----Web安全

TryHackMe-NahamStore(常见web漏洞 大杂烩)

NahamStore漏洞赏金web安全NahamStore的创建是为了测试您在NahamSec的“漏洞赏金狩猎和Web应用程序黑客入门”Udemy课程中学到的知识。
Sugobet·2023-01-24 18:53

Web 安全漏洞 SSRF 简介及解决方案

说到Web安全,我们前端可能接触较多的是XSS和CSRF。工作原因,在所负责的内部服务中遭遇了SSRF的困扰,在此记录一下学习过程及解决方案。
万天峰·2023-01-23 07:46

Fuzz工具使用详解

Fuzz工具使用详解(1)wfuzz描述:wfuzz是一款Python开发的Web安全模糊测试工具。简而言之就是wfuzz可以用在做请求参数参数类的模糊测试,也可以用来做Web目录扫描等操作。
order by·2023-01-22 00:03

Web安全之深度学习实战》笔记:第三章 循环神经网络

本章主要讲解RNN的基本使用方法。一、基于lstm对影评进行分类这是基于imdb.pkl数据集对影评分类,使用的是lstm算法。代码如下所示from__future__importdivision,print_function,absolute_importimporttflearnfromtflearn.data_utilsimportto_categorical,pad_sequencesfr
mooyuan天天·2023-01-20 01:34

mysql将%3c%3e转义_Web安全Day2 - XSS跨站实战攻防(上)

原标题:Web安全Day2-XSS跨站实战攻防(上)本文由红日安全成员:Aixic编写,首发于先知社区红日专栏。如有不当,还望斧正。大家好,我们是红日安全-Web安全攻防小组。
接受现实发条熊·2023-01-18 11:15

[ 解决报错篇 ] VMware 报错 -- VMware Workstation 无法连接到虚拟机请确保您有权运行该程序访问该程序使用的所有目录以及访问所有临时文件目录

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-18 11:15

[ 问题解决篇 ] 设置windows密码策略并且更改用户密码 -- 解决windwos密码无法设置为1的问题

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-18 11:44

[ 环境搭建篇 ] 安装python环境并配置环境变量(附python3.10.3安装包)

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-18 11:44

[ 攻防演练演示篇 ] 利用谷歌 0day 漏洞上线靶机

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-18 11:11

web安全之机器学习入门——2.机器学习概述

目录0前置知识什么是机器学习机器学习的算法机器学习首先要解决的两个问题一些基本概念数据集介绍1正文数据提取数字型文本型数据读取0前置知识什么是机器学习通过简单示例来理解什么是机器学习机器学习的算法属于监督式学习的算法有:回归模型,决策树,随机森林,K近邻算法,逻辑回归等算法属于无监督式学习的算法有:关联规则,K-means聚类算法等属于强化学习的算法有:马尔可夫决策过程机器学习的算法——用最通俗的
R芮R·2023-01-16 22:13

Web安全之机器学习入门》笔记:第十六章 16.6 生成常用密码

人们在设置密码时候,总是倾向于好记的密码,于是常见的密码有一定的关联性。我们可以尝试让RNN学习常见的密码,摸索其中的规律,然后自动生成密码。本小节示例RNN生成常用密码。1、数据集使用WVS自带的密码字典作为训练集。约定密码长度不超过10,逐行读取密码文件中的每行密码,并将其序列化。path="../data/wvs-pass.txt"maxlen=10file_lines=open(path,
mooyuan天天·2023-01-16 22:12

Web安全之机器学习入门》笔记:第十三章 13.4 有向图识别僵尸网络

本小节通过有向图识别僵尸网络来示例网络安全领域的应用。一、僵尸网络上图为黑产控制僵尸网络发起攻击的示意图,通常来说黑产会对整个僵尸网络的僵尸主机发布相同的控制指令,所以通过统计一段时间内攻击源的ip地址以及被攻击者域名之间的关联关系,可以初步判断出哪些IP地址可能被同一黑产团体控制。本小节中,僵尸网络的有向图处理如下所示:二、数据集文件位置:filename="../data/etl-ip-dom
mooyuan天天·2023-01-16 22:12

Web安全之机器学习入门》笔记:第十一章 11.3 Apriori算法挖掘XSS相关参数

通常情况下Apriori算法主要用于推荐系统,在网络安全中如何使用呢?本小节通过挖掘XSS相关参数,来我家潜在的关联关系。1.数据集本小节通过xssed网站的样例以及WAF拦截日志提取的XSS攻击日志作为样本,位于data/xss-2000.txt中,具体如下机器是没有办法将其识别为日志的,需要逐行读取数据,并将其向量化。比较简单的做法就是按照一定的分隔符切割为单词向量,代码如下所示myDat=[
mooyuan天天·2023-01-16 22:12

Web安全之机器学习入门》笔记:第十二章 12.3 隐式马尔可夫算法识别XSS攻击(一)

本小节通过使用隐式马尔可夫来识别XSS攻击,通过xss白名训练马尔可夫模型,然后用马尔可夫模型测试xss攻击黑名单,这样。单示例隐式马尔可夫在网络安全中的使用。1、参数建模对于XSS攻击,首先我们需要对数据进行泛化,比如:[a-zA-Z]泛化为A[0-9]泛化为N[-_]泛化为C其他字符泛化为T根据如上原则admin123泛化为AAAAANNN,root泛化为AAAA。如下图所示,url参数wjq
mooyuan天天·2023-01-16 22:12

Web安全之机器学习入门》笔记:第九章 9.3 支持向量机算法SVM 检测XSS攻击

本小节是通过网上搜集的数据使用svm算法识别XSS攻击。一、支持向量机支持向量机SVM(supportvectormachines)是一种二分类模型,它的目的是寻找一个超平面来对样本进行分割,分割的原则是间隔最大化,最终转化为一个凸二次规划问题来求解。二、数据集构造黑白样本,黑样本20w,白样本20wetl('../data/xss-200000.txt',x,1)etl('../data/goo
mooyuan天天·2023-01-16 22:12

Web安全之机器学习入门》笔记:第十二章 12.4 隐式马尔可夫算法识别XSS攻击(二)

本小节示例另一种马尔可夫识别XSS攻击的方法。一、原理本小节通过将机器当做小白,训练它学会XSS攻击语法,然后再让机器从访问日志中寻找符合攻击语法的疑似攻击日志。整个系统运行流程如下所示:二、词袋/词集模型词集模型:单词构成的集合,集合中自然每个元素都只有一个,即词集中每个单词都只有一个词袋模型:如果一个单词在文档中出现不止一次,统计出现的次数通常是先生存词汇表,再生成词集。训练样本是1000条典
mooyuan天天·2023-01-16 22:11

Web安全之机器学习入门》笔记:第五章 5.2 决策树K近邻

这是一个系列《Web安全之机器学习入门》的笔记集合,包含书中第五章-第十七章的内容。
mooyuan天天·2023-01-16 22:11

web安全】——文件上传漏洞

作者名:白昼安全主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
白昼安全·2023-01-16 12:39

【Ctfer训练计划】——(十一)

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
白昼安全·2023-01-16 12:09

三面:研二成功拿下阿里云网络安全工程师

简历重点WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获
kali_Ma·2023-01-16 12:37

WEB安全攻防入门教程(非常详细),从零基础入门到精通,看完这一篇就够了

1信息收集阶段1.1域名信息开场白写给入门者,域名查询可以快速了解一家网站的运营者是谁。如果查询不到经营者,说明是钓鱼网站或非法网站,尤其是从事金融交易,需要特别注意1.1.1whois查询推荐指数:★★1.1.2天眼查天眼查-商业安全工具_企业信息查询_公司查询_工商查询_企业信用信息系统推荐指数:★★★★★1.1.3站长工具站长工具-站长之家推荐指数:★★★★★1.2子域名信息1.2.1Sub
程序员_大白·2023-01-16 12:05

WEB安全-SQL注入

注意:文章仅供大家参考学习文章目录前言一、SQL注入是什么?二、造成SQL注入的原因三、SQL注入原理四、修复建议五、靶场演示六、关键分析代码前言注意:文章仅供大家参考网络安全中的SQL注入漏洞一、SQL注入是什么?注意:个人理解了解SQL注入之前,我们首先需要知道数据库的概念,数据库是企业或者程序开发人员用于存储数据的地方,数据库有相应的语句,语法,可以让我们对存储在数据库中的内容进行增删改查,
Destiny,635·2023-01-15 11:42

web安全-sql注入漏洞

一.sql注入漏洞原理1注入条件:参数可控:从前端传给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。2判断是否存在注入漏洞:在参数后面加上单引号,比如:http://xxx/abc.php?id=1'如果页面返回错误,则存在Sql注入。原因是无论字符型还是整型都会因为单引号个数不匹配而报错。(如果未报错,则有可能页面对单引号做了过滤,这时需使用判断
Pattie.·2023-01-15 11:42

web安全】SQL注入漏洞2--绕过与利用

引言上一篇我们讲了寻找SQL漏洞的思路,主要有黑白盒两种方式。这篇文章我再研究一下绕过SQL注入的绕过与利用。我们都知道,不同的开发者,对于安全认识程度也可能不一样,有的开发者可能没有对输入做过滤直接拼接,也有的开发者可能做了一定的过滤但是不全面,这些问题隐患都有可能造成安全风险。为了学习SQL注入的绕过,我们将会练习SQL注入的靶场并选择几个典型的例子进行分享。靶场搭建主要参考文档:https:
Coder_preston·2023-01-15 11:11

[ vulhub漏洞复现篇 ] Django SQL注入漏洞复现 CVE-2021-35042

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-15 11:41

Web安全测试常见漏洞-SQL注入和命令注入

SQL注入原理:程序在执行查询时,底层调用的是数据库查询语句,如我们要查一个叫Bob的人,需要前端输入Bob,再组成值select*fromuser_tablewherename='Bob'若此时我们前端输入aaa'or1=1or'1'='1这时候后端的查询语句就变成了select*fromuser_tablewherename='aaa'or1=1or'1'='1'相信熟悉SQL语句的友友们已经
有被蠢哭到·2023-01-15 11:40

web安全】SQL注入漏洞1--寻找SQL注入

引言我们在做web应用的时候,经常会根据前台的请求,到后台查询数据。由于前台用户输入的请求是不可信任的,我们在代码里,如果直接将前台传过来的数据拼接到sql语句中,那么用户就可以构造非法的SQL语句并执行。系统存在SQL注入漏洞会产生较为严重的危害,攻击者可以获取系统数据甚至于拿到系统的权限。这篇文章,我们关注如何寻找mysql注入漏洞,也就是先学习如何找到注入点,不进一步研究渗透利用方法。一般来
Coder_preston·2023-01-15 11:39

[ 隧道技术 ] cpolar 工具详解之将内网端口映射到公网

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-01-14 13:19

0基础能不能转行做网络安全?网络安全人才发展路线

网络安全是一个很大的概念,包含的东西也很多,比如web安全,系统安全,二进制安全,无线安全、数据安全、移动安全、工控安全、渗透测试,ctf,售前售后,运维安全,样本分析
网络安全研究所·2023-01-14 06:47

sqlmap之绕过安全狗

关注我,让我带你由简入难实战各个WAF,今天先来看看web安全渗透必会的安全狗WAF,你会绕吗?
zxl2605·2023-01-14 06:49

response body加密如何破解方法详解

最后正文最近听了一个web安全的分享,其中提到了响应加密,我去看了下是怎么实现的,于是就有了这篇文章。见过账号密码加密,没见过响应体加密吧?
·2023-01-14 04:34

网址十大风险 mysql_ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

每隔几年,OWASP就会发布十大最重要的web安全风险列表。当然,这并不意味
its斯弟文·2023-01-13 19:32

【node.js】跨域的解决办法(CORS方法、同源策列的理解)03

同源策略的处理下图为本文的核心目录一、跨域介绍二、同源策略三、跨域解决办法一、跨域介绍浏览器使用ajax时,如果请求了的接口地址和当前打开的页面地址不同源称之为跨域二、同源策略MDN官方文档传送门:浏览器的同源策略-Web
初映CY的前说·2023-01-12 07:05

Day03 基础入门-搭建安全扩展

Day03基础入门-搭建安全扩展声明:本文章仅仅是个人学习笔记,仅供交流学习使用,请勿用于非法用途——小迪web安全渗透培训视频笔记文章目录Day03基础入门-搭建安全扩展内容演示案例案例1:基于中间件的简要识别案例
风羽墨客·2023-01-10 20:01

三、 BurpSuit详细安装教程(含有免费安装包)

1.BurpSuit的应用场景:Http服务端接口测试http客户端和http服务端通信测试Cookie统计分析http服务器web安全扫描web网页爬取web常用编码和解
心猿意马归·2023-01-08 14:43

初学Web安全之sql注入(二)——报错注入

知识补充:前一篇提到了如何判断字符型与数字型以及字符型的闭合,不过在做sqli-labs靶场时,出现了id=(‘1’),甚至还有id=((‘1’))这样双括号包裹的,在这里笔者也是没想到,不过正常来说,开发人员是不会使用这种的,所以前篇提到的单引号双引号判断法,还是有用的。其实页面有回显,判断出数字型以及字符型还有闭合,还是相对简单的,下面拿靶场举列上图,我们将报错信息拿出来分析一下:''1''L
槑mei·2023-01-08 09:00

【疑难攻关】——floor报错注入

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2023-01-08 09:29

【Ctfer训练计划】——(八)

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2023-01-08 09:59

MySQL注入过滤updatxml_WEB安全之SQL注入(7)——updatexml报错注入和extractvalue报错注入...

大家好,我是阿里斯,一名IT行业小白。今天分享的内容是报错注入剩余部分,主要内容会以extractvalue()和updatexml()报错误为中心展开阐述。函数介绍extractvalue(参数1,参数2)参数1:xml文档字符串参数2:xpath格式字符串该函数主要用来查找并解析xml文档updatexml(参数1,参数2,参数3)参数1:xml文档字符串参数2:xpath格式字符串参数3:替
weixin_39576127·2023-01-08 09:59

【Ctfer训练计划】——(九)

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2023-01-08 09:28

web安全】——报错注入

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2023-01-08 09:27

CSDN技术峰会2022年上海站

csdn技术峰会:AI算力池让我联想到挖矿dataworks创始人讲解多云时代是未来的发展趋势帅哥讲解web安全防御,通过算法进行拦截分析,通过大数据分析这本书是参加活动送的:
无名之辈之码谷娃·2023-01-07 21:53

零基础Web安全学习笔记

内容索引:1.序章1.1.Web技术演化1.2.网络攻防技术演化1.3.网络安全观1.4.法律与法规2.计算机网络与协议2.1.网络基础2.2.UDP协议2.3.TCP协议2.4.DHCP协议2.5.路由算法2.6.域名系统2.7.HTTP协议簇2.8.邮件协议族2.9.SSL/TLS2.10.IPsec2.11.Wi-Fi3.信息收集3.1.网络入口/信息3.2.域名信息3.3.端口信息3.4.
网络安全进阶·2023-01-04 10:32

应急响应-WEB分析php&javaweb&自动化工具

#必备知识点:1.熟悉常见的WEB安全攻击技术2.熟悉相关日志启用及存储查看等3.熟悉日志中记录数据分类及分析等#准备工作:1.收集目标服务器各类信息2.部署相关分析软件及平台等3.整理相关安全渗透工具指纹库
深白色耳机·2023-01-03 10:26

Web安全】Ysoserial 简单利用

Ysoserial简单利用1.Java反序列化特征2.Ysoserial流量特征3.Ysoserial攻击流程3.1找到序列化接口3.2漏洞利用3.2.1常用命令3.2.2使用案例4.Ysoserial攻击原理问题参考1.Java反序列化特征在日志中,特征通常表现为请求格式Json、xml、soap、二进制关键字:rmi、jndi、响应对应命令执行结果信息2.Ysoserial流量特征3.Ysos
Buffedon·2023-01-03 10:55

JWT详解

web安全验证主流。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature。JWT结
我要学习java和python·2023-01-02 11:04

Burp Suite API学习思路

i春秋-核心白帽:yanzmBurpSuite是每个web安全学习者都接触过的集成平台,包含集合了多种渗透测试组件,除了强大的功能外,官方还提供API支持使用者开发插件,满足你独特的需求。
张悠悠66·2023-01-02 02:06

【网络安全】——web渗透的前缀知识

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2022-12-30 19:53

【Ctfer训练计划】——(七)

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2022-12-30 19:53

【Ctfer训练计划】——(六)

Demo不是emo主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀成为你的悲哀专研方向:web
Demo不是emo·2022-12-30 19:23
上一页 28 29 30 31 32 33 34 35 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他