漏洞测试

文件包含漏洞(3),日志利用, 图片木马利用

再利用文件包含漏洞执行日志中的代码段.apachelog:/opt/lampp/logs/access_lognginxlog:/usr/local/nginx/logs/access.log首先可以利用文件包含漏洞测试日志文件的内容是否可以显示
DeltaTime·2023-10-27 08:37

【XSS漏洞-05】XSS-labs靶场通关大挑战

实验目的:熟悉XSS漏洞测试的过程;判断是否过滤与过滤规则;练习XSS语句构造与绕过方法;一边练习一边结合
像风一样9·2023-10-22 19:59

36 WEB漏洞-逻辑越权之验证码与Token及接口

目录验证码安全token安全接口安全问题未授权访问涉及案例验证码识别插件及工具操作演示-实例验证码绕过本地及远程验证-本地及实例Token客户端回显绕过登录爆破演示-本地Callback自定义返回调用安全-漏洞测试
山兔1·2023-10-21 14:52

XSS的漏洞测试案例

1、获取cookie的原理和实验演示《get型xss》第一步:搭建xss的后台打开pikachuxss的后台管理工具(在pikachu漏洞平台底部---->管理工具----->xss后台)根据提示进行安装,修改配置文件,即数据库的账户和密码接下来,根据提示进行安装/初始化,然后进行登录后台登录成功现在xss后台没有任何数据第二步:先将pikachu中cookie.php改为自己本地的ip,重定向到
要努力。。·2023-10-19 11:50

SQL手工注入漏洞测试(Access数据库)

Access数据库的SQL手工注入,用联合语句显示可显字段时,必须要“from表名”。1、判断注入点。/new_list.asp?id=1and1=1访问成功;/new_list.asp?id=2and1=2访问失败。2、判断列的情况。orderbyx,x=1、2、3、4时成功,5、6时失败。/new_list.asp?id=2orderby4;3、测试关键表名,因为Access用联合语句显示可显
Maker张·2023-10-18 06:39

【环境搭建】Docker上搭建DVWA漏洞环境

DVWA3总结4参考文献0前言本节内容旨在提供一种比较简单可行的安装方法,但是由于docker上的镜像文件质量难以保障,有些是多年以前的没有更新,如果需要安装官方最新版本的请参考《WAMP环境+DVWA漏洞测试平台搭建过程
Fighting_hawk·2023-10-16 03:05

【网络安全--- 面试题】网络安全常问150道面试题(可能有点小错误)

,真实IP,开放端口,使用的中间件指纹信息---##有无cdn加速,dns解析记录,是不是cms系统,ssl证书信息whois信息---##备案信息,邮箱,手机号,姓名子域名,旁站,C段敏感目录扫描等漏洞测试
网络安全_Aini·2023-10-14 22:31

SQL注入漏洞测试(布尔盲注)python

打开题目后,显然使用orderby判断列数select1,2,3,4发现错误没有回显(有回显的参照我之前发的)这时候就开始爆破数据库了(我使用手动+py脚本,sqlmap更方便这里练习就使用py)当判断数据库长度为1时页面错误看源码不断实验发现数据库名长度为10当然也可以用python脚本直接跑出来,观察正确的页面里面有“关于平台停机…”importrequestsfrombs4importBea
weixin_45445398·2023-10-14 16:36

Web渗透漏洞靶场收集

漏洞测试
哈喽沃德er·2023-10-10 18:54

XSS跨站脚本攻击之 pikachu 靶场练习

XSS漏洞测试形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
Goodric·2023-10-10 18:22

flask SSTI漏洞

文章目录第一章Flaskssti漏洞的代码(长什么样子)1.1代码1.2正常测试1.3利用漏洞测试1.3.1获取字典中的密钥1.3.2获取整个person字典中的内容1.3.3获取服务器端敏感的配置参数
jiet07·2023-10-03 05:31

Vulnhub实战-prime1

前言VulnHub是一个面向信息安全爱好者和专业人士的虚拟机(VM)漏洞测试平台。它提供了一系列特制的漏洞测试虚拟机镜像,供用户通过攻击和漏洞利用的练习来提升自己的安全技能。
工程款啥时候才能下来·2023-09-17 06:37

Vulnhub实战-prime1

前言VulnHub是一个面向信息安全爱好者和专业人士的虚拟机(VM)漏洞测试平台。它提供了一系列特制的漏洞测试虚拟机镜像,供用户通过攻击和漏洞利用的练习来提升自己的安全技能。
奇迹行者-·2023-09-17 06:23

Vulnhub实战-prime1

前言VulnHub是一个面向信息安全爱好者和专业人士的虚拟机(VM)漏洞测试平台。它提供了一系列特制的漏洞测试虚拟机镜像,供用户通过攻击和漏洞利用的练习来提升自己的安全技能。
GG bond-·2023-09-17 05:17

Vulnhub实战-prime1

前言VulnHub是一个面向信息安全爱好者和专业人士的虚拟机(VM)漏洞测试平台。它提供了一系列特制的漏洞测试虚拟机镜像,供用户通过攻击和漏洞利用的练习来提升自己的安全技能。
先行者3·2023-09-17 05:12

某ERP系统存在RCE漏洞

文章目录前言声明一、产品简介二、影响资产三、资产发现四、漏洞测试五、修复方案前言企望制造纸箱行业ERP系统存在RCE漏洞,攻击者可通过特定Payload注入获取敏感信息。
李火火的安全圈·2023-09-15 23:33

网络安全-源代码安全审计

源代码安全审计主要参照《信息安全技术-代码安全审计规范》和《C/C++语言源代码漏洞测试规范,对软件源代码进行审计,发现源代码中可能存在的安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等
网络安全刚子·2023-09-10 17:25

一文入门Web网站安全测试

文章目录Web网页安全风险评估1.数据泄漏2.恶意软件传播3.身份伪装和欺诈测试Web网页的安全性常见方法和工具漏洞扫描器手动漏洞测试漏洞利用工具Web应用程序防火墙(WAF)测试渗透测试代码审查社会工程学测试推荐阅读
Par@ish·2023-09-06 12:18

服务端请求伪造(SSRF)

危害2.SSRF攻防2.1SSRF利用2.1.1文件访问2.1.2端口扫描2.1.3读取本地文件2.1.4内网应用指纹识别2.1.5攻击内网Web应用2.2SSRF经典案例2.2.1访问页面2.2.2漏洞测试
来日可期x·2023-09-05 07:57

测试靶场bWAPP安装部署

bWAPP(BuggyWebApplication)是一个用于学习和练习网络应用安全的漏洞测试平台。
东方不败之鸭梨的测试笔记·2023-09-04 15:23

墨者学院-SQL手工注入漏洞测试(MySQL数据库-字符型)

靶场地址:https://www.mozhe.cn/bug/detail/dE1HSW5yYThxUHcyUTZab2pTcmpGUT09bW96aGUmozhe既然靶场已经提示是字符型注入,那就不测试是什么型注入了查询列表有几列,并且第几列是回显在页面的id=tingjigonggao'and1=2unionselect1,2,3,4%23,有4列,2,3列回显在页面查看数据库名及表名id=ti
nohands_noob·2023-09-03 09:32

【SQL注入】记一次绕过WTS-WAF的SQL注入

目录前言寻找目标漏洞测试WAF拦截WAF绕过测字段数测回显位信息收集数据库名数据库版本获取表获取表的字段获取账户密码总结前言文章仅限于技术交流,所有第三方信息均已打码。
拉马努金的小石头·2023-08-16 21:28

【墨者学院】:SQL注入漏洞测试(delete注入)

0x00.题目描述:背景介绍最近有人匿名给工程师留言说,感谢他的辛勤付出,把墨者学院建设的这么好,不料激发了工程师对留言板的一波操作,轻松查到了这个人的身份。实训目标1、熟练掌握留言板的工作原理;2、善用burp抓取数据包;解题方向抓取数据包加以分析。0x01.解题思路:靶场环境:主界面查看删除链接为:http://219.153.49.228:45611/sqli_del.php?id=65经过
阳光灿烂的日子阿·2023-08-06 15:12

Linux搭建pikachu靶场(以centos为例)

Linux搭建pikachu靶场Pikachu是一个使用PHP语言编写的Web漏洞测试靶场。
dumplings。·2023-08-04 10:20

安全测试学习day two

上课内容总结安全测试基于渗透测试的方法或基于模糊测试的方法完成安全软件的测试过程1.安全测试概述安全测试概念反映真实的攻击情形从攻击者角度出发,发现漏洞并修复,保证软件不被恶意攻击者破坏分为安全功能测试和安全漏洞测试两个方面安全功能测试
照旧的你好·2023-07-30 07:32

接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack

接口漏洞测试:WebService类-Wsdl网站资产探针:目录扫描
xiaoheizi安全·2023-07-24 16:55

几个好玩的web漏洞测试平台

支持环境lnmp,环境搭建phpstudy漏洞测试平台下载皮卡丘:https://github.com/zhuifengshaonianhanlu/pikachuDoraBox:https://github.com
kepler404·2023-07-21 09:37

API漏洞检测研究

xrayAPI漏洞检测_青霄的博客-CSDN博客Swaggerui接口自动化批量漏洞测试_swgeer-ui漏洞_山山而川'的博客-CSDN博客什么是API安全测试以及它是如何工作的?
青霄·2023-07-20 18:46

Android日志实战——Coverity代码检查日志分析(十六)

检查内容质量问题安全漏洞测试问题Java运行时缺陷二、常见问题——高风险(High)1、Checkofthread-sharedfieldevadeslockacqui
c小旭·2023-07-18 13:53

常见高危端口及其利用方式

21ftp22SSH23Telnet25SMTP53DNS69TFTP80web80-89web110POP3135RPC139NETBIOS143IMAP161SNMP389LDAP443SSL心脏滴血以及一些web漏洞测试
sam.li·2023-06-23 19:26

Docker与Docker-compose安装Vulfocus Vulhub漏洞环境

:docker-compose:二者的区别:二者的联系:二者的总结:二.Centos7安装Docker三.Centos7安装docker-compose四.docker-compose搭建Vulhub漏洞测试靶场五
小孔吃不胖·2023-06-19 06:06

Web安全:bWAPP 靶场搭建.(集成了各种常见漏洞和最新漏洞的开源Web应用程序)

Web安全:bWAPP靶场搭建.bWAPP是一个集成了了常见漏洞的web应用程序,目的是作为漏洞测试的演练场,帮助安全爱好者,开发人员和学生发现和防止Web漏洞。
半个西瓜.·2023-06-16 22:01

BurpSuite2023测试越权漏洞

BurpSuite2023测试越权漏洞BurpSuite安装创建项目-打开内置浏览器越权漏洞测试问题处理BurpSuite安装官网下载社区版并安装,下载地址:链接:https://portswigger.net
叫我林接接就好了·2023-06-12 04:49

安全测试网站-DWVA下载安装启动

参考:DVWA下载、安装、使用(漏洞测试环境搭建)教程-付杰博客(fujieace.com)DVWA全称为DamnVulnerableWebApplication,意为存在糟糕漏洞的web应用。
东方不败之鸭梨的测试笔记·2023-06-10 09:25

Redis未授权访问漏洞复现与利用

目录一、漏洞简介及危害1.1什么是redis未授权访问1.2漏洞的危害:1.3漏洞影响:二、漏洞复现:三、未授权访问漏洞测试3.1利用redis写webshell3.2利用"公私钥"认证获取root权限
白帽小衫·2023-06-07 17:17

Web安全:文件包含漏洞测试(防止 黑客利用此漏洞.)

Web安全:文件包含漏洞测试.文件包含的漏洞是程序员在开发网站的时候,为了方便自己开发构架,使用了一些包含的函数(比如:php开发语言,include(),include_once(),require_once
半个西瓜.·2023-06-07 14:28

墨者学院 - SQL手工注入漏洞测试(MySQL数据库)

查询是否存在漏洞and1=1页面正常and1=2页面报错。说明存在sql注入漏洞orderby4通过orderby查询到注入界面返回的数据列数为4and1=2unionselect1,2,3,4第2列是标题,3是内容and1=2unionselect1,version(),database(),4得到当前正在使用数据库和操作系统and1=2unionselect1,table_name,2,3fr
ADLAB·2023-04-21 12:07

Web安全 SQL注入漏洞测试.(可以 防止恶意用户利用漏洞)

Web安全SQL注入漏洞测试SQL注入就是有些恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤,从而直接被SQL
半个西瓜.·2023-04-20 20:32

Pocsuite3框架POC/EXP编写练习:Flask(Jinja2) 服务端模板注入漏洞

Pocsuite3是由知道创宇404实验室打造的一款基于GPLv2许可证开源的远程漏洞测试框架。
plexming·2023-04-19 20:02

墨者学院-SQL过滤字符后手工注入漏洞测试(第2题)

靶场地址:https://www.mozhe.cn/bug/detail/RkxnbzB6WWpWWjBuTDEyamZXNmJiQT09bW96aGUmozhe注入点在http://219.153.49.228:46268/new_list.php?id=1首先确认是数字型注入还是字符型注入,id=1'页面返回500错误id=1#页面回显正常,可以确定是数字型注入接着确认题目过滤了什么id=1a
nohands_noob·2023-04-17 20:30

实战感受SQL注入(手工注入)

实战感受SQL注入墨者学院手工SQL注入点击WEB安全,点击SQL注入我们使用墨者学院的SQL手工注入漏洞测试(MySQL数据库),点击启动靶场环境访问下方给的IP和端口,或点击[点击访问]点击关于平台停机维护跳转页面后
Lamar Carpenter·2023-04-16 15:11

pikachu-越权漏洞

实战测试pikachu靶场——越权漏洞测试平行越权:A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为平行越权操作。
黑桃鱼·2023-04-09 18:04

墨者学院04 SQL手工注入漏洞测试(Sql Server数据库)

问题描述题目链接:SQL手工注入漏洞测试(SqlServer数据库)(●'◡'●)叒见面了,熟悉的页面,熟悉的用户登录框,熟悉的平台停机维护通知滚动链接~这些就是已知的条件啦~解决方案:参考1:11-Web
梅头脑_·2023-04-09 06:46

墨者学院05 SQL手工注入漏洞测试(MySQL数据库-字符型)

问题描述题目链接:SQL手工注入漏洞测试(MySQL数据库-字符型)(●'◡'●)叕见面了,熟悉的页面,熟悉的用户登录框,熟悉的平台停机维护通知滚动链接~这些就是已知的条件啦~解决方案:参考1:11-Web
梅头脑_·2023-04-09 06:46

墨者学院-SQL注入漏洞测试(布尔盲注)

拿到题目之后打开网站发现如下界面本以为是输入框存在注入,结果发现并不是,而是下面一段小字,发现存在id=1的字样手工注入:前置知识!!!1.information_schema.schemata该表存储了数据库所有数据**库**名其中schema_name为数据库的库名存在此表中2.information_schema.tables该表在存储了数据库中的所有**表**名table_schema为数
Kvein Fisher·2023-04-09 06:11

墨者学院——SQL注入漏洞测试(布尔盲注)

启动靶场,熟悉的界面点击登录下方的维护通知地址栏醒目的id出现了,尝试一下id=1’and1=1,空白页面直接开kali,上sqlmap输入sqlmap-uhttp://219.153.49.228:45239/new_list.php?id=1--current-db得到数据库名称:stormgroup输入sqlmap-uhttp://219.153.49.228:47334/new_list.
今天也要好好学习!·2023-04-09 06:08

墨者学院——SQL注入漏洞测试(时间盲注)

点击链接进入题目点进网页,在url后加?type=1',发现没有回显上传?type=1andsleep(10),发现网页有明显延迟,说明sleep函数被执行,该网页存在时间注入通过构造payload去获得数据库长度,x为猜想的数据库长度。http://124.70.71.251:43431/flag.php?type=1%20and%20if(length(database())=x,sleep(
韦韦韦www·2023-04-09 06:36

使用docker和docker-compose搭建Vulhub漏洞测试靶场

使用docker和docker-compose搭建Vulhub漏洞测试靶场1、安装Docker和docker-composedocker安装步骤docker-compose安装步骤2、下载vulhub安装完成
学海无涯、学无止境·2023-04-08 13:55

漏扫工具Appscan使用简介

和服务器登录管理:对于需要登陆的页面(这种方法不允许有验证码)在记录方式选择下,建议采用:录制会记录输入的脚本若url地址搭配了https协议,那么需要安装证书出现下面的窗口就显示成功:测试策略可以自定义扫描精准漏洞测试优化即选择测试的速度最
夏祺.·2023-04-02 18:24

【墨者学院】:SQL注入漏洞测试(delete注入)

0x00.题目描述:背景介绍安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Apache+PHP+MySQL,PHP代码对客户端提交的参数做了些许过滤。来感受过滤过后的SQL手工注入吧。实训目标1、掌握SQL注入原理;2、了解手工注入的方法;3、了解MySQL的数据结构;4、了解SQL注入常用注释字符;5、了解字符串的URL加解密;解题方向手工进行SQL注入测试,获取管理密
阳光灿烂的日子阿·2023-04-01 08:16
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他