2.所有头【如:cookie中的变量】3.逐个变量删除#########################################
子轩非鱼·2016-10-22 10:15

小白日记35:kali渗透测试之Web渗透-手动漏洞挖掘(一)-默认安装引发的漏洞

手动漏洞挖掘即扫描后,如何对发现的漏洞告警进行验证。#默认安装流传linux操作系统比windows系统安全的说法,是因为windows系统默认安装后,会开放很多服务和无用的端口,而且未经过严格安全性的配置,经常有系统服务以最高权限运行。漏洞类型--远程命令执行1、phpMyadmin安装在web服务器中的web接口,专门用来管理MySQL数据库。对于早期版本,安装后若是没有做安全配置,对敏感路径
子轩非鱼·2016-10-21 18:42

windows系统-web渗透工具-AWVS

windows系统-web渗透工具-AWVSACUNETIXWEBVULNERABILITYSCANNER(AWVS)Awvs是一款很出名的web安全扫描器,属于windows系统平台下最流行的扫描器之一
子轩非鱼·2016-10-19 03:36

小白日记31:kali渗透测试之Web渗透-扫描工具-Arachni

扫描工具-ArachniKali中集成旧的arachni的阉割版,所以需要重新安装【在某些方面有其独特性,但不算很强大,有命令行和web两种使用方式】【匿名者推荐】apt-getupdatehttp://www.arachni-scanner.com/download/#Linuxtarxvfarachni.tar.gz./arachni_console#进入命令行模式./arachni_web#
子轩非鱼·2016-10-15 00:52

Web渗透测试学习路线图

原文:http://www.zhihu.com/question/21914899Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透
Kyogre6105·2016-10-12 13:44

小白日记30:kali渗透测试之Web渗透-扫描工具-Skipfish

WEB渗透-skipfishSkipfish是一个命令行模式,以C语言编写的积极的Web应用程序的安全性侦察工具,没有代理模式。它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头。
子轩非鱼·2016-10-11 02:57

小白日记29:kali渗透测试之Web渗透-扫描工具-Vega

WEB扫描工具-Vega纯图形化界面,Java编写的开源web扫描器。两种工作模式:扫描模式和代理模式【主流扫描功能】。用于爬站。处理表单,注入测试等。支持SSL:http://vega/ca.crt专注于应用程序代码方面的漏洞Vega#基于字典发现网站目录代理模式被动收集信息,结合手动爬站【即页面中能点击的链接全部点击一遍,能提交数据的地方,全部提交一遍】#连接到网站外面的链接可以暂时不用管#设
子轩非鱼·2016-10-11 01:53

小白日记28:kali渗透测试之Web渗透-扫描工具-Nikto

#WEB渗透靶机:metasploitable靶场:DVWA【默认账号/密码:admin/password】#新手先将DVWA的安全性,调到最低,可容易发现漏洞侦察【减少与目标系统交互】Httrack:
子轩非鱼·2016-10-09 16:48

小白日记27:kali渗透测试之Web渗透-Http协议基础,WEB

Http协议基础Web技术发展【http://www.cnblogs.com/ProgrammerGE/articles/1824657.html】静态WEB【网页】动态WEB属于一种应用程序基于数据库每个人看到的内容不同根据用户输入,返回不同结果WEB攻击类型有数百种WEB攻击面1、Network2、OS3、WEBServer4、APPServer5、WebApplication6、Databa
子轩非鱼·2016-10-09 00:20

WEB渗透测试之三大漏扫神器

通过踩点和查点,已经能确定渗透的目标网站。接下来可以选择使用漏扫工具进行初步的检测,可以极大的提高工作的效率。功欲善其事必先利其器,下面介绍三款适用于企业级漏洞扫描的软件1.AWVSAWVS(AcunetixWebWulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序、国内
帽子不够白·2016-10-04 11:56

WEB渗透测试之查点

通过踩点可了解到我们要进行的渗透测试的网站是怎么样的结构,识别了网站域名等目标范围清单。接下来的查点,是对目标的WEBSERVER,服务器语言,开源程序框架、名单,敏感文件或功能点等网站技术整体做一个详细更为充分的探查。为何查点:查点技术获得目标具体所使用的各种技术框架,可以精确获得目标现存的甚至未来所存在的隐患,例如发现目标所用论坛为discuz3.0版本号,根据公开漏洞,可以直接进行攻击,如果
帽子不够白·2016-10-03 17:16

WEB渗透测试之踩点

之前的工作太繁忙了就没时间更新博客,今天开始我来讲讲WEB渗透测试的事情关于踩点:对于一个专业的白帽子来说,在开始真正的渗透测试之前,必须完成渗透测试的的信息收集。
帽子不够白·2016-10-03 17:58

web渗透之前端基础

W3Chttp://www.w3.org万维网联盟,制定了很多标准,比如html,XML,JavaScript,CSS等等1.获取HTML内容中的隐私数据.......隐私数据在这.........通过JavaScript可以获取id="private_msg"的数据document.getElementById('private_msg').innerHTML;document.getEleme
sysprogram·2016-09-25 02:09

CSRF 详解与攻防实战

本文从属于笔者的信息安全实战中Web渗透测试实战系列文章。建议先阅读下MartinFowler的网络安全基础。
王下邀月熊_Chevalier·2016-09-21 00:00

【技术分享】最新2016华山杯CTF writeup

作者:FlappyPig稿费:700RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿2016华山杯网络安全技能大赛解题报告队伍:FlappyPigWeb渗透0x01打不过~添加
qq_27446553·2016-09-13 12:39

Web渗透学习路线

Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);3周熟悉渗透相关工具熟悉AWVS、sqlmap、Burp、ne
poclist·2016-09-09 10:38

内网渗透测试思路-FREEBUF

(在拿到webshell的时候,想办法获取系统信息拿到系统权限)一、通过常规web渗透,已经拿到webshell。
weixin_30500105·2016-08-22 09:00

用MSF进行提权

WEB渗透中当我们拿到webshell了,我们可以试试用MSF(metasploit)来进行提权,在MSF里meterpreter很强大的!我们先用msfvenom生成一个EXE的木马后门。
We3sT·2016-08-14 15:00

关于渗透环境以及渗透工具的使用

实验测试(1)概述本次实验测试的主要目的为熟悉Web渗透工具的使用,漏洞的利用及了解渗透测试流程。
jlangqi·2016-08-09 15:20

Kali进行web渗透笔记(十一)

FuzzingWebApplicationInjectingrandomdataintoapplicationshavevaryingeffectsandmayreflectadifferentoutputforeachinput.Thistrial-and-errormethodcouldleadtheattackertovulnerabilitiesthathavenotbeenpreviou
lryong.·2016-06-12 01:14

Kali进行web渗透笔记(十)

AJAXandWebServices-SecurityIssuesAsynchronousJavaScriptandXML(AJAX)isacombinationoftechnologiesthatisusedtocreatefastanddynamicpages.AJAXmakesuseofjavascripttoconnectandretrieveinformationfromtheserve
lryong.·2016-06-12 01:46

Kali进行web渗透笔记(六)

Scanning-dirbCGIisacommonstandardforwebapplicationstointeractwithcommand-lineexecutables;hence,CGIscriptswerethemostvulnerabletoshellshockattack.Exploitation:use*apache_mod_cgi_bash_env_exec*.SQLinjec
lryong.·2016-06-12 00:21

Kali进行web渗透笔记(四)

MajorFlawsinWebApplicaitonsClient-sideflawsaretargetedflawsandexploittheclient-sidetechnologiessuchasAJAXJSON,andflashcodetoextractinformationfromtheclient.DirectorybrowsingDirBuster(comeasanadd-ontot
lryong.·2016-06-12 00:25

Kali进行web渗透笔记(三)

ReconnaissanceandProfilingtheWebServerincludethefollowingtasks:IPadddress,subdomains,whoisrecords,Dnsservers,searchenginesusinggoogle,bing,yahoo,andshodan,archive.orgsocialnetworkingsites:Facebook,Fli
lryong.·2016-06-12 00:02

Kali进行web渗透笔记(一)

Insiderattacksaremorelethalthantheoneachievedbyanexternalentity,sosometimesBlackboxtestingwouldbeawasteofmoneyandtime.Careerasapenetrationtesterisnotasprint,itisamarathon.ImportantHTTPmethodsforpenetr
lryong.·2016-06-12 00:30

kali实战-Web渗透

早期的Web称之为网站,因为Web服务器上都是静态页面,也就是网页。针对Web的渗透都是Webserver应用程序这个层面的,是完全没有针对Web页面代码的攻击形式。随着时代的发展,到今天为止,Web技术已经变成了无所不能的编程开发技术,基于现有的Web技术,我们可以完全实现所有应用程序所能完成的功能,自从Web的应用技术发展起来之后,越来越多的应用程序都把服务器的架构从CS架构转变了BS架构,也
小猪猪猪·2016-05-30 16:12

Web渗透测试求职问答大全

0x00前言如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/http://tool.chinaz.com/#输
煜铭2011·2016-04-21 16:47

Web渗透测试求职问答大全

0x00前言   如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/ http://tool.chinaz.co
qq_29277155·2016-04-21 16:00
上一页 18 19 20 21 22 23 24 25 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他