ｗｅｂ渗透测试第5页

渗透测试之信息收集（上篇）

强调安全不简单强调防御，而应该从攻击者的角度，思考安全，所以web渗透测试犹为重要，即“未知攻，焉之防”。既然是攻击者的角度思考防御，那么攻击的手段是多种多样的。

碧血照丹心·2020-07-29 07:45

web渗透测试之信息收集

目录信息收集一.域名信息搜集1.域名介绍2.whois介绍3.whois作用4.whois查询方式二.子域名信息搜集1.子域名介绍2.子域名搜集的作用2.子域名搜集方法三.web站点信息搜集1.CMS指纹识别2.网站敏感目录和文件四.端口信息搜集1.端口介绍2.端口信息搜集方法3.常见端口攻击五.敏感信息搜集1.敏感信息搜集的必要性2.搜索的基本方式六.真实IP地址搜集1.CDN介绍2.判断CDN

黑是黑客的黑·2020-07-29 05:01

web渗透测试中WAF绕过讲解（一）

---恢复内容开始---0x01前言许多Hacker总是生存在与WAF的不断抗争之中的，厂商不断过滤，Hacker不断的骚操作绕过。WAF与Hacker总是在斗智斗勇，经过长时间的发展，近年越来越多的Hacker投入到与WAF进行对抗，相对应的绕过方法也被大量的暴露出来，笔者今日就先进行个小小的科普先来说说WAF是什么。0x02什么是WAF？简单的来说它是一个Web应用程序防火墙他的功能是执行一系

ZDH5362·2020-07-29 04:46

渗透测试职业规划-三省吾身

1.熟悉web渗透测试步骤、方法、流程，具备独立开展渗透工作的能力2.熟悉主流Web框架，熟悉代码

white-night·2020-07-28 11:33

·web渗透测试-从入门到放弃-03暴力破解验证码绕过

不安全的验证码客户端绕过我们先输入一个正确的验证码，然后回到burpsuite看有无抓包发现，burpsuite没有抓到包，然后，输入正确的验证码，发现burpsuite抓到了数据包它这里提交了账号、码和验证码。我们再来看看页面的源码，看看它这个验证码验证是不是在前端做的，在页面右键，查看页面源代码。拖动到最下面900多行的时候，发现有一段js的代码。可以看到，所有验证码的逻辑是通过js代码生成的

精神小火子·2020-07-28 03:41

【Kali Web渗透测试】手动漏洞挖掘—SQL注入猜测数据库列名、表名、库名、字段内容

1.列名、表名、库名'anduserisnull--+'andtable.userisnull--+'anddb.table.userisnull--+用burp截获httpGET请求，发送到repeater，变量加$，load字典（字典可从kali中获取（find/-name*column*.txt））'and(selectcount(*)fromtable)>0--+//猜数据库里其它的表2.

Dalvin_jean·2020-07-27 21:27

Kali Linux Web渗透测试手册(第二版) - 1.2 - Firefox浏览器下安装一些常用的插件

翻译来自：掣雷小组成员信息：**thr0cyte，****Gr33k，****花花，****小丑，**R1ght0us，7089bAt，第一章内容大纲一．配置KALILinux和渗透测试环境在这一章，我们将覆盖以下内容：1.1在Windows和Linux上安装VirtualBox1.1创建一个KaliLinux虚拟机1.1更新和升级KaliLinux1.2为渗透测试配置web浏览器(即在Firef

weixin_34192732·2020-07-15 05:04

Kali Linux Web渗透测试手册(第二版) - 1.1 - 渗透测试环境搭建

翻译来自：掣雷小组成员信息：thr0cyte，博客链接：http://thr0cyte.xyz/Gr33k，博客链接：http://www.zhanghuijun.top/花花，博客链接：http://to0ls.cn/小丑，博客链接：https://www.tcp.red/R1ght0us，博客链接：http://www.r1ght0us.xyz/7089bAt，只有此公众号，一定要关注哦，慢慢

weixin_30622181·2020-07-15 03:38

Kali Linux Web渗透测试手册(第二版) - 1.1 - Firefox浏览器下安装一些常用的插件

一．配置KALILinux和渗透测试环境在这一章，我们将覆盖以下内容：l在Windows和Linux上安装VirtualBoxl创建一个KaliLinux虚拟机l更新和升级KaliLinuxl为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件)l创建一个属于自己的靶机l配置网络使虚拟机正常通信l了解靶机上易受攻击的web应用程序介绍在第一章中，我们将介绍如何准备我们的Kali

weixin_30300225·2020-07-15 02:59

web应用程序安全与风险

web应用程序安全与风险目录web应用程序安全与风险web渗透测试概述web应用程序发展历程web应用优点web应用程序安全（缺点）漏洞举例不完善的身份验证措施不完善的访问控制措施SQL注入跨站点脚本XSS

温柔小薛·2020-07-13 20:51

这里有一份最新的课程分享清单，收集好久了，请查收

（课程下载地址见文末）实战Web渗透测试视频课程北大青鸟Linux云计算运维开发视频Linux应用系统开发2018达内JAVA课程WEB前端攻城狮Pythonflask构建微信小程序订餐系统Go语言实战抽奖系统马哥

qiuyant·2020-07-13 09:25

Web渗透测试从入门到放弃

渗透测试概念梳理渗透测试是什么？渗透测试并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法，简称----走黑客的路，让黑客无路可走。渗透测试的分类有哪些？渗透测试基本分黑盒测试和白盒测试黑盒测试也称外部测试是指对基础设施不知情的情况下进行测试。黑盒测试比较费时费力，同时要求渗透测试者具备较高的技术能力白盒测试也称

DragonSkyAF·2020-07-13 00:28

BurpSuite抓包改包上传

http://sec.chinabyte.com/464/12671464.shtmlBurpsuite是由portswigger开发的一套用于Web渗透测试的集成套件，它包含了spider,scanner

myths_0·2020-07-11 13:32

web渗透测试检测列表

YeMaQingYu·2020-07-11 00:36

浅谈跨站脚本攻击与防御

xss漏洞是web渗透测试中最常见而又使用最灵活的一个漏洞，近期在拜读了《白帽子讲web安全》、《Web实战篇》、《XSS跨站脚本攻击剖析与防御》等几部佳作后，决定整理关于Xss漏洞的一些知识，并以本篇作为记录

Alex8917·2020-07-09 22:03

WEB渗透测试中回显的一些技巧

原文首发：看雪论坛[原创]WEB渗透测试中回显的一些技巧-『WEB安全』-看雪安全论坛在很多场景中，WEB是渗透测试的一个相对容易的入口。

看雪学院·2020-07-08 05:52

kali linux metasploit的web渗透测试（二）-内网火狐浏览器渗透拿权限

这一章，介绍如何利用metasploit进行火狐浏览器的渗透拿权限，需要在内网环境下需要利用的技术是：可以使用ettercap（dns欺骗）或者mitmf（插入一段html地址），这两项技术就不再这里介绍与操作了，如何操作，请自行百度！利用的模块有：exploit/multi/browser/firefox_webidl_injection，exploit/firefox/local/exec_s

limit_anonymous·2020-07-05 18:27

常见Web源码泄露总结

git源码泄漏.DS_Store文件泄漏网站备份压缩文件SVN导致文件泄露WEB-INF/web.xml泄露CVS泄漏Bazaar/bzr工具推荐参考背景本文主要是记录一下常见的源码泄漏问题，这些经常在web

「已注销」·2020-07-05 03:03

dnsenum 实战用途

软件介绍dnsenum是一款非常强大的域名信息收集工具，该开发者是一个精通web渗透测试的安全人员，并对DNS信息收集有着非常丰富的经验。

diechusi8056·2020-07-04 14:11

挖洞经验 | 看我如何发现比特币赌博网站漏洞并收获$12000赏金

Web渗透测试中比较难的就是测试那些交互较少的应用了，当你尝试了各种漏洞利用方法而无效之后，很可能就会放弃了。但有时候，这种花费时间的投入和研究，对白帽自身的技术提高来说，还是非常有用的。

qq_27446553·2020-07-02 17:22

Web渗透测试攻防渗透测试指南-笔记-2020.03.26

渗透测试拿站流程信息收集（基础服务端口）需要收集的东西有，端口以及对应的服务，服务器类型与版本，数据库库与版本，对应版本的漏洞。漏洞扫描工具：OpenVAS、AWVS漏洞利用第一章信息收集1.1收集域名信息kali工具：whois在线工具：https://whois.aizhan.comtool.chinaz.comhttps://www.virustotal.com/gui/home/uploa

糖水煮蛤蟆·2020-07-02 07:03

web渗透测试常规套路

注：文章首发自合天智汇微信公众平台0x01：本篇文章旨在给小白白们做一次有关web渗透的科普，其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用，但是其中涉及的思想永远不会过时，其中的工具如菜刀等更是经典之作，即使发布已经10余年认识现在渗透测试网站的不可或缺的利器之一。另：面向学生的CTF，出题者考虑到学生的实操能力，设计的web题，或者拿服务器找flag的大题大部分用本文介绍的

Neil-Yale·2020-06-30 05:10

WEB渗透测试流程

1信息收集1.1主机发现netdiscover-i网卡-r网段nmap-sn网段1.2端口扫描masscan--rate=速度--ports=0-65535ip地址1.3版本操作系统端口识别nmap-T4（速度）-sV（版本）-O（操作系统）-p（端口逗号隔开）80,22ip地址1.4网页目录扫描dirburl（可以用dpkg-Ldirb查看字典，更换字典）也可以用御剑，dirbuster图形化界

安全小菜鸟·2020-06-29 10:14

Web渗透测试之逻辑漏洞挖掘

1、逻辑漏洞特点：简单、复杂1.1、利用工具简单：数据包抓取工具（Burpsuit、fiddler等）1.2、思路复杂：核心：绕过真实用户身份或正常业务流程达到预期目的。1.2.1、用户身份：认证分为：用户身份特性认证、本地认证、服务端认证1.2.2、业务流程：对业务的熟悉程度（各种类型的网站、业务模式）例如：电信网厅业务清单2、逻辑漏洞类型：支付漏洞密码找回漏洞任意用户登录漏洞认证缺陷（弱认证、

weixin_39157582·2020-06-28 22:39

Web渗透测试学习笔记

文章目录第一章信息收集1.1域名信息1.1.1whois查询1.1.2备案信息查询1.2敏感信息1.3子域名信息1.3.1子域名检测工具1.3.2搜索引擎枚举1.3.3第三方聚合应用枚举1.3.4证书透明公开日志枚举1.4端口信息1.5指纹信息1.6真实IP1.7敏感目录文件1.8社会工程学第二章环境搭建2.1在Linux中安装LANMP2.2在Windows中安装wamp2.3搭建DVWA漏洞平

S40D1·2020-06-28 20:57

BurpSuite 代理设置的小技巧

转载之【安全客】https://www.anquanke.com/post/id/85925在Web渗透测试过程中，BurpSuite是不可或缺的神器之一。

weixin_34244102·2020-06-28 14:24

Web渗透测试入门教程

我为学生们安排的集训内容是Web渗透测试入门，这部分内容与比赛关联性其实并不是太大，但却有助于激发学生兴趣，引导他们入门。

weixin_34206899·2020-06-28 13:57

Kali Linux Web 渗透测试视频教程—第十一课-扫描、sql注入、上传绕过

KaliLinuxWeb渗透测试视频教程—第十一课-扫描、sql注入、上传绕过文/玄魂原文链接：http://www.xuanhun521.com/Blog/2014/10/25/kali-linux-web

weixin_33875564·2020-06-28 07:13

图片马的制作以及菜刀的使用

那么这个时候我们通常会利用一些其他的思路，比如说iis6中的解析漏洞，把一句话放到图片里面，写成1.asp;.jpg1.asp;.jpg的格式上传上去，这样上传的时候文件会被检测为是图片，上传成功之后会将这个文件当asp来解析图片马是WEB

weixin_33774308·2020-06-28 05:45

使用XAMPP和DVWA在Windows7上搭建渗透测试环境

本文将介绍使用XAMPP和DVWA搭建Web渗透测试环境。操作环境：Windows7旗舰版操作前的准备：1.下载XAMPP官网下载链接：

weixin_30729609·2020-06-28 00:55

【Kali Web渗透测试】手动漏洞挖掘——复杂语句查询&读写文件和下载数据库

1.复杂语句查询'unionselect//闭合前面的分号，联合查询'unionselecttable_name,table_schemafrominformation_schema.tables--+//--注释符+空格'unionselectuser,passwordfromdvwa.users--+//查询user、password列内容'unionselectnull,concat(use

u014627245·2020-06-27 09:18

web安全书籍____价值很高的！！

Dafydd.Stuttard.第2版中文高清版Web安全深度剖析[黑客攻防技术宝典Web实战篇].Dafydd.Stuttard.第2版中文高清版《Metasploit渗透测试魔鬼训练营》诸葛建伟含标签Web

thj_blog·2020-06-26 19:29

web渗透测试实战过程（详细）

看过freebuf上的两篇渗透实战文章，总结一下全过程，传送门如下：全程带阻：记一次授权网络攻防演练（上）全程带阻：记一次授权网络攻防演练（下）测试过程全部过程导图：渗透过程问题处理思路：登录功能的审查点很多，比如账号是否可枚举、密码是否可暴破，但前提是没有验证码。密码找回功能很容易出现逻辑错误，经验来看，至少可从七个方面攻击密码找回功能：a.重置凭证接收端可篡改b.重置凭证泄漏c.重置凭证未校验

KingCarzy·2020-06-25 14:13

DVWA 实验报告：3、跨站请求伪造 CSRF

文章更新于：2020-05-14注1：环境搭建参见：搭建DVWAWeb渗透测试靶场注2：实验报告2参见：DVWA实验报告：2、命令注入注3：本文部分参考：新手指南：DVWA-1.9全级别教程之CSRFDVWA

我不是高材生·2020-06-25 01:12

Wirte-up：攻防世界Web解题过程新手区07-12

文章更新于：2020-04-16注1：web环境搭建参见：Windows&linux使用集成环境搭建web服务器注2：DVWA靶场搭建参见：搭建DVWAWeb渗透测试靶场注3：sqli注入靶场搭建参见：

我不是高材生·2020-06-25 01:12

DVWA 实验报告：2、命令注入

文章更新于：2020-04-11注：如何搭建环境参见：搭建DVWAWeb渗透测试靶场DVWA之命令注入漏洞一、介绍1.1、官方说明1.2、总结二、命令注入实践2.1、安全级别：LOW>>查看源码>>尝试注入

我不是高材生·2020-06-25 01:11

Burp suite 暴力破解shell密码详细教程

http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.htmlBurpsuite是由portswigger开发的一套用于Web渗透测试的集成套件

kendyhj9999·2020-06-24 00:11

【百度、腾讯、阿里等】+【JAVA开发实习生】+春招面试经验

基本情况介绍：性别：lz**萌**妹子一枚学校：本科双非、硕士985实力：只是女生比，中等偏上一丢丢面试公司：百度、腾讯、阿里、今日头条、美团、京东、去哪儿、CVTE、神州数码、知道创宇、intel面试职位：web

BigVolcano·2020-06-22 16:31

web渗透测试中WAF绕过讲解（二）基于HTTP协议绕过

0x01前言在讲本课的内容之前我们先来了解互联网中的HTTP是什么？超文本传输协议（HTTP，HyperTextTransferProtocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人TedNelson构思了一种通过计算机处理文本信息的方法，并称之为超文本（hypertext）,这

ZDH5362·2020-06-22 09:33

小白web之自己搭建一个web漏洞练习平台，适合各水平用户使用

如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习，那么Pik

Troy??·2020-06-22 07:37

Windows下基于phpStudy的DVWA web渗透测试漏洞平台搭建

搭建一个web渗透测试平台，对于学web渗透的初学者来说是一个不错的选择。（笔者也是一个初学者）我看了网上前辈的环境搭建教程，都是基于XAMPP搭建，发现没有基于phpStudy。

体贴的古琴·2020-06-21 09:48

ubuntu 搭建 DVWA web渗透测试系统

DVWA搭建1，系统环境2，DVWA依赖安装3，安装DVWA4，创建数据库5，将本地测试环境放到公网上1，系统环境$cat/etc/issueUbuntu18.04.2LTS\n\l$uname-aLinuxR4.15.0-46-generic#49-UbuntuSMPWedFeb609:33:07UTC2019x86_64x86_64x86_64GNU/Linux2，DVWA依赖安装查看PHP是

mixboot·2020-06-21 08:20

【安全】Web渗透测试（全流程）

1信息收集1.1域名、IP、端口域名信息查询：信息可用于后续渗透IP信息查询：确认域名对应IP，确认IP是否真实，确认通信是否正常端口信息查询：NMap扫描，确认开放端口如果不会用Nmap，看这里：NMAP基础教程（功能介绍，安装，使用）发现：一共开放两个端口，80为web访问端口，3389为windows远程登陆端口，嘿嘿嘿，试一下发现：是WindowsServer2003系统，OK，到此为止。

qqchaozai·2020-06-21 06:09

DVWA 实验报告：1、暴力破解

文章更新于：2020-04-14注1：环境搭建参见：搭建DVWAWeb渗透测试靶场注2：实验报告2参见：DVWA实验报告：2、命令注入DVWA之暴力破解漏洞一、前言二、安全级别：LOW2.1、查看源码2.2

我不是高材生·2020-06-21 04:13

Wirte-up：攻防世界Web解题过程新手区01-06

注1：web环境搭建参见：Windows&linux使用集成环境搭建web服务器注2：DVWA靶场搭建参见：搭建DVWAWeb渗透测试靶场注3：sqli注入靶场搭建参见：搭建sqliSQL注入练习靶场文章目录一

我不是高材生·2020-06-21 04:12

Win7下DVWA渗透测试平台的搭建与安装

打算开始学习web渗透测试，开始搭建DVWA。1.安装环境DVWA是基于PHP&MySQL开发的，所以先安装语言环境，可以直接通过XAMPP来搭建。

ldqsmile·2020-06-21 02:37

2017总结+2018年度计划

在这期间也和小伙伴一起做过小网站，自己写过爬虫，找过漏洞，刷过票，对web相关知识也是了解的比较宽泛(http协议，抓包)，相关的漏洞也基本会利用（sql注入、xss、csrf），同时也学会了使用几款web

灰色世界的阿信·2020-06-21 01:33

搭建DVWA Web渗透测试靶场

文章更新于：2020-04-13按照惯例，需要的文件附上链接放在文首。文件名：DVWA-1.9-2020.zip文件大小：1.3M文件说明：这个是新版v1.9（其实是v1.10开发版），下面那个文件是1.0版下载地址：https://ww.lanzous.com/ibbnj7gSHA256:A9435F97E92EED93D3374FC7BD389F8F3C34CD849C536E19CBF335

我不是高材生·2020-06-20 21:35

渗透入门

渗透介绍渗透测试（penetrationtest），一门用来模拟黑客的攻击方法，对系统进行安全评估的测试技术使用的工具1、渗透工具（现成的）2、自己开发的程序（脚本）Web渗透测试渗透测试的目标对象是一台

Pam/sh·2020-06-20 19:00

web渗透测试笔记

web渗透测试笔记一、渗透测试方法论渗透测试是实施安全评估的具体手段，方法论是在制定、实施安全评估的方案时，需要遵循的规则、惯例和过程，人们在网络，应用和系统或者三者结合的情况时，不断的摸索各种务实的理论和成熟的方法

网络小白之Linux学习·2020-05-11 12:38

推荐频道

ｗｅｂ渗透测试