安全入门

web安全入门大纲

操作系统Linux安全Linux基础入门与系统初探文件及目录管理文件内容编辑处理文件过滤与查找系统目录结构与重要系统文件详解文件类型与文件属性正则表达式与三剑客用户管理知识Linux文件权限详解进程管理与软件管理计划任务数据存储管理与性能测试Shell基础Windows基础计算机网络网络概述Wireshark使用网络链路层、网络层协议基础传输层协议基础应用层协议基础交换机工作原理路由协议原理WLA
weixin_30679823·2020-08-10 02:04

WEB安全入门(转)

一.首先你得了解WebWeb分为好几层,一图胜千言:事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。这样看来,Web有八层(如果把浏览器也算进去,就九层啦,九阳神功……)!!!每层都有几十种主流组件!!!这该怎么办?别急,一法通则万法通,这是横向的层,纵向就是数据流啦!搞定好数据流:从横向的层,从上到下→从下到上,认真看看这些数据在每个层是怎么个处理的。数据流中,有个关键的是HTTP
dengweidan3299·2020-08-09 20:49

网络安全入门到精通(总结篇) 最终篇(下)

每日一句:仰望星空的时候,不要忘记脚踏实地本文内容:1.web通信基础2.后端数据库正则3.信息收集4.sql注入5.XSS6.CSRF7.文件上传8.验证码、密码找回漏洞9.越权漏洞10.SSRF11.支付漏洞12.XXE13.变量覆盖14.文件包含漏洞15.序列化16.Bypass绕过[SQL注入]17.Bypass绕过[Webshall]18.代码审计八.验证码、密码找回漏洞逻辑漏洞:不是发
划水的小白白·2020-08-07 21:58

值得收藏的网站----安全

Web安全微专业四期安全技能树简版硬创公开课雷锋网找回你暗云木马查杀号安匠迪代码安全审查恶意代码家族样本高精度IP腾讯哈勃ThreatBook金刚恒昌SRCWiFi万能钥匙SRC菜鸟加油给表弟的Web安全入门建议云课堂
xinshouxiaocainiao·2020-08-03 08:28

web安全入门之SQL注入-布尔型盲注

SQL注入之布尔型盲注1.布尔型盲注布尔型盲注应用于无数据回显,且WEB页面无报错信息的情况,此时不能通过报错型注入的方法来爆出数据,布尔型盲注的WEB页面只有两种回显结果,正确的页面以及错误的页面,且错误的页面无报错提示语句,正确的页面不能输出数据。2.函数盲注,其注入就是通过函数的执行结果来猜测数据Length()函数其功能为返回字符串的长度比如length(abc)返回3Sunstr()函数
小边同学·2020-07-30 04:10

2018-07-12

《IDAPro权威指南》IDAPro的使用指南,包含大多汇编的知识与反汇编的应用暂时能力语言方面的能力:部分c语言python写些脚本,没尝试使用python写一些大的项目安全方面能力安全入门知识一些简单漏洞的尝试一些工具的使用
shadowbaron·2020-07-29 19:17

web安全入门之SQL注入-时间型盲注

SQL注入之时间型盲注1.时间型盲注时间型盲注条件极为苛刻,不管输入什么,WEB页面回显相同的结果,此时我们无法通过报错型注入以及布尔型盲注来爆数据,此时数据在交互完成以后目标网站没有正确和错误的页面回显,这种情况我们可以通过时间函数来判断数据在没有目标数据中得到执行。2.函数盲注,其注入就是通过函数的执行结果来猜测数据Length()函数其功能为返回字符串的长度比如length(abc)返回3S
小边同学·2020-07-29 14:10

资料

Security乌云知识库FreeBuf开放安全研究斯坦福大学密码安全学课程中国科大计算机安全课程资料信息安全入门指南-伯乐在线数据采集发源地http://www.finndy.com关系数据库&No
_MoonTree·2020-07-29 06:22

web安全入门之SQL注入-报错型注入

SQL注入之报错型注入法1.报错型注入分析报错型注入法适用于无回显数据的场景,适合于没有显示位的web页面,但是有mysql报错输出的场景。metasploitable2-Linux在Less-5和Less-6中就用到了报错型注入方法这种页面有明显的三种场景场景1:正确查询成功场景为结果显示。场景2:正确查询失败场景为空,不显示。场景3:错误语句查询场景,显示报错语句。在这种情况下,不管输入任何正
小边同学·2020-07-28 22:36

Web安全入门建议

从0基础开始的话,需要先掌握一些基本的技能:1.学习网站构建初级教程_W3C以及HTTP协议基础-runoob上了解Web前后端以及HTTP协议的一些基础介绍,花半天时间对相关技术有个概念性的了解就够了。2.Windows下下载phpStudy或者WAMP,在本地搭建Web服务器环境,然后自己搜索两篇文章学习下基本的操作方法。这个本地Web服务器也就相当于学习过程中的一个实验环境了。3.学习浏览器
yuxiaoyu.·2020-07-28 17:43

web安全入门(第三章-2)信息搜集的意义 — 渗透测试的灵魂(一)

一、重要性——为什么要信息收集信息收集究竟需要收集什么?为什么要收集这些?1、whois信息什么是whois?whois指的是域名注册时留下的信息,比如留下管理员的名字,电话号码、邮箱。为什么要收集whois?域名注册人可能就是网站管理员,可以尝试社工、套路、查询是不是注册了其他域名扩大攻击范围。(http://www.bugku.com/mima/)2、子域名什么是子域名?顶级域名下的二级域名或
YINZHE_·2020-07-27 18:31

十月五周 总结笔记

vue-resoure、axios、jquery(ajax));2、解决跨域请求问题;3、学习UML;4、构思入党志愿书周二1、了解XSS跨站攻击;2、学习Vuex;周三1、开发jsp期中项目;2、网络安全入门
孟德曰don't care·2020-07-27 11:52

web安全入门

XSS定义:一种网站应用程序的安全漏洞攻击,是代码注入的一种。功能:通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的脚本。如果需要收集来自被攻击者的数据,可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。常用的XSS攻击手段和目的有:盗用cookie,获取敏感信
qq_43481905·2020-07-14 21:01

Android 渗透测试学习手册 第一章 Android 安全入门

第一章Android安全入门作者:AdityaGupta译者:飞龙协议:CCBY-NC-SA4.0Android是当今最流行的智能手机操作系统之一。
布客飞龙·2020-07-14 04:47

web安全入门课程推荐--Web 安全恩仇录:漏洞原理

玄魂玄魂工作室gitchat上看到的一套入门教程。课程介绍本课程主要内容为Web常见漏洞分析,同时会介绍在各个阶段需要做什么事,该课程利用的攻防平台是KaliLinux以及一些Linux和Windows靶机,按照主次会依次介绍OWASP10的漏洞类型。通过学习本课内容,能够掌握常见的漏洞类型,比如SQL注入、XSS等漏洞的原理并且能够在实际渗透测试中学会运用,具体实践案例:ASP+Access手工
xuanhun·2020-07-14 03:15

web安全入门之SQL注入-基于metasploitable2-Linux

SQL注入1.SQL注入介绍我们在学习SQL注入前,先要对SQL以及数据库有一定的了解。SQL(StructuredQueryLanguage)是一种关系数据库标准语言,SQL其为结构化的查询语言的简称,但其功能包括数据定义,数据查询,数据操纵和数据控制四部分。SQL简洁方便、功能齐全,是目前应用最广的关系数据库语言。数据定义SQL(DDL):CREATE(创建)、DROP(丢弃)数据查询SQL(
小边同学·2020-07-13 20:32

web安全入门(第七章-1)文件上传漏洞--解析、验证、伪造

一、客户端检测1,客户端校验:一般是在网页上写一段Js脚本,用Js去检测,校验上传文件的后缀名,有白名单也有黑名单。2,判断方式:通过抓包来判断,如果还未抓住包,就弹出不准上传,那么就是前端验证,否则一般就是服务端验证3,突破方法前端验证非常不可靠,通常可通过两种方式绕过:~关闭JS尝试绕过~传正常文件通过burp修改数据包就可以绕过(推荐)4,黑白名单机制:黑名单:不允许上传什么白名单:只允许上
YINZHE_·2020-07-13 01:35

WebApp 安全入门

2018网络安全事故频发,从数据泄露、信息窃取,到DDOS攻击、勒索病毒,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者在不断开发新的攻击途径的同时,也尽力在攻击过程中掩盖其踪迹,使网络安全防护变得越发棘手。未来是万物互联的时代,唯有把握住网络信息安全,才能避免被降维打击。本次分享,葡萄城技术团队将从WebApp安全出发,带你了解更多意想不到的安全防护措施与黑客攻击手段,助你提高网络安全意
GitChat的博客·2020-07-10 05:51

网络安全入门课 kali

kali是一个渗透用的工具操作系统。网上的资源很多,最近听了一门,简单做了一些笔记。这门课主要是kali的入门课,包含kali简介安装、kali完成主机和端口扫描、wireshark工具的使用。一、kali的官网www.kali.org,国内就可以访问,网站有点慢。这块也讲了一些查询国外的技巧。二、关于端口扫描技术,netdiscover可以利用ARP扫描技术,并通过mac信息,获取主机类型,这个
王森 出发·2020-07-08 09:22

以太坊智能合约安全入门了解一下(上)

://rickgray.me/2018/05/17/ethereum-smart-contracts-vulnerabilites-review/(注:本文分上/下两部分完成,下篇链接《以太坊智能合约安全入门了解一下
Omni-Space·2020-07-07 18:18

以太坊智能合约安全入门了解一下(下)

rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/(注:本文分上/下两部分完成,上篇链接《以太坊智能合约安全入门了解一下
Omni-Space·2020-07-07 18:18

网络安全入门基础须知

目录一、学习推荐学习网站二、术语一、学习推荐学习网站下面这些是我平时用到的一些学习网站,里面的交流分享也是比较多的。看雪(https://bbs.pediy.com/)安全客(https://www.anquanke.com)freebuf(https://www.freebuf.com/)安全牛(https://www.aqniu.com/)安全内参(https://www.secrss.com
秦风^_^·2020-07-07 12:57

工控安全入门分析

原文章:点击打开链接0x00写在前面工业4.0,物联网趋势化,工控安全实战化。安全从业保持敏感,本篇以科普角度对工控安全做入门分析,大牛绕过,不喜轻喷。0x01专业术语SCADA:数据采集与监视控制系统ICS:工业控制系统DCS:分布式控制系统/集散控制系统PCS:过程控制系统ESD:应急停车系统PLC:可编程序控制器(ProgrammableLogicController)RTU:远程终端控制系
xumesang·2020-07-06 09:39

黑客网络安全入门学习资料和工具

AwesomeHacking(https://github.com/sindresorhus/awesome)AcuratedlistofawesomeHacking.Inspiredbyawesome-machine-learningIfyouwanttocontributetothislist(pleasedo),sendmeapullrequestorcontactme@carpedm20F
xiaoyuge16·2020-07-06 08:43

【6】web安全入门篇-sql注入

0x01sql介绍通过对参数的污染,将恶意sql语句插入到数据库中执行的一种攻击方式。0x02sql注入原理在进行数据库操作是,将sql语句与参数进行拼接,并放到数据库中执行。如下面一段php代码上面段代码就存在sql注入漏洞,很经典的能使用万能密码登陆如当我们传入的参数是username=admin’or1=1#&password=xxxx$sql变量就为$sql="selet*fromuser
Gr3enh4nd_懒人·2020-07-06 04:18

【2】web安全入门篇-了解web

1.什么是web百度百科会解是得很清楚,我在这里就不赘述了https://baike.baidu.com/item/Web/150564web运行结构2.一次完整的网页请求图示大致流程为1.浏览器输入url如www.baiduc.om2.域名解析获得该域名IP地址(DNS解析原理)3.与该域名建立TCP连接通过三次握手(三次握手原理)4.封装HTTP请求,向服务器发起HTTP请求(request)
Gr3enh4nd_懒人·2020-07-06 04:47

网络安全入门之 BUUCTF Pwn - test your nc

文章目录1.Description2.Source3.题解1.DescriptionTitle:test_your_ncLanDomain:12399-0b7391f3-2f79-44d9-9f94-5f1349ed2d07Target:node3.buuoj.cn:29023Pwn类题目的入门题,我们需要获取目标机上的flag密钥。和我一样希望学习网络安全知识的同学,推荐学习《Web安全攻防实战
Curren.wong·2020-07-05 08:24

网络安全入门之命令行注入 DVWA Command Injection Low to High Level

文章目录1.背景2.环境搭建3.命令行注入3.1.Low3.2.Medium3.3.High3.4.Impossible1.背景最近需要补充一下网络安全方面的知识,于是就从基础的靶场DVWA(DamnVulnerableWebApplication)开始刷起,这一篇是关于从Low到High难度的命令行注入的内容。2.环境搭建参考上一篇关于BruteForce暴力破解密码的博客。3.命令行注入3.1
Curren.wong·2020-07-04 01:11

web安全入门(第八章-1)验证码绕过

一、验证码作用0,之前都是普通漏洞,今天开始的都是逻辑漏洞逻辑漏洞:~不是代码层面的错误~另外逻辑漏洞基本可以是通杀~现在的很多大厂,基本不会有普通漏洞,但是逻辑漏洞是很难避免1,本质:简单的说,验证码是为了区分用户是计算机还是人的一种全自动工具2,作用:利用较为简单的程序就可以有效防止:密码破解、刷票、论坛灌水(霸屏)等等二、验证码绕过的常见姿势1,绕过方向通过验证码的逻辑进行入手通过pytho
YINZHE_·2020-07-01 14:06

web安全入门(第八章-3)支付漏洞

一、快捷支付原理1,原理~浏览器跳转简单说,你付钱了,浏览器通知服务器,服务器更新你的金额//基本依托前端跳转,不可靠,现在应该极其少见~服务器端异步通知简单说,你付钱,发一个通知给服务器,同时,你支付的平台也会向服务器发送一个通知。服务器对比一下你的通知与支付平台通知,一致则更新你的金额。不一致,一般都会等待客服处理//相对安全2,补充~支付漏洞并不需要代码审计,其实更适合新手~支付漏洞属于逻辑
YINZHE_·2020-07-01 14:06

web安全入门(第九章-1)xxe实体注入

一、什么是XXE1,本质简单的说,就是XML外部实体注入攻击分解一下注入:将用户输入的内容当作代码执行sql注入:将用户输入的内容当作sql代码执行XML:一种类似HTML的语言,主要是存储传输数据的,没有预定义标签实体:简单的理解为变量,可以存储一些东西总结:XXE,就是XML引用的数据当作代码被执行,即XML外部实体注入攻击典型的攻击如下:XML声明[DTD部分:实体用于定义应用普通文本或特殊
YINZHE_·2020-07-01 14:06

iOS安全入门

各位亲有时间可以去看看我的“金骏家居淘宝店”http://jinjun1688.taobao.com/shop/view_shop.htm?tracelog=twddp买时说明在我的博客看到有优惠哦还有意外礼品赠送真正的程序员淘宝店iOS安全版成立也有一段时间了,为让更多的朋友和我们一起玩iOS系统,为引导更多的人加入iOS系统研究的队伍中来,本人将在接下来的日子里陆续地写些文章到论坛上来。希望对
3GUU_草根·2020-07-01 14:51

闲话信息安全入门

来源:http://hi.baidu.com/zyqq/blog/item/2f420cf328ba94cc0a46e0a1.html这边文章太给力了,分析很到位。昨天有个朋友问我,怎么样进入信息安全这个行业。我很难回答这个问题,因为毕竟自己从业时间也不长,从技术、管理、视角、经验等各方面来说,都还是不够资格的。但这并不妨碍我将自己的一些经验、见解和心得记录下来,没有要误人子弟的意思,有自己见解的
zhangnn5·2020-06-30 14:24

DVWA靶机搭建

写在前面dvwa基本在安全入门的时候都用到了,最近在学习写一些ctfweb题的代码,更深一步的学习漏洞内部的代码逻辑,想先审计一些漏洞环境的代码,首选了dvwa,但是发现自己不知道什么时候卸载了,于是为了自己方便或者其他的入门者方便吧
moth404·2020-06-29 16:20

网络安全入门到精通(总结篇) 最终篇(上)

每日一句:仰望星空的时候,不要忘记脚踏实地本文内容:1.web通信基础2.后端数据库正则3.信息收集4.sql注入5.XSS6.CSRF7.文件上传8.验证码、密码找回漏洞9.越权漏洞10.SSRF11.支付漏洞12.XXE13.变量覆盖14.文件包含漏洞15.序列化16.Bypass绕过[SQL注入]17.Bypass绕过[Webshall]18.代码审计一、web通信基础常用端口:80端口:h
划水的小白白·2020-06-29 11:41

网络安全入门(一)IP欺骗

前言:最近在郭老师的指导下开始学习网络安全,这个分类用于记录学习过程。首先先记录IP欺骗。也就是著名的凯文与下村勉的交战中使用的著名攻击。这篇博客主要用于记录学习笔记,并加上自己的理解,如有不对之处敬请指正。一、攻击原理与攻击背景在这个背景下有三个角色,分别是:攻击者主机、目标机器服务器A、与服务器A有信任关系的第三者服务器B。前两者很好理解,那么第三者是什么呢?为了更方便登录并服务器来对其进行远
Y努力学习·2020-06-29 03:39

视频教程-逆向工程:游戏安全入门教程-漏洞挖掘与利用

逆向工程:游戏安全入门教程杨闯(rkvir)天融信阿尔法实验室安全研究员。看雪漏洞分析小组成员,看雪讲师,MS08067小组成员。从事安全行业多年,擅长二进制安全领域的研究与工程化实现。
学院导师-杨闯·2020-06-27 15:00

Web安全攻防

参考网址:【干货分享】Web安全漏洞深入分析及其安全编码常见Web安全攻防总结Web安全入门之常见攻击来一张镇博图:安全无小事。1.XSS介绍:全英CrossSiteScript,跨站脚本攻击。
nenliu·2020-06-27 03:27

网络安全入门资料

与网络安全有关的资料学习资料折腾的重要性python课程安全圈白帽子学院信息安全经典书籍教学视频论坛《黑客攻防技术宝典(web实战篇)》《白帽子讲web安全》《web前端黑客技术解密》《WEB之困》《SQL注入攻击与防御》《Metasploit渗透测试指南》《黑客免杀攻防》与网络安全有关的期刊EI,SCI检索securityandcommunicationnetworkskaillinux教程Ka
小心灵呀·2020-06-27 02:32

WEB安全入门建议

前言Web入门文章一直想写一篇,但是一直没写,也犹豫了很多,毕竟对于入门文章太多了,但是我还是想写一篇,一篇非同寻常的入门到进阶.可能很多人已经入门了,但是我还是想发表一下自己的看法,如果有错误还希望大佬指出0x01可能对于很多刚入门的朋友感到迷茫,或者经常学习学着就没有方向,自己一直处于入门阶段,我现在也一直是这个阶段,我一直都在这个阶段,所以我有很多话要说,接下来步入正题,这是一篇毫无技术性的
Secure0708·2020-06-27 02:19

网络安全入门

其实刚开始是想着把《黑客攻防从入门到精通》这本书上的知识点给整理下来,但是发现博主错了,博主感觉这是吃力不讨好,对于本身能力得不到提高,于是就稍微的整理一下知识脉络。对于刚刚准备入门网络安全的童靴们,作为一个菜鸡博主,我在这里想说几句,所谓安全人员其本质也是程序员,不仅要学习安全知识,也要学习编程。不说其他,自己写安全工具不就需要编程。以前并没有安全,因为程序员技术参差不齐以及IT产品的不完善导致
greedy-hat·2020-06-25 21:22

信息安全专业学习建议

一、信息安全入门指南http://blog.idf.cn/2013/09/getting-started-in-information-security/http://bbs.chinaunix.net
SmartCabbage·2020-06-25 07:10

从非儿童网站看基线安全到底有多重要

信息安全入门简单,但做深做透真的很难。现在的行情是遍地是安全漏洞,很多企业对信息安全又不重视。
itest_2016·2020-06-23 18:46

web安全入门(第八章-2)越权漏洞

一、什么是越权1,概念:常见的逻辑漏洞,由业务逻辑处理问题造成的,它本身单独可能不是漏洞,但对于业务逻辑而言是漏洞,比如:普通用户修改掉管理员的密码2,本质:服务器对提交数据的用户没有检测权限,使a用户能直接增删改查其他用户或管理员信息3,分类:~垂直越权(普通用户可以改管理员信息)~平行越权(普通a用户可以改其他用户信息)~交叉越权(即有垂直越权也有平行概念)4,常见性:非常常见,并且逻辑类漏洞
YINZHE_·2020-06-22 08:52

web安全入门(第四章-2)渗透测试常用工具讲解

sqlmap的基础指令常用最基础指令:-u指定注入点--dbs跑库名--tables跑表名--columns跑字段名--dump枚举数据-D指定库-T指定表-C指定字段sqlmap.py-uhttp://59.63.200.79:8003/?id=1-Dmaoshe-Tadmin-Cpassword--dump渗透测试常用工具-本课易错回答分析1.如何安装Java环境访问https://www.j
YINZHE_·2020-06-22 08:51

web安全入门(第三章-1)信息搜集(一)

网络架构-信息收集1、域名知多少域名级数是指一个域名有多少级组成,域名的各个级别被”.“分开,简而言之,有多少个点就是几级域名。顶级域名:.com(商).edu(教).gov(政).mil(军)一级域名:qq.com二级域名:ke.qq.com三级域名:zhz.ke.qq.com2、子域名收集layer子域名挖掘dnsenum3、whois是用来查询域名的IP以及所有者等信息的传输协议。whois
YINZHE_·2020-06-22 08:51

web安全入门(第五章-4)反弹注入

一、MSSQL反弹注入使用场景0,MSSQL数据库就是Sqlserver数据库1,前言MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路2,遇到问题明明有注入点却无法进行注入,工具攻击速度也是异常缓慢,错误提示信息关闭,无法返回注入结果,这些都是在注入攻击中常常遇到的问题。为例解决以上的疑难杂症,我们来学习反
YINZHE_·2020-06-22 08:51

web安全入门(第七章-2)文件上传漏洞--解析、验证、伪造

一、%00截断和00截断1,白名单比黑名单机制安全了太多,但是也不是绝对安全2,%00是干嘛的在说这的作用之前,先说一下服务器保存机制(其中的一种)用户上传图片->上传到临时目录->php移动重命名%00就是再移动重命名的时候,动手脚比如,我们上传木马命名为:1.php%00.jpg,当程序读取到%00他就认为到这结束了,于是保存为1.php注意:这也是由php版本限制的,高版本貌似修复了此bug
YINZHE_·2020-06-22 08:51

网络安全入门实验06:PE文件的解析

目录0.实验要求1.实验思路2.代码实现3.实验结果0.实验要求请依据参考文档中的内容编写一个小程序,使其可以实现如下功能:1、判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件2、请提交实验报告和你的源代码文件1.实验思路PE文件的全称是PortableExecutable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM
Krumitz·2020-06-21 23:35

网络安全入门实验04:病毒专杀工具的制作

目录0.实验要求1.病毒行为分析1.1火绒剑监控1.1.1对docx进行的操作1.1.2创建了readme.txt1.1.3创建了自删除脚本、执行并删除1.1.4补充1.2IDA逆向1.2.1sub_14701.2.2sub_4013201.2.3sub_4017D01.2.4sub_4019B01.3Stirling对比加密前和加密后文件2.特征码提取以及“查杀”2.1特征码选取2.2代码实现2
Krumitz·2020-06-21 23:35
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他