安全攻防

Web安全攻防的学习——08—(绕过SQL注入、XSS跨站脚本分类、利用cookie会话劫持、XSS窜改网页链接)

1、绕过SQL注入绕过去除注释符的SQL注入注释符的作用:用于标记某段代码的作用,起到对代码功能的说明作用。但是注释掉的内容不会被执行。Mysql中的注释符:(python中的语句规则)1.单行注释:--+或--空格或#2.多行注释:/*多行注释内容*/对于正常的SQL语句中,注释符起到说明作用的功能。但是对于在利用SQL注入漏洞过程中,注释符起到闭合单引号、多单引号、双引号、单括号、多括号的功能
越过山丘,佳人等候·2020-07-01 06:54

详解Web安全攻防战(DoS攻击、CSRF、XSS、SQL注入)

之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS:Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。)前言用户信息泄露、网站被黑甚至网银被盗用的事件屡见不鲜,Web安全问题理应得到前端的更多的重视,大前端要“把手伸得更远一点”。常见的Web安全问题有DoS攻击、CSRF攻击、XSS漏洞和SQL注入等。本文将围绕这四种常见的攻击展
五撸超人·2020-07-01 06:38

网站安全攻防秘笈:防御黑客和保护用户的100条超级策略

第一部分:准备战场第一章网站驻防列举了必须的步骤,以实现攻击识别告警,与管理适当的web交互审计日志。你也会学到如何构建统一数据存储以在企业中实现攻击情报共享。第二章漏洞检测与修复介绍了主动发现网站中漏洞的关键方法,以及在漏洞被发现之后,如何用一种叫“虚拟补丁”的方式修复漏洞。第三章给黑客的陷阱介绍了几种在网站中构建陷阱的方法来快速而准确地识别恶意用户第二部分:非对称战争在网站上线提供给真实用户之
天天向上_好好学习·2020-07-01 01:21

【视频】TechWorld2017热点回顾 | 机器学习在安全攻防的实践

TechWorld2017的圆桌论坛中我们讨论了机器学习在网络安全的应用,那机器学习在安全攻防的具体实践有哪些呢?如何利用机器学习对安全事件进行回溯及预警?
zzkk_·2020-06-30 21:57

CTF刷题网址

redtiger.labs.overthewire.org/IDF实验室:http://ctf.idf.cn/XCTF_OJ竞赛平台:http://oj.xctf.org.cn/problem_archives网络信息安全攻防学习平台
从0到1 渗透之路·2020-06-30 00:59

「信息安全产品」综合日志分析系统

2.日志分析:实现多维度、跨设备的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客
西子湖畔的蜗牛·2020-06-29 22:48

网络安全攻防的环境配置(owaspbwa)

网络安全攻防的环境配置(owaspbwa)之前有朋友留言说介绍一下我常用的环境,在学习信息安全的过程中我们需要环境去自己练习,其中web方面的可以用复现漏洞的方式来练习。
vergilben·2020-06-29 06:52

Metasploit -- 目录详解及常用命令

----网易云热评鸣谢:山丘安全攻防实验室----陈殷一、Metasploit作用Metasploit是一款开源的渗透测试框架平台,到目前为止,msf已经内置了数千个已披露的漏洞相关的模块和渗透测试工具
web安全工具库·2020-06-29 01:03

《网络攻防实践》第九周作业

《Python黑帽子》第十、十一章Black_Hat_Python_Chapter10Black_Hat_Python_Chapter11《网络攻防技术》第九、十章第九章恶意代码安全攻防本章主要介绍了恶意代码的攻防
weixin_34416649·2020-06-28 19:57

常见六大Web安全攻防解析

前言在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。想阅读更多优质原创文章请猛戳GitHub博客一、XSSXSS(Cross-SiteScripting),跨站脚本攻击,因为缩写和CSS重叠,所以只能叫XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的
weixin_34352449·2020-06-28 17:11

Joomla 对象注入漏洞分析报告

阿里云安全·2015/12/1616:05Author:阿里云安全攻防对抗团队近日,Joomla再曝高危0day漏洞,可进行远程命令执行,阿里云云盾昨日已上线相应的拦截规则抵御该漏洞。
weixin_34266504·2020-06-28 15:50

【蓝鸥AR/VR开发基础二】递归

蓝鸥(www.lanou3g.com)是一家集产、学、研、创为一体的综合性移动互联网研发培训机构,致力于iOS开发、Unity3D游戏开发、Android开发、HTML5前端开发和Web安全攻防等技术人才的培养
蓝鸥3G·2020-06-28 11:44

阿里聚安全攻防挑战赛报名开启!

阿里聚安全攻防挑战赛报名开启!****“阿里聚安全攻防挑战赛”**已成功举办过两届,并逐渐成为安全行业经典赛事品牌,本届更是推出史上最强权威导师助阵,是业界不可错过的年度盛事!
weixin_33694172·2020-06-28 03:42

网络安全攻防----html基础

一.学习html的硬件条件网页(.Html)是静态的,学习html语言需要选择Chrome浏览器和Sublime3编辑器,选择Chrome浏览器是因为Chrome浏览器兼容性比较好,支持各种各样的插件和扩展。Ctrl+s保存编写的代码二.标签标签是允许嵌套的(1)双标签:1.(首标签)…(尾标签)(下同)最大的标题2.P标签段落3.Div标签相当于一个容器4.html标签表明文档的类型为html5
weixin_30394669·2020-06-27 19:03

企业级安全攻防三:身份认证,只有账号密码吗?

本文开始前,我门可以先思考一下:除了账号密码,我们还能怎么做身份认证?我们前面详细讲解了密码学的三种算法:高效安全的对称加密算法,解决密钥分发难题的非对称加密算法,以及提供单向加密的散列算法。如果在面试中,在表达了你对密码学清晰的理解之后,面试官开始相信你具备安全方面的基础知识了。于是,他准备和你探讨一下安全落地的细节。基于你之前提出的“黄金法则”,面试官问道:“黄金法则的认证(Authentic
运维大湿兄·2020-06-27 08:43

安全攻防四:访问控制,如何选取一个合适的数据保护方案

文末会有一份重点内容梳理图送给大家,是针对这几篇文章的内容!本文主要介绍几种常见授权机制的概念和原理,以及在实际工作中我们该如何去选取合适的保护机制。这些通用的机制看起来可能比较抽象,但“磨刀不误砍柴工”,理解了宏观上的知识基础,对我们以后学习各类具体的防御机制会有很大的帮助。其次我个人认为,“授权”和“访问控制”其实是同一个概念,都是允许或者禁止某个用户做某件事情。现在行业内普遍用“访问控制”这
运维大湿兄·2020-06-27 08:43

【蓝鸥AR/VR开发基础】实践课程控制台Demo

蓝鸥(www.lanou3g.com)是一家集产、学、研、创为一体的综合性移动互联网研发培训机构,致力于iOS开发、Unity3D游戏开发、Android开发、HTML5前端开发和Web安全攻防等技术人才的培养
蓝鸥3G·2020-06-27 05:47

Web安全攻防

参考网址:【干货分享】Web安全漏洞深入分析及其安全编码常见Web安全攻防总结Web安全入门之常见攻击来一张镇博图:安全无小事。1.XSS介绍:全英CrossSiteScript,跨站脚本攻击。
nenliu·2020-06-27 03:27

安全攻防知识全景图

在极客时间上,看到了《安全攻防技能30讲》专栏,结合自己负责的项目先前被各种安全问题困扰,索性系统的学习一下安全相关的基础知识。本次专栏的定位是安全基础。
航桐·2020-06-27 02:37

安全攻防技能——身份认证

模拟一个面试的场景:面试官:黄金法则的认证(Authentication)部分不就是账号密码吗?这么简单的东西,有必要考虑得那么复杂吗?应试者:认证,也就是身份识别与认证(通常来说,识别和认证是一体的)。毫无疑问,对于一个安全的应用来说,身份认证是第一道门槛,它为后续所有的安全措施提供“身份”这样一个关键信息。面试官:现在我们公司有好几个应用,每一个应用都有独立的账号体系,管理起来十分复杂。而且,
航桐·2020-06-27 02:37

Android安全攻防战,反编译与混淆技术完全解析(上)

http://blog.csdn.net/guolin_blog/article/details/49738023http://blog.csdn.net/guolin_blog/article/details/49738023http://blog.csdn.net/guolin_blog/article/details/49738023http://blog.csdn.net/guolin_b
山楂树之恋·2020-06-27 02:49

网络信息安全攻防平台|基础关wp

解题过程多次用到burpsuite的repeater功能涉及到一些http请求头右键选择sendtoRepeater就可以在Repeater中更改请求包内容,然后点击GO获取相应响应包的数据1.key在哪里?右键查看源码即可2.再加密一次你就得到key啦~加密后的数据再加密一次就得到了密文,这正是rot-13加密的加密方法。3.猜猜这是经过了多少次加密用python写解密脚本importbase6
0nc3·2020-06-26 17:50

学习密码学的一些记录

但是我本人更偏向于安全攻防这一块,还是要学习一下的;哈希算法(散列函数)1.MD5加密这个听的比较多,其实用的也比较多,MD5是属于(哈希算法||散列函数的一种)
jedrek·2020-06-26 14:18

Android安全攻防战,反编译与混淆技术完全解析(下)

转载请注明出处:http://blog.csdn.net/guolin_blog/article/details/50451259在上一篇文章当中,我们学习了Android程序反编译方面的知识,包括反编译代码、反编译资源、以及重新打包等内容。通过这些内容我们也能看出来,其实我们的程序并没有那么的安全。可能资源被反编译影响还不是很大,重新打包又由于有签名的保护导致很难被盗版,但代码被反编译就有可能会
guolin·2020-06-26 12:36

Android安全攻防战,反编译与混淆技术完全解析(上)

转载请注明出处:http://blog.csdn.net/guolin_blog/article/details/49738023之前一直有犹豫过要不要写这篇文章,毕竟去反编译人家的程序并不是什么值得骄傲的事情。不过单纯从技术角度上来讲,掌握反编译功能确实是一项非常有用的技能,可能平常不太会用得到,但是一旦真的需要用到的了,而你却不会的话,那就非常头疼了。另外既然别人可以反编译程序,我们当然有理由
guolin·2020-06-26 12:36

爱奇艺业务安全风控体系的建设实践

作者|Frank:Frank,爱奇艺云平台科学家,目前是爱奇艺安全云负责人,日常主导安全云在业务安全,云安全,数据安全,安全攻防,移动安全等各领域的技术创新和项目实施,特别是将大数据风控引入到了爱奇艺业务安全保障中
sea的博客·2020-06-26 11:00

知识星球|"内网安全攻防星球"活动开幕...

知识星球618活动已经正式上线,我们"内网安全攻防"星球也参与了此次活动!根据接到的通知,此次活动主打定金膨胀+豪礼回馈玩法。
shuteer_xu·2020-06-26 10:40

最后20个名额---《Python安全攻防:渗透测试实战指南》星球福利

《Python安全攻防:渗透测试实战指南》马上就要出版,配套星球现在可以安排起来了!封面非最终封面!照惯例,针对这本书我们推出了配套知识星球!内容见最下方目录!
shuteer_xu·2020-06-26 10:08

《Web安全攻防》配套视频 之 JS检测绕过攻击

《Web安全攻防-渗透测试实战指南》配套视频第十八期本期视频内容对应图书第4章Web安全原理剖析4.8文件上传4.8.1-2文件上传漏洞原理4.8.3-4JS检测绕过攻击书籍介绍《Web安全攻防-渗透测试实战指南
shuteer_xu·2020-06-26 10:07

安全攻防

**web安全攻防篇-1-信息收集**whois查询方法1.web接口查询https://whois.aliyun.comhttps://www.whois365.com/cnhttps://whois.chinaz.comhttps
道为骨·2020-06-26 03:09

sqlmap 注入参数

Web安全攻防学习笔记一、Sqlmap强制设置1.1、Sqlmap强制设置DBMS默认情况下sqlmap会自动识别探测目标web应用程序的后端数据库管理系统(DBMS),sqlmap支持的DBMS种类。
白菜执笔人·2020-06-26 02:05

《Web安全攻防 渗透测试实战指南》学习笔记(6) - XSS

如有侵权,请联系删除前言xss,跨站脚本攻击。脚本,大家应该知道啥意思了,就是前端的东西。对于大部分网站而言,就是指的是js脚本吧。所以,xss的利用,就是将一段js代码,插入到原本的js代码中。然后利用js神奇的特性,就可以获取到访问修改后站点的用户的一些信息,还可以进行一些操作。对于我这个连脚本小子都不算的人来所,这些将全部由beef来完成。因为昨天刚刚学习完sql注入漏洞,所以这个思维上多多
c0ny100·2020-06-26 01:09

《Web安全攻防 渗透测试实战指南》学习笔记(7) - 其余漏洞总结

如有侵权,请联系删除爆破没有做次数验证,所以可以不停的试。想是Sqli-labs那些前边的那些关都是可以做爆破的实验环境的主要方法就是使用Burp中的In开头那个模块,然后导入事先准备好的字典,点击开始爆破就得了。然后看那个Length来判断,哪个是正确的。另外,还有一款工具不得不提:hydra只是这款工具我并没有怎么用过就是了。后期会专门针对爆破进行学习,那时候会仔细研究一下的。既然现在我并不了
c0ny100·2020-06-26 01:09

《Web安全攻防 渗透测试实战指南》学习笔记(9) - MSF的渗透过程

如有侵权,请联系删除MSF基础简介MSF:Metasploit框架(MetasploitFramework,MSF)是一个开源工具。MSF向后端模块提供多种接口,比如控制台、Web、CLI等等,我们一般都是用的控制台接口。因为控制台可以访问和使用所有的模块插件。使用下面介绍怎么使用它。按理说,现在除了Kali没有其他系统可以用了。本来确实可以在其他Linux系统上安装,但是现在MSF官网被墙,好像
c0ny100·2020-06-26 01:09

《Web安全攻防 渗透测试实战指南》学习笔记(3) -Nmap

如有侵权,请联系删除INSTALLlinux下安装sudoaptinstallnmapwindows网上有教程基本介绍nmap功能有一些,但是身为小白的我,能用到的也就是端口扫描,对目标主机的端口扫描如果是扫Web应用,有一款漏扫工具叫AWVS,这个后边再介绍吧基本使用nmap[相关参数][ip/域名]具体例子,我们扫一下千峰教育的官网nmap-T4-A-vqfedu.com其中:-A:表示以进攻
c0ny100·2020-06-26 01:38

《Web安全攻防 渗透测试实战指南》学习笔记(2) - Sqlmap

如有侵权,请联系删除Linux下安装sudoaptinstallsqlmap基本使用sqlmap-u"www.baidu.com"注意给网址加上双引号(虽然只传一个参数的时候可以不加)导入HTTP请求头sqlmap-r~/Documents/1.txt1.使用-r参数来导入文本。该文本为一份完整的HTTP请求头,可以使用HTTPHeaderLive这款浏览器插件或者使用BurpSuite来获取2.
c0ny100·2020-06-26 01:38

CTF菜鸟X计划安恒CTF helloworld apk

ctf网络安全攻防之安卓apk,helloworld,安卓反编译题这道题在比赛中因为缺少工具而没有做出来,在比赛完之后我猜想这是一道apk反编译题于是我便下了一个apk反编译工具,在春雪工具里面(春雪工具
夜不冷寂寞殇·2020-06-25 18:35

学习资源分享

各大类型学习资料,建了一个网盘群方便大家学习,这是资源目录:目录:/学习资料[25.6M]┣━━.NET[0B]┃┗━━.NETCore开发实战[更多资料关注微信公众号:武培轩]┣━━安全[0B]┃┗━━安全攻防技能
cola??·2020-06-25 13:55

网络安全学习目录

参考资料:《Web安全攻防:渗透测试实战指南》《WireShark网络安全分析》《SQL注入由简入精》《内网安全攻防》1.信息收集1-信息收集—DNS域名信息2-信息收集—Googlehacking2.
songly_·2020-06-25 10:30

iOS开发见闻-第2期

【外文地址】3.iOS安全攻防:从x
火鱼·2020-06-24 09:04

《计算机科学与应用》【RCCSE中文核心】基于IoT+AI的“物–物”安全攻防的研究与实践

本文已发表于https://www.hanspub.org/journal/PaperInformation.aspx?paperID=34529详细内容和完整版PDF请到网站中下载–ResearchandPracticeof“Device-Device”SecurityAttackandDefenseBasedonIoT+AIFengLiu1,2*,YuchuanYang1,YuyingLu1,
乐扣老师lekkoliu·2020-06-24 09:56

贪婪心理学:阿里月饼事件里你所不知道的内在因素

阿里云安全团队的道哥在他的朋友圈如是说:“叶是我心目中‘前’阿里巴巴全集团(含蚂蚁)在安全攻防技术上的第一人,我的左膀右臂,未来注定是要升p10的人。从某
三米河·2020-06-23 22:23

网络信息安全攻防学习平台 注入关第七

今天我们来学习一下盲注.小明的女朋友现在已经成了女黑阔,而小明还在每个月拿几k的收入,怎么养活女黑阔...........so:不要偷懒哦!lab1.xseclab.com/sqli7_b95cf5af3a5fbeca02564bffc63e92e5/blind.php这道题,用sqlmap跑是最不用动脑子的。。盲注跑出来,但是要花很长时间的,可是纯手工真能把我们累死SO这里只先介绍下怎么判断时间
沙雕带你蒿羊毛·2020-06-23 15:03

[红日安全]Web安全Day3 - CSRF实战攻防

大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。
hongrisec·2020-06-23 15:06

[红日安全]Web安全Day12 - 会话安全实战攻防

大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。
hongrisec·2020-06-23 15:36

[红日安全]Web安全Day4 - SSRF实战攻防

大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。
hongrisec·2020-06-23 15:36

[红日安全]Web安全Day7 - 越权/非授权访问实战攻防

大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。
hongrisec·2020-06-23 15:36

iOS安全攻防(一):Hack必备的命令与工具

未经允许,禁止转载你的应用正在被其他对手反向工程、跟踪和操作?你的应用是否依旧裸奔毫不防御?郑重声明一下,懂得如何攻击才会懂得如何防御,一切都是为了之后的防御作准备。废话少说,进入正题。今天总结一下为hack而做的准备工作。常用的命令和工具ps——显示进程状态,CPU使用率,内存使用情况等sysctl——检查设定Kernel配置netstat——显示网络连接,路由表,接口状态等route——路由修
Visitor·2020-06-22 23:27

上传渗透----中国菜刀和kali的使用(安全攻防

本文章仅供实验参考1.实验环境目标靶机:OWASP_Broken_Web_Apps_VM_1.2下载地址我们还需要中国菜刀和kali这两个工具,把所有的杀毒软件关了,不然中国菜刀可能会被杀毒软件和谐。实验原理1、文件上传(FileUpload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时
yjssjm·2020-06-22 16:40

命令执行(WEB安全攻防读书笔记)

0xx1命令执行介绍应用程序有时需要调用一些执行系统命令的函数(如PHP中,使用system,exec,shell_exec,passthru等),当这些函数黑客可控时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击漏洞利用在测试URL后输入系统命令(如|dir–返回目录结构,ip=127.0.0.1–ping127.0.0.1)Windows系统支持的管道符|--直接执行后边的语句
小英雄宋人头·2020-06-22 10:03
上一页 9 10 11 12 13 14 15 16 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他