【WEB渗透】

Kali进行web渗透笔记(六)

Scanning-dirbCGIisacommonstandardforwebapplicationstointeractwithcommand-lineexecutables;hence,CGIscriptswerethemostvulnerabletoshellshockattack.Exploitation:use*apache_mod_cgi_bash_env_exec*.SQLinjec
lryong.·2016-06-12 00:21

Kali进行web渗透笔记(四)

MajorFlawsinWebApplicaitonsClient-sideflawsaretargetedflawsandexploittheclient-sidetechnologiessuchasAJAXJSON,andflashcodetoextractinformationfromtheclient.DirectorybrowsingDirBuster(comeasanadd-ontot
lryong.·2016-06-12 00:25

Kali进行web渗透笔记(三)

ReconnaissanceandProfilingtheWebServerincludethefollowingtasks:IPadddress,subdomains,whoisrecords,Dnsservers,searchenginesusinggoogle,bing,yahoo,andshodan,archive.orgsocialnetworkingsites:Facebook,Fli
lryong.·2016-06-12 00:02

Kali进行web渗透笔记(一)

Insiderattacksaremorelethalthantheoneachievedbyanexternalentity,sosometimesBlackboxtestingwouldbeawasteofmoneyandtime.Careerasapenetrationtesterisnotasprint,itisamarathon.ImportantHTTPmethodsforpenetr
lryong.·2016-06-12 00:30

kali实战-Web渗透

早期的Web称之为网站,因为Web服务器上都是静态页面,也就是网页。针对Web的渗透都是Webserver应用程序这个层面的,是完全没有针对Web页面代码的攻击形式。随着时代的发展,到今天为止,Web技术已经变成了无所不能的编程开发技术,基于现有的Web技术,我们可以完全实现所有应用程序所能完成的功能,自从Web的应用技术发展起来之后,越来越多的应用程序都把服务器的架构从CS架构转变了BS架构,也
小猪猪猪·2016-05-30 16:12

Web渗透测试求职问答大全

0x00前言如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/http://tool.chinaz.com/#输
煜铭2011·2016-04-21 16:47

Web渗透测试求职问答大全

0x00前言   如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/ http://tool.chinaz.co
qq_29277155·2016-04-21 16:00

论一个冷门却有潜力的WEB攻击手法

外部调用JS/CSS来实现WEB渗透前言:大家都知道,现在入侵方法很多,比如SQLXSSCSRF等等。
qq_27446553·2016-03-30 17:00

DVWA部署以及菜刀原理

其中包含了SQL注入,盲注,文件包含,XSS,CSRF等一些常见的WEB漏洞,对于我们进行Web渗透有较强的指导教学意义
cr4zyd0g·2016-03-10 09:15

WEB渗透技术之浅析路径遍历

1.发送http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。2.参考http://www.unjs.com/ziliaoku/dn/198454.html
Hi,Leisure·2016-03-01 13:00

浅谈渗透测试实战

很多时候,在看白帽子们的漏洞的时候总有一种感觉就是把web渗透简单地理解成了发现web系统漏洞进而获取webshell。
qq_27446553·2016-02-17 11:24

浅谈渗透测试实战

很多时候,在看白帽子们的漏洞的时候总有一种感觉就是把web渗透简单地理解成了发现web系统漏洞进而获取webshell。
qq_27446553·2016-02-17 11:00

Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码

目录KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者usb启动盘破解windows密码..........................................
xuehuayipianyipian·2016-02-01 08:51

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜1.工具包下载地址(请加QQ群:web渗透图书交流群436519159)获取2.购买图书赠送论坛注册码,价值100元。
simeon2005·2015-12-21 20:51

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜1.工具包下载地址(请加QQ群:web渗透图书交流群436519159)获取2.购买图书赠送论坛注册码,价值100元。
simeon2005·2015-12-21 20:51

Kali Linux Web渗透测试之 WebSploit

WebSploit简介:l   一个综合性的,高级的中间人漏洞攻击框架。l   由python编写的开源项目。l   源代码:https://github.com/websploit/websploitl   项目地址:http://sourceforge.net/projects/websploit/主要用于远程扫描和分析系统漏洞,它可以非常快速容易和快速的发现系统中的漏洞,并用于深入分析。We
星逝流·2015-12-09 14:53

Kali Linux Web渗透测试之 WebSploit

WebSploit简介:l   一个综合性的,高级的中间人漏洞攻击框架。l   由python编写的开源项目。l   源代码:https://github.com/websploit/websploitl   项目地址:http://sourceforge.net/projects/websploit/主要用于远程扫描和分析系统漏洞,它可以非常快速容易和快速的发现系统中的漏洞,并用于深入分析。We
星逝流·2015-12-09 14:53

windows核心编程读后感(待续)

眼前先把ISCC的比赛准备一下要紧,WEB渗透方向的都没怎么弄过。从现在开始到比赛前就专心弄WE
·2015-11-13 22:53

[SQL注入1]From SQL injection to Shell

对于刚接触WEB渗透测试这块的朋友们,很希望能有个平台可以练习。
·2015-11-11 15:06

关于SQL注入的一点思考和总结

ISCC的比赛到10号就结束了,暑假到北京绿盟去决赛应该没问题了,所以这段时间针对WEB渗透和Buffer OverFlow作了很多练习,主要是SQL注入。
·2015-11-11 12:41

如何进行Web渗透测试

Web渗透测试可以从以下几个方面考虑: 1.SQL Injection(SQL注入)   (1)如何进行SQL注入测试?
·2015-11-11 01:44

Burp suite - 一款Web渗透测试的集成套件

Burp suite 是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder
·2015-11-09 13:04

WEB渗透之对于开了3389远程连接不上的总结

对于开了3389,连接不上,有几个方面的原因,我来总结下,哇咔咔,这几天提好几台服务器都TM这样,分析下, 原因1、远程桌面端口被更改。2、对方服务器处于内网。 3、防火墙拦截。4、TCP/IP安全限制。 好了,知道原因了,我们来一个一个思考解决方法(部分引用): 远程桌面端口被更改解决方法: 现在一般的asp大马都有探测服务器的功能,在权限还行的情况下都可以直接查看远程(Ter
·2015-11-07 12:40

PHPTaint-检测xss/sqli/shell注入的php扩展模块

web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞。
·2015-11-03 21:06

web渗透测试套件 - WebSploit

WebSploit 是一个开源项目,主要用于远程扫描和分析系统漏洞。使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析。 WebSploit由多个模块组成:   Autopwn – 使用Metasploit扫描和利用服务漏洞;   wmap – 利用Metasploit wmap插件扫描和抓取目标站点;   format infector – 向文件中注
·2015-11-01 13:45

对一个web渗透 后台登陆框post提交注入 报错类型 (小刀)

目录0×00 踩点0×01 寻找漏洞0×02 利用漏洞0×03 完结0x00 踩点再一次授权情况下 ,本人对骚狐 旗下某个站点发起了一次 友情的渗透在不知道任何信息的情况下,本人先对骚狐的一些基本服务器信息做了了解情况如下服务器是:unix 系统web版本:nginx/0.7.69ip:xxx.xxx.xxx.xxx   用了反向
·2015-11-01 11:22

Kali Linux web渗透测试 学习笔记 1 系统安装

我是在虚拟机下进行安装的,虚拟机使用的是virtualbox5.0首先,新建一个虚拟机,一路next,我将内存设置为2G,改动了下保存的位置:添加光盘后,启动画面如下:因为好久木有直接用文本安装了所以选择了Install先是选择语言,然后地区然后root密码设置,分区,配置源最后完成安装:中间过程就省略了。。最后重启: 至此收工~
Marmot_Alex·2015-07-25 16:07

Kali Linux web渗透测试 学习笔记 1 系统安装

我是在虚拟机下进行安装的,虚拟机使用的是virtualbox5.0首先,新建一个虚拟机,一路next,我将内存设置为2G,改动了下保存的位置:添加光盘后,启动画面如下:因为好久木有直接用文本安装了所以选择了Install先是选择语言,然后地区然后root密码设置,分区,配置源最后完成安装:中间过程就省略了。。最后重启: 至此收工~
Marmot_Alex·2015-07-25 16:07

web渗透(asp数字型注入模拟实战)

昨晚花了一整晚的时间找一套没有防注入的网站源码,太难找了,今天六点多就起床,终于找到了。(原谅我笨)打开虚拟机→打开asp小旋风→将网站程序放到asp小旋风下的wwwroot目录,打开网址http://127.0.0.1/,OK,能运行。梳理一下注入的流程:查注入点→判断是否能注入→猜表段→猜字段→爆管理员账户密码OK,往下走。打开本地搭的站点→随便点看看哪里能注入只要asp?id=××这种类型的
ccrookie·2015-06-19 08:55

绕过XSS过滤规则 : Web渗透测试高级XSS教程

相信大家在做渗透测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xss detected,这样的话我们的XSS就不生效了,下面就教大家几种简单的绕过XSS的方法:1、绕过 magic_quotes_gpcmagic_quotes_gpc=ON是php中的安全设置,开启后会把一些特
xysoul·2015-04-17 20:00

对某公司一次渗透测试

这是一次内网渗透,为何标题不写内网呢,因为当时搞的时候不知道是内网,搞到一台主机之后才知道是双网卡,有对内的网卡,以为只是一次简单web渗透,所以没必要夸大标题。    
serverxx0·2015-04-04 15:49

对某公司一次渗透测试

这是一次内网渗透,为何标题不写内网呢,因为当时搞的时候不知道是内网,搞到一台主机之后才知道是双网卡,有对内的网卡,以为只是一次简单web渗透,所以没必要夸大标题。    
serverxx0·2015-04-04 15:49

2015web渗透教程

过年放假了,闲着没事录制一套web渗透教程,一是回顾一下自己的基础知识,二是帮一些新手学习,三是打发一下自己的无聊时间。我的qq:1422770355,欢迎大家来交流学习。
lvchaojie·2015-01-15 11:05

网络安全系列之五十五 利用抓包来上传webshell

Web渗透的过程中,最为麻烦的一个环节就是上传WebShell,之前曾介绍过利用数据库备份来上传,这也属于最为简单和古老的一种方法。
yttitan·2014-11-26 21:49

白帽子学习计划(三阶段)

分析工具)(3)脱壳加壳(4)免杀(5)逆向算法的研究(5)将视频破解,写出注册机掌握语言:PythonC++C   (get)汇编  (get):还是要多总结一些潜规则API编程Linux指令:第二阶段:web
605665991·2014-11-24 21:07

Web渗透测试框架-Zed Attack Proxy v 2.0.0(OWASP出品)

OWASP出品的ZedAttackProxy(ZAP)是一款集成各种工具的渗透测试框架,可以发现在WEB应用程序中的漏洞。 官方网站:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project增加了很多新功能,更新:http://owasp.blogspot.com/2013/01/owasp-zed-attack-proxy-v-
KBK影院·2014-11-09 15:45

如何进行Web渗透测试

如何进行Web渗透测试Web渗透测试可以从以下几个方面考虑:1.SQLInjection(SQL注入)(1)如何进行SQL注入测试?
qileilove·2014-10-30 10:00

网络安全系列之三 搭建Web渗透平台(ASP)

在学习或是讲授网络安全方面的课程时,最大的麻烦就是如何设置各种实验。若是找真实的网站练手,一方面有漏洞的网站已经很难找了,另一方面即使能找到存在漏洞的网站,那也存在法律方面的风险,所以最好的途径还是自己来搭建实验环境。在实验环境中,系统平台当然还是选择VMWare+Win2003(Win2003是进行网络安全方面实验的首选操作系统);困难在于渗透平台怎么解决?渗透平台要包括Web服务器和漏洞网站两
yttitan·2014-10-05 07:43

[译]w3af指南(一)

本文将学习w3af的大部分特性以及如何使用它进行web渗透测试。[注]原文写于2012年。最新的w3af是1.6.0.5的使用方法与原文有些出处。w3af的特点:1.它的插件
j4s0nh4ck·2014-09-23 12:00

Web渗透:PHP字符编码绕过漏洞总结

其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。 该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有 效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理
·2014-08-05 21:00

pentesterlab学习记录-week1

Pentesterlab是一个引导你自学Web渗透测试技术的网站。它提供了一个为期15周的训练课程,以及不少供渗透测试的虚拟系统。
franklutao·2014-03-29 09:41

WebApp Pentesting Web渗透演练平台

转自:http://hi.baidu.com/oracledba/item/9f7be51ee6a7fbe45e53b16d1、什么是WebAppPentestingWebAppPentesting,由PentesterLab出品。官方给自己的定义是一个简单又十分有效学习渗透测试的演练平台。它提供诸多的漏洞系统以供网络安全发烧友进行测试和让黑阔们更加深刻地且透彻理解“漏洞”。跟传统的DVWA和We
kezhen·2014-03-14 23:23

事情特别多,今年转做python开发

从事IT工作5年了,在这5年中从事过运维、安全、web渗透等工作。大多都感觉太乏味,缺乏激情。
mr_zhoujk·2014-02-20 19:20

BurpSuite抓包改包上传

http://sec.chinabyte.com/464/12671464.shtmlBurpsuite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner
myths_0·2014-02-15 11:00

web渗透测试工具—Fiddler(转)

实习以来,大部分工作是开发,但做为安全测试小组的一员,有必要了解安全测试、如何做安全黑盒测试和白盒测试、如何借助工具来测试。今天做旺旺2010正式版(王挺已做完正在跟进的项目,已整理好风险点)测试。首先,查看风险点的UC,理解需求,进一步理解为什么这个点是风险点。通过前段时间自己做开发,深刻体会到理解需求的重要性。做开发只有深刻理解了需求,才能做出符合客户的产品;做测试只有从客户的角度深刻理解了需
XiaoCon·2014-02-13 10:00

在线业务系统Web防御技术探索

在线业务系统Web防御技术探索该文档由产品经理杨勃发表了主题为《在线业务系统Web防御技术探索》的演讲,从WebDDOS防御、Web渗透防御和Web业务攻击防御三方面为我们分享了以流量分析为核心的安全防御技术
李航421·2013-11-29 10:00

Burp suite 暴力破解shell密码详细教程

Burpsuite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder
lk5423968·2013-08-15 11:21

PHPTaint-检测xss/sqli/shell注入的php扩展模块[转]

web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞。
sunny5156·2013-07-25 13:00

ubuntu部署OWASP Mutillidae II php WARING

    OWASPMutillidae这个web渗透测试演练系统,下载后解压,放到xampp的htdocs目录(xampp就是LAMPforlinux,之前已经安装好,具体请看这里),现在目录应该是/opt
hotea·2013-07-23 15:00

Apache Struts2 远程命令执行漏洞

本人WEB渗透不行,最近在SARS大牛的指导下正在飞速成长。记录下成长的点滴。 
w2630460·2013-07-19 16:24
上一页 18 19 20 21 22 23 24 25 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他