渗透测试安全性测试安全漏洞

隧道穿透:端口转发、socket隧道代理

隧道代理socks常见利用场景ProxifierSocksCap64Proxychains端口转发本篇会和搭建介绍一下端口转发和socket隧道代理的概念和简单演示lcx工具lcx工具是一个红队人员在内网渗透测试中最典型的端口转发工具
未知百分百·2024-02-09 14:05

反射型XSS漏洞

实验项目反射型XSS实验综合性实验2020年10月22日一、实验综述1.实验目的及要求(1)跨站脚本(XSS)XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中
Zkaisen·2024-02-09 12:03

Django中的SQL注入攻击防御策略

SQL注入是一种利用应用程序对用户输入的不当处理而导致的安全漏洞。攻击者可以通过恶意构造的输入来执行恶意的SQL语句,从而访问、修改或删除数据库中的数据。为了保护您
爱编程的鱼·2024-02-09 10:36

渗透测试利器【Cobalt Strike】CDN隐匿

CobaltStrike概述CobaltStrike是一款漂亮国RedTeam开发的渗透测试神器,常被业界人称为CS。成为了渗透测试中不可缺少的利器。
H_00c8·2024-02-09 05:42

漏洞扫描学习记录

(3)判断或进一步检测系统是否存在安全漏洞。2.漏洞扫描的两种策略(1)被动式策略。被动式策略就是基于主机,对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查,又称为系统安全扫描。
Chenun_·2024-02-09 04:24

maven java 如何打纯源码zip包

一、背景打纯源码包给第三方进行安全漏洞扫描二、maven插件项目中加入下面的maven插件maven-source-plugin2.4true*.propertiesfreemarker/*.ftlmapper
程序男·2024-02-09 03:29

渗透安全及渗透测试流程

网络安全的定义什么是网络安全?1、国际化标准组织(ISO)引用ISO-74982文献中对安全的定义:安全就是最大程度地减少数据和资源被攻击的可能性。2、《计算机信息安全系统保护条例》中的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概述:“计算机信息系统的安全保护,应当保障计算机及其相关的配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计
香芋320·2024-02-08 23:56

什么是网络渗透,应当如何防护?

什么是网络渗透网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为"渗透测试(PenetrationTest)"。
德迅云安全小李·2024-02-08 23:25

[VulnHub靶机渗透] dpwwn: 1

目录前言一、信息收集1、主机探测2、端口扫描3、漏洞扫描nmap扫描nikto扫描二、渗透测试1、目
hacker-routing·2024-02-08 23:55

爬虫时为什么需要代理?

但是请注意,使用代理也可能会带来一些风险,例如代理服务器可能会记录你的访问数据,或者代理服务器本身可能存在安全漏洞。因此,在选择代理时,请务必选择可信的、安全的代理服务提供商。
q56731523·2024-02-08 19:30

十大渗透测试工具:为安全保驾护航

渗透测试的时代无疑已经发生了变化。多年前,当这一攻击性安全专业开始兴起时,人们开始从手动技术向依赖各种工具转变,其中大多数工具是开源的。
知白守黑V·2024-02-08 17:06

DC-6靶机渗透测试详细教程

DC-6DC-6下载:https://download.vulnhub.com/dc/DC-6.zip.torrent攻击者kali:192.168.1.11受害者DC-6:192.168.1.10通过arp-scan-l扫描到DC-6的IP地址,如果不确定的可以在虚拟机的网络设置查看DC-6的物理地址使用namp扫描DC-6nmap-sS-A-p-192.168.1.10只有22和80端口访问一
啊醒·2024-02-08 15:13

绕过安全狗

DVWA是一款集成的渗透测试演练环境,当刚刚入门并且找不到合适的靶机时,可以使用DVWA,它的搭建非常简便。如图8-1所示为DVWA的下载页面。
Lyx-0607·2024-02-08 13:57

从多个基础CMS中学习代码审计

代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。说人话就是找它这些代码中可能存在问题的地方,然后看它是否真的存在漏洞。
网安Dokii·2024-02-08 13:09

确保开发成果不被恶意篡改的最佳方式是什么?

为了确保应用程序或内容在没有安全漏洞或经过任何修改的情况下安全抵达终端用户,如何保证代码或文件的安全性,不被他人任意修改呢?
TrustAsia·2024-02-08 13:07

渗透测试----手把手教你SQL手工注入--(联合查询,报错注入)

拓展:进行报错注入所需要的数据库前置知识---MYSQL数据库结构初始化安装MySQL(版本需要在5.0以上),会默认创建4个系统数据库:其中我们需要特别关注information_schema这个库在利用"报错函数"进行报错注入时,我们的主要目标就是上图中出现的表数据库常用系统函数数据库常见函数system_user()系统用户名user()用户名current_user()当前用户名sessi
洛一方·2024-02-08 11:43

SQL 注入 - http头注入之UA头注入探测

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客一、http头注入介绍HTTP头注入是一种网络安全攻击手段,它利用了Web应用程序对HTTP头的处理不当或缺乏充分的验证和过滤
狗蛋的博客之旅·2024-02-08 11:41

渗透测试常用术语总结

渗透测试常用术语总结题记人的一生会遇到两个人,一个惊艳了时光,一个温柔了岁月。——苏剧《经年》正文我是会把我遇到很晦涩或者难以理解的词语分享到这的。
沫风港·2024-02-08 09:45

windowsserver 2016 PostgreSQL9.6.3-2升级解决其安全漏洞问题

PostgreSQL身份验证绕过漏洞(CVE-2017-7546)PostgreSQL输入验证错误漏洞(CVE-2019-10211)PostgreSQLadminpack扩展安全漏洞(CVE-2018
diaya·2024-02-08 08:54

JSON劫持攻击[汇总]

title:JSON劫持攻击[汇总]copyright:truetop:0date:2018-08-1409:58:52tags:JSON劫持categories:渗透测试permalink:password
浪子燕青啦啦啦·2024-02-08 07:03

探索Spring Validation:优雅实现后端数据验证的艺术

在现代Web应用开发中,数据验证是一项至关重要的任务,确保应用程序接收到的用户输入符合预期规范,不仅能够提高系统的健壮性,也能有效防止潜在的安全漏洞
南 阳·2024-02-08 06:46

论文阅读-Examining Zero-Shot Vulnerability Repair with Large Language Models

人类开发人员编写的代码可能存在网络安全漏洞,新兴的智能代码补全工具是否能帮助修复这些漏洞呢?
Che_Che_·2024-02-08 06:14

Rebuild企业管理系统 SSRF漏洞复现(CVE-2024-1021)

0x02漏洞概述Rebuild3.5.5版本存在安全漏洞,该漏洞源于组件HTTPRequestHandler的readRawText函数的url参数存在服务器端请求伪造漏洞。0x03
OidBoy_G·2024-02-08 05:33

83 CTF夺旗-Python考点SSTI&反序列化&字符串

Python-支付逻辑&JWT&反序列化CTF夺旗-Python-Flask&jinja2&SSTl模版注入CTF夺旗-Python-格式化字符串漏洞&读取对象涉及资源:我们这篇文章主要讲的是CTF在web渗透测试方向的
山兔1·2024-02-08 05:11

登录功能渗透测试

登录功能渗透测试登录功能的渗透测试是一种安全评估方法,用于检测Web应用程序中的登录系统是否存在安全漏洞
软件测试很重要·2024-02-08 03:32

Vulnhub-BEELZEBUB: 1

beelzebub/Beelzebub.zip二、主机发现arp-scan扫描一下局域网靶机三、信息收集nmap-sV-A-T4-p-192.168.56.10422端口ssh服务和80端口web服务是打开的四、渗透测试直接访问一下
Re1_zf·2024-02-07 22:20

java中那些让你傻傻分不清楚的小细节

除了常规的bug和安全漏洞之外,还有几处方法用法错误,引起了我极大的兴趣。我为什么会对这几个方法这么感兴趣呢?因为它们极具迷惑性,可能会让我们傻傻分不清楚。1.replace会替换所有字符?
Java李太白·2024-02-07 16:24

软件渗透测试的流程和注意事项简析,CMA/CNAS软件测评中心推荐

软件渗透测试,作为一项重要的安全评估方法,是识别和验证软件系统中潜在漏洞和安全风险的过程。它通过模拟攻击者的方式,针对系统的各个方面进行测试和评估,以发现可能被黑客利用的弱点,并提供相应的修复建议。
卓码测评·2024-02-07 15:37

STEADT ME day3

SENTENCE九十五overbreachesintestsecurity关于安全漏洞sentence九十六as1.是,作为2.好像,如3.因为;当随着连词asyouoldenough4.虽然5.正如6
不骄不躁艰苦奋斗·2024-02-07 13:56

9.4 SQL注入

具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL
yungege·2024-02-07 12:41

用户需求分析-日志审计系统

1.2背景:随着企业信息化程度不断加深,同时也暴露出越来越多的安全漏洞、安全问题,在安全事件发生后,日志是事后追溯的有效参照依据。
Black8·2024-02-07 12:02

GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题

EclipseJettyHTTP请求走私漏洞(CVE-2017-7657)EclipseJettyHTTP请求走私漏洞(CVE-2017-7658)Jetty信息泄露漏洞(CVE-2017-9735)EclipseJetty安全漏洞
diaya·2024-02-07 12:29

haozip命令行操作,lcx反弹步骤

在某个渗透测试任务中,当拿到webshell后,我们关注到平台有haozip的压缩程式。
msnmessage·2024-02-07 11:31

渗透测试-信息打点与架构分析细节梳理

渗透测试-信息打点与架构分析细节梳理为了保障信息安全,我在正文中会去除除靶场环境的其他任何可能的敏感信息什么是网站架构网站架构包括网站的方方面面,下面是常见的内容:前端(Front-End):使用React
半只野指针·2024-02-07 07:51

绕过去除 union 和 select 的 SQL 注入

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客一、基础知识MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用、数据仓库、嵌入式应用等场景
狗蛋的博客之旅·2024-02-07 05:33

rust做嵌入式开发_Rust在嵌入式物联网设计中的应用

Rust编程语言的丰富类型系统和所有权模型可确保内存安全性和线程安全性,并在编译时消除了许多类型的错误和安全漏洞
一只爪子·2024-02-07 05:36

看完这篇 教你玩转渗透测试靶机Vulnhub——DerpNStink:1

Vulnhub靶机DerpNStink:1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:漏洞发现:③:漏洞利用:④:反弹
落寞的魚丶·2024-02-07 04:19

渗透测试实战-CS工具使用

以下内容摘自《Metasploit渗透测试指南》作为一名渗透测试者,我们可以击败安全防御机制,但这是仅仅是我们工作的一部分。
大象只为你·2024-02-07 01:29

[VulnHub靶机渗透] MHZ_CXF: C1F

目录前言一、信息收集1、主机探测2、端口扫描3、漏洞扫描二、渗透测试1、web渗透2、ssh远程登录
hacker-routing·2024-02-06 22:30

绕过过滤空格的 SQL 注入

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客一、基础知识介绍在深入了解SQL注入等数据库安全话题之前,掌握一些MySQL数据库的基础知识是很重要的。
狗蛋的博客之旅·2024-02-06 22:34

关闭Ubuntu 默认开启的自动安全更新

如果软件包有安全漏洞,Ubuntu发布更新包后会自动安装更新并重启。这种重启是不可预知的。(尤其是服务器使用上)例如:Mysql会被自动重启,如果是集群可能会导致无法启动。
Songxwn·2024-02-06 21:31

java项目请求url存在特殊字符 400错误

java项目请求url特殊字符400错误1现象请求路径带特殊字符,就会400错误,这就泄露了服务器版本和报错信息,无疑是敏感信息泄露,实属安全漏洞
背儿头·2024-02-06 20:59

1月威胁态势 | 0day占比83%!两大勒索家族“均分天下”

近日,亚信安全正式发布《亚信安全2024年1月威胁态势报告》(以下简称“报告”)报告显示,1月份新增安全漏洞1511个,涉及0day漏洞占83%;监测发现当前较活跃的勒索病毒家族是Wacatac和Nemucod
亚信安全官方账号·2024-02-06 18:01

SSRF(服务端请求伪造)漏洞

SSRF定义:SSRF(Server-SideRequestForgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,本质是信息泄露漏洞。
carefree798·2024-02-06 17:17

浅谈“服务端请求伪造攻击SSRF”

www.cnblogs.com/csnd/p/11807726.html)SSRF(Server-SideRequestForgery,服务器端请求伪造)漏洞,是一种由攻击者构造请求,由服务器端发起请求的安全漏洞
红烧兔纸·2024-02-06 17:46

6.SSRF(服务端请求伪造)

6.1什么是ssrfSSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞6.2原理SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能
qq_45926195·2024-02-06 17:44

SSRF服务器端请求伪造

一、SSRF服务器端请求伪造SSRF(Server-SideRequestForgery)服务器端请求伪造,一种由攻击者构造请求,由服务器端发起请求的安全漏洞,本质上是属于信息泄露漏洞。
偷偷学习被我发现·2024-02-06 17:43

渗透测试练习题解析 1(CTF web)

题目均来自BUUCTF1、[RoarCTF2019]EasyCalc1进入靶场看一下页面大致分析完毕,没什么关键点,查看一下页面代码提示有waf在num参数前加一个空格来绕过:为什么要num参数前加一个空格,是为了绕过waf,在请求传递到waf层的时候,waf会检测num变量,当num前面加一个空格时,目标变量会找不到。waf中(空格num!=num)。这样就可以绕过waf检测。而在php中,会把
安全不再安全·2024-02-06 17:20

渗透测试培训学习笔记汇总1(小迪安全)

第一天域名概念:域名(英语:DomainName),又称网域,是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。[1]由于IP地址不方便记忆并且不能显示地址组织的名称和性质,人们设计出了域名,并通过域名系统(DNS,DomainNameSystem)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接
安全不再安全·2024-02-06 17:50

渗透测试练习题解析 2(CTF web)

题目均来自BUUCTF1、[极客大挑战2019]Upload1考点:文件上传漏洞进入靶场一看就知道是考察文件上传漏洞,看源码有没有敏感信息没有什么敏感信息,那我们试着按要求传一张图片看看结果,但是传了png、jpg类型的图片后发现上传不了,显示均如下图所示,只有GIF能上传成功,猜测应该是对文件头进行了判断,只允许文件头为GIF89a(GIF的文件头)的文件上传尝试写一句话木马,前面加上GIF的文
安全不再安全·2024-02-06 17:49
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他