E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
WEB安全渗透测试
第三章web应用
渗透测试
一、SQL注入1、什么是SQL注入攻击?攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。2、攻击原理:攻击者通过Web应用程序利用SQL语句或字符串将非法的数抓插入到服务器端数据库中,获取数据库的管理用户权限,然后将数据库管理用户权限提升至操作系统管理用户权限,控制服务器操作系统获取重要信息及机密文件。3、注入攻击一般步骤:寻找S
码农短颈鹿
·
2023-11-22 23:34
渗透测试
服务器
运维
系统安全
web网页
渗透测试
实验
一、实验原理网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透中通常被称为”
渗透测试
。
echo盖世汤圆
·
2023-11-22 23:04
安全
网络安全
服务器
运维
安全
web
渗透测试
之代码审计
基本信息:原理:代码安全测试是从安全的角度对代码进行测试评估结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件前将业务安全降到最低方式:人工+工具双重审核人工审核:既能解决内部问题也能解决外部问题,最有效率的解决方案,理论上人工审核最有效,但是效率不高,所以会采用自动化分析工具辅助人工的方式来提供效率静态分析工具:通过一组全面规则、
赤赤三
·
2023-11-22 23:03
web安全
web网页
渗透测试
web网页
渗透测试
流程信息收集网站扫描访问控制测试漏洞扫描尝试注入攻击验证漏洞后
渗透测试
渗透测试
报告信息收集收集目标网站的基本信息,包括域名、IP地址、子域名等。
order libra
·
2023-11-22 23:56
安全
网络
web安全
Web安全
--反序列化漏洞详解(php篇)
0x00简介序列化是将一个对象转换为字符串以便存储传输的一种方式,反序列化则是将一段字符串转换为一个对象供程序使用,是序列化的逆过程。在php中,序列化和反序列化所对应的函数为serialize()和unserialize()。0x01漏洞原理序列化和反序列化本身没有问题,当程序进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等函数(称为魔术方法)。如果传入u
B1u_
·
2023-11-22 23:20
java
开发语言
xss-labs靶场1-5关
注意靶场是可以练习的平台,不能随意去尚未授权的网站做
渗透测试
!!!一、靶场需要知道的前置知
无名小卒且不会安全的zzyyhh
·
2023-11-22 22:50
xss-labs靶场
xss
web安全
安全
xss-labs靶场6-10关
注意靶场是可以练习的平台,不能随意去尚未授权的网站做
渗透测试
!!!一、靶场6-10关1、关卡6发现url、搜索框有可控参数keyword。输入’“,h2标签内容被实体化了。
无名小卒且不会安全的zzyyhh
·
2023-11-22 22:50
xss-labs靶场
xss
web安全
春秋云境靶场CVE-2022-30887漏洞复现(任意文件上传漏洞)
文章目录前言一、CVE-2022-30887描述和介绍二、CVE-2022-30887漏洞复现1、信息收集2、找可能可以进行任意php代码执行的地方3、漏洞利用找flag总结前言此文章只用于学习和反思巩固
渗透测试
知识
无名小卒且不会安全的zzyyhh
·
2023-11-22 21:07
web安全
文件上传漏洞
渗透测试
-CTF文件类型操作
识别文件类型文件分离文件合并识别文件类型当文件没有后缀名或者有后缀名无法正常打开时,根据识别的文件类型来修改后缀名即可正常打开文件。使用场景:不知道后缀名,无法打开文件。第一种方式:kali中使用file文件名file1word文件file2PNG图片第二种方式查看文件头数据工具:010editorpngzip当文件头残缺/错误而导致无法打开正常文件,我们先去查看文件类型,然后去修改或添加文件头部
保持微笑-泽
·
2023-11-22 19:21
渗透测试
渗透测试
安全
安全漏洞
深信服技术认证“SCSA-S”划重点:
渗透测试
工具使用
该认证包含网络安全法律法规、操作系统基础、计算机网络基础、
渗透测试
基础、漏洞扫描
sangfor_edu
·
2023-11-22 14:33
web安全
安全
2023年中职“网络安全“—Web
渗透测试
①
2023年中职"网络安全"—Web
渗透测试
①Web
渗透测试
任务环境说明:1.访问地址http://靶机IP/task1,分析页面内容,获取flag值,Flag格式为flag{xxx};2.访问地址http
acaciaf
·
2023-11-22 14:46
中职网络安全
web安全
前端
安全
网络安全
网络安全(黑客)—自学
前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“
渗透测试
”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
羊村最强沸羊羊
·
2023-11-22 13:18
web安全
安全
网络安全
笔记
网络
python
学习
渗透测试
过程中的JS调试(一)
前言前端调试是安全测试的重要组成部分。它能够帮助我们掌握网页的运行原理,包括js脚本的逻辑、加解密的方法、网络请求的参数等。利用这些信息,我们就可以更准确地发现网站的漏洞,制定出有效的攻击策略。前端知识对于安全来说,不但可以提高测试效率,还可以拓宽测试思路。以下的一个案例是我在测试一个后台管理系统时遇到的问题,本来在登录页面通过js已经发现了接口和字段,但是请求的时候发现不是未授权漏洞,但是字段只
前端开发小司机
·
2023-11-22 12:37
前端
状态模式
web安全
安全
网络安全
网络
系统安全
渗透测试
高级技巧(二):对抗前端动态密钥与非对称加密防护
在前文的技术分享中,我们描述了验签和静态对称加密(静态密钥AES)的常见场景,大家我相信遇到类似的加解密清醒,基本都可以通过热加载的基本使用获得破解前端加密解密的方法,达到一个比较好的测试状态。在本文中,我们在保持同样的通用适配度的同时,将会来接触更加复杂的前端加密与解密场景:动态密钥:无法通过简单的阅读JavaScript直接获取加密密钥非对称加密技术:使用RSA/SM2技术来加密通信数据以避免
前端开发小司机
·
2023-11-22 12:37
前端
网络安全
安全架构
ddos
web安全
安全
系统安全
渗透测试
高级技巧(一):分析验签与前端加密
“开局一个登录框”在黑盒的安全测试的工作开始的时候,打开网站一般来说可能仅仅是一个登录框;很多时候这种系统往往都是自研或者一些业务公司专门研发。最基础的情况下,我们会尝试使用SQL注入绕过或者爆破之类的常规手段,如果可以成功,那皆大欢喜;但是随着甲方系统研发的迭代与额外安全要求,简单的抓包重访变得非常困难:秘技一:破解验签防篡改签名验证(又叫验签或签名)是验证请求参数是否被篡改的一种常见安全手段,
前端开发小司机
·
2023-11-22 11:00
前端
web安全
人工智能
安全
系统安全
计算机网络
网络安全
App测试基础内容
一、App
渗透测试
原理app渗透和web渗透区别不大网站找不到后台最传统:放在网站目录里放在同IP的不同端口里面放在不同的子域名(赌博网站最多)放在毫无关系的地方二、安装安卓模拟器+抓包(雷电模拟器)添加代理添加
不习惯有你
·
2023-11-22 09:33
渗透原理篇
html
java
javascript
Metasploit
渗透测试
指南
目录1.Metasploit与nmap1.将Nmap输出的结果导入metasploit2.在msf中使用nmap2.针对性扫描1.SMB服务器消息块协议扫描2.搜寻配置不当的MircrosoftSQLServer3.ssh服务扫描4.FTP扫描5.简单网络管理协议扫描6.NetBIOS协议扫描漏洞扫描使用Nessus扫描专用漏洞扫描器——1.验证SMB登录2.扫描开放的VNC虚拟网络计算空口令3.
willowpy
·
2023-11-22 08:45
kali
网络安全(黑客)-自学手册
1.网络安全是什么网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“
渗透测试
”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
德西德西
·
2023-11-22 07:54
web安全
安全
网络安全
笔记
网络
python
网安——信息收集
信息收集概览
渗透测试
的流程确定目标——信息收集——漏洞扫描——漏洞利用——形成报告信息收集包括的内容域名信息、IP段、开放的端口、网站架构、文件目录结构、软件版本、WAF、旁站、C段....域名信息收集域名是什么用
序章ʸ
·
2023-11-22 02:40
网络安全
【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(信息打点 1-11)
第1天:基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙知识点:1、名词解释-
渗透测试
-漏洞&攻击&后门&代码&专业词2、必备技能-操作系统-用途&命令&权限&用户&防火墙3、必备技能-文件下载
清歌secure
·
2023-11-22 02:09
网络安全
安全
网络
笔记
网络安全
web安全
渗透测试
前期——信息收集
目录概述1.域名发现1.1子域名枚举1.2巧用搜索引擎1.3第三方平台发现1.4证书透明性信息查询1.5DNS域传送漏洞2.IP资源收集2.1CDN隐秘背后的真实秘密2.2旁站息收集2.3C段信息收集3.端口信息收集3.1常用端口3.2端口探测收集3.3Nmap常用命令帮你快速捡漏4.网站关键信息识别4.1指纹识别4.1.1特定关键字识别4.1.2响应头部信息识别4.1.3第三方指纹信息收集4.2
0xc4Sec
·
2023-11-22 02:33
搜索引擎
网络
安全
渗透测试
web安全
bulldog靶机复现
nmap-sP-T410.4.7.0/24扫描出靶机IP为:10.4.7.134扫描端口、服务nmap-A-T4-p-10.4.7.134-sV发现扫描出了23、80、8080端口,开放了ssh和http服务
渗透测试
扫描目录该靶机开放了
ZS_zsx
·
2023-11-21 22:49
靶机笔记
笔记
笔记
2019-02-10 Metasploit中的ZoomEye插件
参考资料:《KaliLinux2网络
渗透测试
实践指南》在Metasploit中加载ZoomEye插件在ZoomEye中注册了一个账户之后,我们可以在其他工具中使用ZoomEye提供的API功能。
NoelleMu
·
2023-11-21 22:16
山东大学网络安全靶场实验平台——团队及项目介绍
我们旨在搭建一个集
渗透测试
靶场、密码加解密、漏洞复现的平台,为同学们以及未来的学弟学妹们提供一个练习网安技术的场地,同时也能作为学院的实验平台给相关课程的教学提供检验学习成果的平台乃至改进授课模式。
琛歌
·
2023-11-21 18:22
山东大学网络安全靶场实验平台
web安全
密码学
服务器
docker
渗透测试
网络安全大厂面试真题库(求职必备!)
一、
web安全
岗面试题1.1、什么是SQL注入攻击?如何防止SQL注入攻击?S
羊村最强沸羊羊
·
2023-11-21 14:16
web安全
面试
安全
网络安全
职场和发展
php
网络
网络安全(黑客技术)—高效自学
1.网络安全是什么网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“
渗透测试
”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
羊村最强沸羊羊
·
2023-11-21 14:16
web安全
安全
学习
网络安全
笔记
python
网络
网络安全(黑客)—高效自学
前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“
渗透测试
”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
羊村最强沸羊羊
·
2023-11-21 14:12
web安全
安全
笔记
学习
网络安全
网络
python
渗透测试
面试准备
网络协议TCP协议TCP协议是一个面向连接,可靠的,字节流服务的协议TCP连接的两端:套接字、插口、端口。(不同叫法)形式:{IP+端口号}格式三次握手假设两端为A和B;第一次握手:A给B发送syn=1;seq=x(x随机生成)第二次握手:B给A发送seq=y;ack=x+1第三次握手:A给B发送ACK=y+1三次握手是建立安全连接的最少次数,如果A和B第一次握手,B给A回复了但是因为网络问题,导
ddryj
·
2023-11-21 08:00
安全
安全
[
渗透测试
面试篇 ]
渗透测试
面试题大集合(详解)(八)暴力破解相关面试题
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2023-11-21 07:12
渗透测试面试分享
渗透测试
升职加薪
网络安全
网络安全面试题
2023最新100道
渗透测试
面试题(附答案)
眨眼间2023年快过去一半了,不知道大家有没有找到心仪的工作呀,今天我给大家整理了100道
渗透测试
面试题给大家,需要答案的话可以在评论区给我留言哦~第一套渗透面试题什么是
渗透测试
?它的目的是什么?
白帽小衫
·
2023-11-21 07:38
技术分享
网络
web安全
网络安全
渗透测试面试题
渗透测试
面试中常见的问题收集(部分)
1、xss盲打到内网服务器的利用钓鱼管理员信息收集2、什么是虚拟机逃逸?利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的3、了解过websocket吗?WebSocket是一种在单个TCP连接上进行全双工通信的协议,最大特点是服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话。4、什么是CRLF注入攻击?通过“回车”和
小菜茑
·
2023-11-21 07:06
面试
面试
职场和发展
网络
渗透测试
(TCP/IP)理论篇
TCP/IP体系垂直服务:底层为高层服务TCP/IP体系结构是一个分层的协议体系,由多个层次组成,每个层次都负责不同的功能。以下是TCP/IP体系结构的主要层次:物理层(PhysicalLayer):该层负责传输原始的比特流,通过物理媒介(例如电缆、光纤或无线信号)将数据从一个节点传输到另一个节点。它定义了电压、电流、传输速率等物理特性。数据链路层(DataLinkLayer):该层负责在直接相连
Back~~
·
2023-11-21 07:26
网络渗透
学习
中间件安全:Apache Tomcat 弱口令.(反弹 shell 拿到服务器的最高控制权.)
通过弱口令登录后台,部署war包geshell.目录:中间件安全:ApacheTomcat弱口令.ApacheTomcat弱口令:靶场准备:
Web安全
:Vulfocus靶场搭
半个西瓜.
·
2023-11-21 05:40
渗透测试
领域.
#
服务攻防
领域.
Web安全
领域.
中间件
安全
tomcat
网络安全
web安全
服务器
常见
Web安全
一.
Web安全
概述以下是百度百科对于
web安全
的解释:
Web安全
,计算机术语,随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在
luming.02
·
2023-11-21 02:22
网络安全
web安全
安全
网络安全
tcp/ip
2023年网络安全竞赛B模块专项练习题(ALL)
2023年网络安全竞赛B模块专项练习题(ALL)目录B模块安全事件响应/网络安全数据取证/应用安全(400分)...1任务一:nmap扫描
渗透测试
1.1任务二:nmap扫描
渗透测试
2.1任务三:nmap
旺仔Sec
·
2023-11-20 22:30
中职网络空间安全
网络
web安全
安全
如何挖掘xss漏洞
如何挖掘xss漏洞对于如何去挖掘一个xss漏洞我是这样理解的在实战情况下不能一上来就使用xss语句来进行测试很容易被发现那这种情况该怎么办呢打开准备
渗透测试
的web网站,寻找可以收集用户输入的地方比如搜索框
抠脚大汉在网络
·
2023-11-20 22:06
xss
xss
漏洞
渗透
立哥先进技术-常用
渗透测试
工具
DirBusterDirBuster是一个多线程的基于Java的应用程序设计蛮力Web/应用服务器上的目录和文件名。HscanHscan是暴力破解的利器,支持多线程方式对指定的IP段,或主机列表进行检测,图形界面和命令行两种方式,此款软件适合大规模的网段主机密码扫描破解,速度很快,可以挂载自己的黑客字典对指定的主机进行密码破解。XscanX-Scan是国内最著名的综合扫描器之一,它完全免费,是不需
小可爱J 人工智能学者 全栈工程师
·
2023-11-20 19:55
测试工具
宗老师教学-小程序
渗透测试
检测类目
漏洞类型漏洞名称安全等级要求内容注入类xml注入高通过手工篡改应用中xml实体中的头部,加入相关的读取文件或者命令执行等,如果可读取文件或者达到植入命令的效果,则存在该漏洞。命令注入高对通过系统界面提交的已知的有害输入进行过滤,如例如“'”,“--”,“&”,“”,“/”,“=”,“#”,“\r\n”,“\n\n”,“;”等字符,防止常见的SQL注入、XSS、等攻击行为。SQL注入高远程代码执行高
小可爱J 人工智能学者 全栈工程师
·
2023-11-20 19:55
小程序
安全威胁分析
安全
金融
人工智能
2021中职网络空间安全国赛系统漏洞做题详解
通过本地PC中
渗透测试
平台Kali查看目标靶机共享的目录及IP地址白名单(将IP地址替换为0.0.0.0),将查看命令作为Flag提交;首先用kali对其进去参数和ipFlag:showmount–e0.0.0.0
Echo 1
·
2023-11-20 17:33
网络安全
安全
web安全
linux
网络安全
软件安全测试-
Web安全
测试详解-XSS攻击
目录1.XSS攻击1.1XSS攻击原理1.2XSS能做什么1.3XSS三种类型1.4XSS三种途径1.5XSS测试方法1.5.1查看代码1.5.2准备测试脚本1.5.3自动化测试XSS漏洞1.5.4XSS注入常用语句1.6XSS漏洞防范h31.6.1对输入和URL参数进行过滤(白名单和黑名单)1.6.2HTML实体编码1.63对输出内容进行编码1.6.4浏览器中的XSS过滤器1.XSS攻击1.1X
全栈开发与测试
·
2023-11-20 17:32
计算机基础知识
软件测试知识
笔记
web安全
安全
网络安全工程师毕业答辩杂记
目录01数通技术知识要点...102
渗透测试
基础...103
渗透测试
环境搭建与工具使用...104信息收集...105
web安全
...206不定性拓展内容...207应急响应...208安全基线...309
告诉桃花不用开了
·
2023-11-20 16:14
黑客技巧
渗透测试
经验分享
系统安全
web安全
安全架构
安全
绝对干货!src漏洞挖掘经验分享
公粽号:黒掌一个专注于分享
渗透测试
、黑客圈热点、黑客工具技术区博主!
是叶十三
·
2023-11-20 13:01
信息安全
渗透测试
网络安全
信息安全
kali
linux
批量挖掘SRC思路与实践一
与日常靶场训练不同,SRC漏洞挖掘更偏向于对业务资产的熟悉程度,除了需要掌握
渗透测试
的技术要点以外,可以思考一下是否在信息收集这一块做足了功夫,这是很多萌新容易忽略的点。
wespten
·
2023-11-20 13:23
全栈网络安全
渗透测试
代码审计
网络安全工具开发
安全
web安全
记一次实战挖掘公益src
一前言我认为公益src要挖掘的话分两种,一种是你去找固定的漏洞,去用fofa或者Google语法去找可能有对应漏洞的url,然后去进一步测试,另一种就是正常的
渗透测试
,对一个公益网站进行完整的
渗透测试
,
网安小白(web渗透阶段)
·
2023-11-20 13:22
安全
web安全
网络安全
XSS靶场漏洞实践及总结
XSS全称跨站脚本(CrossSiteScripting),较合适的方式应该叫做跨站脚本攻击跨站脚本攻击是一种常见的
web安全
漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,
走错说爱你
·
2023-11-20 11:00
关于
web安全
开发之摘要认证
为什么需要认证经由HTTP协议进行通信的数据大都是未经加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可轻而易举地根据请求和响应双方的格式,伪造诸求与响应,修改和窃取各种信息。相对于基千TCP协议层面的通信方式,针对HTTP协议的攻击门槛更低。因此,基于HTTP协议的Web与SOA架构,在应用的安全性方面需要更加重视。经由浏览器的访问请求,可以通过浏览
先生zeng
·
2023-11-20 11:50
SQLMAP常用命令速查表
title:SQLMAP速查表copyright:truetop:0date:2019-05-2014:28:16tags:
渗透测试
categories:
渗透测试
permalink:password:keywords
浪子燕青啦啦啦
·
2023-11-20 10:25
安全工具
sqlmap
sqlmap常用命令
sqlmap命令速查
sqlmap使用方法
sql注入
网络
渗透测试
(被动扫描)
被动扫描主要是指的是在目标无法察觉的情况下进行信息搜集。在Google上进行人名的搜素就是一次被动扫描。最经典的被动扫描技术就是"GoogleHacking"技术。由于Google退出中国,暂时无法使用。在此介绍三个优秀的信息搜集工具被动扫描范围1.企业网络有自己独立的服务器环境,并根据不同的用途将网络划分为不同区域。比较常见的就是将企业网络划分成内部区域(员工使用设备所在区)和隔离区域(服务器所
Back~~
·
2023-11-20 09:26
网络渗透
学习
关于
web安全
开发之签名认证
签名认证的原理1.客户端请求数宇签名生成与摘要认证的方式类似,由于传递端和接收端都认为HTTP协议的请求参数是无序的,因此对于签名认证来说,客户端与服务端双方需要约定好参数的排序方式。请求的参数经过排序后,再将参数名称和值经过一定的策略组织起来,这时不再是加上secret,而是直接通过约定的摘要算法来生成数字摘要,并且使用客户端私钥对数字摘要进行加密,将加密的密文传递给服务端。代码实现:Java的
先生zeng
·
2023-11-20 07:42
情报收集工具的编写
预计更新网络扫描工具的编写漏洞扫描工具的编写Web
渗透测试
工具的编写密码破解工具的编写漏洞利用工具的编写拒绝服务攻击工具的编写密码保护工具的编写情报收集工具的编写情报收集是信息安全领域中的一项重要工作,
Kali与编程~
·
2023-11-20 06:33
网络安全软件开发
web安全
上一页
24
25
26
27
28
29
30
31
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他