WEB安全-XXE

Web安全系列——CSRF攻击

文章首发公众号:海天二路搬砖工前言CSRF攻击是Web应用中最常见的攻击方式之一。CSRF攻击给网站身份验证、用户账户和个人隐私带来极大威胁。了解CSRF攻击的流程、原理与防御措施,是构建安全可靠的Web应用程序的必要条件。什么是CSRF攻击CSRF,全称是Cross-SiteRequestForgery,中文名为跨站请求伪造。CSRF攻击是指指恶意攻击者利用用户已经登录了另一个网站的“身份”来伪
轮子学长·2023-11-01 21:57

Web安全系列——敏感信息泄露与加密机制

一、前言数字化时代,越来越多的数据正在被传输到Web应用程序中,这其中不乏个人或机构的敏感信息。如果Web应用程序未采取正确的加密机制,这些信息可能会遭到窃取或篡改,从而使用户数据或机构的财产受到威胁。二、加密机制失效(敏感信息泄露)的危害窃取用户利益:攻击者将有可能窃取个人信息(信用卡号、密码、社保号等),然后利用这些信息窃取用户利益。用于欺诈和其他不良目的:通过窃取敏感信息,攻击者可以使用这些
轮子学长·2023-11-01 21:53

XML External Entity-XXE-XML实体注入

XML实体?XML实体允许定义标签,在解析XML文档时这些标签将被内容替换。一般来说,实体分为三种类型:内部实体外部实体参数实体。必须在文档类型定义(DTD)中创建实体一旦XML文档被解析器处理,它将js用定义的常量“JoSmith”替换定义的实体。正如您所看到的,这有很多优点,因为您可以js在一个地方更改为例如“JohnSmith”。在Java应用程序中,XML可用于从客户端获取数据到服务器,我
测试开发-东方不败之鸭梨·2023-11-01 20:40

2021江苏中职网络安全任务四:Web安全渗透测试

通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试,找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分)截图就行通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试,找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交robots.txt通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测
一本正经光头强·2023-11-01 17:18

江西省省赛中职网络安全-SQL注入测试(PL)

2021年职业院校技能大赛“网络安全”项目江西省比赛任务书一、竞赛时间总计:420分钟二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值A模块A-1登录安全加固180分钟200分A-2Web安全加固(Web
weixin_48800344·2023-11-01 16:12

网络安全课题以及学术方向总结

文章目录综述篇防护篇使用AI保护应用威胁情报黑客工具检测敏感数据检测恶意样本检测入侵检测域名安全检测业务安全检测Web安全检测Web安全之URL异常检测Web安全之SQLi检测Web安全之XSS检测Web
三更两点·2023-11-01 16:32

Apache2-XXE漏洞渗透

文章目录前言一、nmap扫描二、利用获取的信息三、XXE漏洞利用总结前言Apache2UbuntuDefaultPage是一个包含xxe漏洞的页面,如何找到和利用xxe漏洞,并找到flag呢?
一纸-荒芜·2023-10-31 18:20

小猿圈解析Web安全之如何制定学习计划

去年开始web安全热度逐渐上升,web安全工程师成为炙手可热的人才之一,web安全的火热造成了很多朋友都在自学,但是你知道web安全怎么学习吗?
小猿圈_7197·2023-10-31 12:08

linux命令注入,命令注入 ~ chuddy’s Blog

简介命令注入(也称为shell注入)是一种web安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意操作系统(OS)命令,通常会完全破坏应用程序及其所有数据。
Adn无解·2023-10-31 11:39

服务端安全之系统命令注入

什么是命令注入OS命令注入(也称为shell注入)是一种web安全问题,允许攻击者可以执行任意系统命令。执行任意命令考虑这样一个购物应用程序
dupei·2023-10-31 11:06

如何高效自学(黑客技术)方法——网络安全

1.无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透2.也有Web防御技术(WAF)。
喜欢蹲局子的小猿同学·2023-10-31 07:25

2020-04-15jboss反序列化漏洞、weblogic 、XXE原理利用防御

jboss反序列化漏洞还原获取webshell首先运行jboss打开jboss/bin运行利用java反序列利用工具,输入目标地址、然后上传木马上传打开木马记事本,找到密码登录登录Weblogic反序列化漏洞还原启动weblogicstartweblogic.cmd运行利用工具反序列化漏洞weblogic任意文件上传漏洞操作(CVE-2018-2894)端口后面加/ws_utc/config.do
寻找tp·2023-10-31 03:22

风炫安全WEB安全学习第四十八节课 信息收集之WEB安全漏洞扫描

Web安全扫描器可能是网络安全入门第一节课,这节课的内容其实大家比我都懂。
风炫安全·2023-10-30 22:59

x友GRP-u8 注入-RCE漏洞复现

用友GRP-u8注入-RCE漏洞复现一、漏洞简介用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。
thelostworld-公众号·2023-10-30 20:14

用友GRP-u8 注入-RCE漏洞复现

用友GRP-u8注入-RCE漏洞复现(HW第一时间复现了,当时觉得不合适,现在才发出来)一、漏洞简介用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件
thelostworld-公众号·2023-10-30 20:13

centos7 安装灯塔arl docker

目录安装docker:安装DockerCompose:下载进入目录启动:解决db报错问题:web安全学习了解:web渗透测试官网:宣紫科技安装docker:yuminstalldocker安装DockerCompose
宣紫科技·2023-10-30 17:59

Web安全学习笔记

之前做项目写的那叫一个随意。。由于都是小项目和练手demo,完全没有管过安全相关方面的知识。。回头重新总结一下吧目前比较常见的安全问题大概有这几种:XSSCrossSiteScript跨站脚本攻击CSRFCross-siterequestforgery跨站请求伪造SQL注入DDOSDistributedDenialofService分布式拒绝服务比较少见的,还是了解一下的:iframe风险上传漏洞
Ekolia·2023-10-30 11:38

Web安全班作业 | WireShark抓包ARP报文分析并实施ARP中间人攻击

文章来源|MS08067SRC漏洞实战班课后作业本文作者:某学员A(SRC漏洞实战班1期学员)按老师要求尝试完成布置的作业如下:一、使用WireShark抓包,根据实际数据包,分析ARP报文结构1.1ARP概述ARP协议的全称是AddressResolutionProtocol(地址解析协议),它是一个通过用于实现从IP地址到MAC地址的映射,即询问目标IP对应的MAC地址的一种协议。ARP协议在
Ms08067安全实验室·2023-10-30 10:02

SSRF漏洞、SQL注入、CSRF漏洞、XXE漏洞

SSRF漏洞1.我理解的定义:攻击者将伪造的服务器请求发给一个用户,用户接受后,攻击者利用该安全漏洞获得该用户的相关信息2.原理:3.场景:(1)分享(2)转码(3)翻译(4)图片加载、下载(5)图片、文章收藏(6)未公开的API4.UPL关键字:share、wap、url、link、srcsource、target3g、display、sourceURL、u、imageURL、domain5.常
Fly_Mojito·2023-10-29 23:56

《2020国内WAF产品研究报告》

国内企业的Web安全现状如何?使用WAF解决方案时有何困惑?期望
NicolasLearner·2023-10-29 19:06

web中font漫谈

系统默认字体如何使用1.web-safe字体不同设备的系统默认字体是不相同的,不同系统之间的字体更是不同,比如Mac、windows,他们各自的系统字体不相同,但是有几种字体是他们共同支持的:比较web
aaaaaAndy980·2023-10-29 19:43

常用的渗透测试工具之 SQLMap

web安全攻防》第三章学习之SQLmapSQLMap介绍:SQLMap是自动化的SQL注入工具,主要功能是扫描,发现并利用URL的SQL注入漏洞,内置了很多绕过插件。
云杉_晴天·2023-10-29 13:21

2022 SWPUCTF Web+Crypto方向wp

文章目录2022SWPUCTFWPweb欢迎来到web安全easy_sqlhappy_rcedo_not_wakeupnewnewbaby_pophappy_phpeasy_xssbaby_ssrfsql2php_uploadcan_you_fastereasy_flaskeasy_includeez_uploadsql3Crypto
ph0ebus·2023-10-29 07:02

第21题:前端常见的攻击方法:XSS、CSRF、SQL注入

题目:前端常见的攻击方法包括:ABCA:XSSB:CSRFC:SQL注入D:ARP攻击推荐好文:常见六大Web安全攻防解析解析什么是XSS?
crazy的蓝色梦想·2023-10-29 05:54

安全漏洞XSS、CSRF、SQL注入以及DDOS攻击

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。
Qq1014136047·2023-10-29 04:23

2023Web安全面试题大全(附答案详解)看完稳了

本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也会陆续更新其他大厂的面试题目和知识点。
教IT的小王A·2023-10-28 23:43

黑客技术(网络安全)—小白自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,
羊村最强沸羊羊·2023-10-28 21:25

网络安全(黑客技术)—小白自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,
羊村最强沸羊羊·2023-10-28 21:52

网络安全(黑客技术)—小白自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知
羊村最强沸羊羊·2023-10-28 20:59

[ 网络协议篇 ] 一篇文章让你掌握什么是 HTTPS ?

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-10-27 20:30

什么是CSRF?如何防御CSRF攻击?知了堂告诉你

学习web安全就一定不能不知道CSRF,那么什么是CSRF呢?对于CSRF攻击我们应该如何进行防御呢?小编这里就整理了CSRF的介绍、原理以及防御方法来帮助大家认识CSRF。一、什么是CSRF?
知了堂_IT·2023-10-27 16:17

服务器中间件版本信息泄露,中间件版本信息泄露漏洞

中间件版本信息泄露漏洞《Web安全测试学习手册》-中间件版本信息泄露漏洞0x00中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞
胡子长过汪涵·2023-10-27 13:01

CTF-18.web安全PUT上传漏洞

中间件PUT漏洞介绍中间件包括apache、tomcat、lIS、weblogic等,这些中间件可以设置支持的HTTP方法。(HTTP方法包括GET、POST、HEAD、DELETE、PUT、OPTIONS等)每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到服务器对应的目
wow2ok·2023-10-27 13:38

让你轻松学会PHP版自动化SQL盲注工具-全库-全表-全字段-全字段值查询

前言由于一些个人原因,很久没有研究WEB安全方面的一些问题了(废话四个月前月还发了帖),正好炎炎夏日暑假的生活到来,这个时候我需要的是恶补,恶补,恶补。
H_00c8·2023-10-27 10:17

新手如何入门网络安全、0基础如何学习Web安全

[福利:\[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!\]](https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw)相信很多人想进入网络安全,都是听说网络安全就业前景大,薪资很高,入门门槛也相对较低,但是,对于0-2年的网安新人,要学习网络安全往往还是存在以下方面困惑和迷茫。没方向:网安种类千千万,不知道自己适合哪一类!没方法:没经验
教IT的无语强·2023-10-27 07:29

web安全-原发抗抵赖

原发抗抵赖原发抗抵赖也称不可否认性,主要表现以下两种形式:数据发送者无法否认其发送数据的事实。例如,A向B发信,事后,A不能否认该信是其发送的。数据接收者事后无法否认其收到过这些数据。例如,A向B发信,事后B不能否认其收到了该信息。要检测系统是否支持原发抗抵赖,您可以考虑以下几种方法:检查系统文档和规格:查看系统的文档和规格,以确定是否支持原发抗抵赖。这些文档通常会提供有关系统功能和特性的详细信息
测试开发-东方不败之鸭梨·2023-10-26 18:01

buuctf_练[CSAWQual 2019]Web_Unagi

[CSAWQual2019]Web_Unagi文章目录[CSAWQual2019]Web_Unagi掌握知识解题思路关键payload掌握知识XXE漏洞利用,xml文件转换编码绕过WAF(UTF-8--
生而逢时·2023-10-26 16:16

CTF简单笔记

CTF简单笔记:远程开启kali桌面命令:sudo/etc/init.d/xrdpstartCTF:①Misc:杂项②Crypto:密码安全③Web安全④Reverse:逆向工程⑤Pwn#杂项:1、文件操作与隐写
不做题的浮生·2023-10-26 13:17

最新SQL注入漏洞修复建议

点击星标,即时接收最新推文本文选自《web安全攻防渗透测试实战指南(第2版)》点击图片五折购书SQL注入漏洞修复建议常用的SQL注入漏洞的修复方法有两种。
Ms08067安全实验室·2023-10-26 08:27

应急响应-web&win&linux

流程:保护阶段,分析阶段,复现阶段,修复阶段,建议阶段目的:分析出攻击时间,攻击操作,安全修复并给出合理的解决方案必备知识点1.熟悉常见的WEB安全攻击技术2.熟悉相关日志启用及储存查看等3.熟悉日志记录的数据分类及分析等准备工作
tj2718647721·2023-10-25 13:42

B-3:Web安全之综合渗透测试

B-3:Web安全之综合渗透测试任务环境说明:服务器场景:Server2104(关闭链接)服务器场景用户名、密码:未知1.通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果内容作为
浩~~·2023-10-25 13:20

web安全知识点(常见web攻击总结)

目录一、XSS—跨站脚本攻击1、原理2、非持久XSS(反射型XSS)2.1、特点2.2、如何防止3、持久性XSS(存储型XSS)3.1、条件3.2、特点二、CSRF—跨站请求伪造攻击1、原理2、条件3、预防CSRF三、SQL注入1、原理2、预防四、命令行注入五、DDOS攻击—分布式拒绝服务攻击1、原理2、网络层DDOS2.1、SYNflood2.2、ACKflood2.3、UDPflood2.4、
yin_fei_lnmp·2023-10-25 05:08

Web安全】SQL注入攻击几种常见防御手法总结

文章目录前言一、使用参数化查询二、输入验证和过滤三、使用存储过程四、最小权限原则五、使用ORM框架六、使用准备语句七、使用安全的数据库连接八、避免动态拼接SQL语句九、使用防火墙和入侵检测系统(一)防火墙(二)入侵检测系统(IntrusionDetectionSystem,简称IDS)十、定期更新和维护数据库软件(一)定期更新(二)维护任务总结前言本篇文章主要介绍防范SQL注入攻击最实用的集中防御
李火火安全阁·2023-10-25 05:47

JAVA代码审计与安全编码

XXE介绍XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明,也可以外部引用。
mingzhi61·2023-10-25 05:58

网络安全(黑客技术)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,
羊村最强沸羊羊·2023-10-24 19:08

自学(黑客技术)方法——网络安全

1.无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透2.也有Web防御技术(WAF)。
喜欢蹲局子的小猿同学·2023-10-24 19:33

Effective C++ 第二版

r00tk1t二进制安全|Web安全|伪装成程序员的菜鸡博客首页所有文章标签mailgithubzhihuweiboQQSEHoverwritealgorithmbrowserchromechrome-sandboxcppcpp-primercpp-templatesdllhookingexploitglibcglibc-heaplinuxlinux-kernelmmapnovicephppool
cxrot·2023-10-24 14:07

常用Web安全扫描工具汇整

漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。1、AWVSAcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。官方网站:https://www.acunetix.comAWVS有两
woshidaniu·2023-10-23 17:38

[转载]kali awvs安装

AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试,并通过内置的
安哥拉的赞礼·2023-10-23 15:09

常用Web安全扫描工具合集

漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?1、AWVSAcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。官方网站:https://www.acu
༺ཉི།星陈大海།ཉྀ༻CISSP·2023-10-23 10:15
上一页 9 10 11 12 13 14 15 16 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他