E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
WEB安全-XXE
成为一名月薪2万的
web安全
工程师需要哪些技能?
现在
web安全
工程师比较火,岗位比较稀缺,现在除了一些大公司对学历要求严格,其余公司看中的大部分是能力。
闪现码狗
·
2024-02-19 19:58
Web安全
-JWT认证机制安全性浅析
文章目录认证机制数据结构头部有效载荷签名数据转换安全缺陷密钥爆破认证机制JWT全称是JSONWebToken,是目前非常流行的跨域认证解决方案,在单点登录场景中经常使用到。JSONWebToken直接根据token取出保存的用户信息,以及对token可用性校验,大大简化单点登录。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。传统的Session认证我们知道,
Tr0e
·
2024-02-19 16:54
Web安全
Web安全
攻防_渗透测试实战指南
目录第1章渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学第1章渗透测试之信息收集**1.1收集域名信息**①得知目标域名②获取域名注册信息(域名DNS服务器信息和注册人联系信息)1.1.1Whois查询标准互联网协议,收集网络注册信息
立志成为网安大牛
·
2024-02-19 15:40
web安全
安全
【
web安全
】渗透测试实战思路
步骤一:选目标1.不建议太小的公司(可能都是请别人来开发的,用现成成熟的框架)2.不建议一线大厂:腾讯,字节,阿里等,你懂的3.不建议政府部门,安全设备多,每年有护网,报警你就死建议:找上市公司与子公司,有开发人员,就有漏洞重点:先在天眼查那些找域名所有上市公司链接:上市公司大全子公司:在官网上找步骤二:优先找登录入口1.用户名枚举2.寻找关键信息,看看官网有没有一些文章发布人的姓名,然后使用工具
星盾网安
·
2024-02-19 15:27
付费专区
web安全
安全
小白学安全--
web安全
入门(非常详细)零基础入门到精通,收藏这一篇就够了
作为一个从知道创与到自建安全团队的资深白帽子,一路也是从不止所谓的web小白历经磨难成长起来的我,给现在正在准备学习
web安全
的同学一些建议。
网络安全大白
·
2024-02-19 12:43
网络安全
黑客
程序员
安全
web安全
什么是SQL注入,有什么防范措施
通过了解这方面的网络安全知识,可以提高日常的
web安全
性。什么是SQL注入:SQL注入(SQLInjection)是一种常见的
·
2024-02-19 10:08
安全http
Web安全
研究(六)
文章目录HideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTs文章结构IntrojsobfuscationmethodologyExampleHideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTsCCS2019CISPA恶意软件领域,基于学习的系统已经非常流行,并且可以检测新
西杭
·
2024-02-15 10:04
web安全
安全
ACM CCS 2020 ·
web安全
研究学者
ACMCCS2020·
web安全
研究学者锁一下!最近打算整理下这些学者的论文,然后看一下他们的研究脉络。其他四大也应该锁一下。
丫丫二_97
·
2024-02-15 10:04
web安全
web
安全
2022网络安全超详细路线图,零基础入门看这篇就够了
4.一辈子做信息安全吗这些不想清楚会对你以后的发展很不利,与其盲目的学习
web安全
,不如先做一个长远的计划。否则在我看来都是浪费时间。
技术宅不太宅
·
2024-02-14 17:04
程序人生
web安全
网络安全
kali渗透
渗透测试
sql注入
(2022版)零基础入门网络安全/
Web安全
,收藏这一篇就够了
由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选?这一行职业前景如何?废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。在这个圈子技术门类中,工作岗位主要有以下三个方向:安全研发安全研究:二进制方向安全研究:网络渗透方向下面
网络安全-无涯
·
2024-02-14 17:03
web安全
安全
网络
网络安全
面试
Web安全
测试之XSS
XSS全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。阅读目录XSS是如何发生的HTMLE
中科恒信
·
2024-02-14 14:35
典型
Web安全
防护策略
Web安全
问题的凸显致使得安全防护人员实施大量的安全机制来抵御攻击,尽管各种安全机制设计细节和执行效率可能千差万别,但几乎所有Web应用采用的安全机制在策略上都具有相似性,都离不开核心的几个基本原则和主要措施
爱看时事的通信崔
·
2024-02-14 01:23
Web 应用安全发展的介绍
是安全的春天关于安全公司的甲方和乙方甲方:如腾讯、阿里等需要安全服务的公司乙方:提供安全服务、产品的服务型安全公司圈内熟知的安全公司:绿盟、知道创宇、安天、启明星辰、安恒、天融信Web与二进制Web,研究
web
Wang's Blog
·
2024-02-13 06:05
Web
黑客
web安全
前端必备的 web 安全知识手记
文章内容包括以下几个典型的
web安全
知识点:XSS、CSRF、点击劫持、SQL注入和上传问题等(下文以小王代指攻击者),话不多说,我们直接开车(附带的例子浅显易懂哦)。
就是不吃苦瓜
·
2024-02-13 05:13
前端
安全
web安全
网络
智能路由器
学习
[
web安全
]深入理解反射式dll注入技术
一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安
H_00c8
·
2024-02-13 03:09
风炫安全
web安全
学习第三十五节课 文件下载和文件读取漏洞
风炫安全
web安全
学习第三十五节课文件下载和文件读取漏洞0x03任意文件下载漏洞一些网站由于业务需求,往往需要提供文件下载功能,但若对用户下载的文件不做限制,则恶意用户就能够下载任意敏感文件,这就是文件下载漏洞
风炫安全
·
2024-02-12 19:16
Content Security Policy (CSP) 中的 frame-ancestors 'self' 指令介绍
ContentSecurityPolicy(CSP)是一种
Web安全
标准,旨在减少和防止网站上的一些特定类型的攻击,例如跨站脚本攻击(XSS)。
·
2024-02-11 17:43
Web安全
正确思维方式的重要性,因此我告知好友:安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。我是如此想的,也是如此做的。
Towain
·
2024-02-11 09:42
白帽子讲
web安全
-跨站脚本攻击(2)
一XSS攻击进阶1XSS攻击平台攻击平台的主要目的就是为了演示xss的危害,以及方便测试使用,常见的有attackAPI,BeFF,XSS-Proxy2终极武器:XSSWorm(以往的蠕虫都是利用服务器端软件漏洞进行传播的)像有名的samyworm和百度空间蠕虫xssworm攻击是有一定条件的:一般来说,用户之间发生交互行为的页面,如果存在存储型XSS,则比较容易发起XSSworm攻击。3xss构
北邮小菜鸡
·
2024-02-10 12:18
红队系列-网络安全知识锦囊
网络安全免责声明法律科普学习资源网站靶场/CTF大佬博客笔记思维框图CTF/AWDAPT&&矩阵
Web安全
/渗透测试ToolsGolang工具FscanGolang工具ChYing信息收集注入攻击ToolsJNDIExploit
amingMM
·
2024-02-10 12:10
网络安全-渗透测试
web安全
安全
10、SpringSecurity自定义认证配置
A.声明配置类,定义用户名密码信息@Configuration@EnableWebSecurity//开启
web安全
设置生效publicclassSecurityConfigextendsWebSecurityConfigurerAdapter
敲代码的翠花
·
2024-02-10 09:59
项目:【今日指数金融】
#
java
运维技术分享:服务器管理需要注意的问题
一:安全的杂谈运维安全是企业安全保障的基石,不同于
Web安全
、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。
云计算运维
·
2024-02-10 01:20
Spring MVC防御CSRF、XSS和SQL注入攻击
因为其实很多人做web开发,但涉及到
web安全
方面的都是比较资深的开发人员,很多人安全意识非常薄弱,CSRF是什么根本没有听说过。所以
Keith003
·
2024-02-09 10:07
Java
Spring
MVC
防御
CTF--
Web安全
--SQL注入之Post-Union注入
一、手动POST注入实现绕过账号密码检测我们利用sqli-labs/Less-11靶场来进行演示:我们可以看到一个登录页面打开Less-11的根目录,我们打开页面的源代码(PHP实现)。用VS-code打开文件,找到验证登录信息的代码行。此形式的代码存在POST注入漏洞。我们可以注入一句万能密码。admin'or1=1#单看这句代码可能不是很直观,我们将这句万能密码写到源代码中进行观察。@$sql
给我杯冰美式
·
2024-02-09 05:23
Web安全--SQL注入
web安全
sql
安全
CTF--
Web安全
--SQL注入之报错注入
一、报错注入的概念用户使用数据库查询语句,向数据库发送错误指令,数据库返回报错信息,报错信息中参杂着我们想要获取的隐私数据。通常在我们在页面显示中找不到回显位的时候,使用报错注入。二、报错注入常见的三种形式1、extractvalue报错注入2、updatexml报错注入3、floor报错注入除以上三种,还有大量的报错注入形式,以上三种最为常见,其中floor报错注入较复杂。三、extractva
给我杯冰美式
·
2024-02-09 05:53
Web安全--SQL注入
web安全
sql
数据库
CTF-
Web安全
--SQL注入之Union注入详解
一、测试靶场与使用工具浏览器:火狐浏览器--Firefox靶场:sqli-labs使用插件:HackBar操作环境:phpstudy二、判断字符型注入与数字型注入操作步骤:1、用F12打开控制台,打开HackBar,LoarURL,将当前靶场的URL信息复制到操作台上2、输入?id=1,观察到页面发生变化,显示的是id=1时数据库中的信息,?是用来分割URL和查询字符串的,查询到了id=1时的用户
给我杯冰美式
·
2024-02-09 05:52
Web安全--SQL注入
web安全
sql
安全
CTF--
Web安全
--SQL注入之‘绕过方法’
一、什么是绕过注入众所周知,SQL注入是利用源码中的漏洞进行注入的,但是有攻击手段,就会有防御手段。很多题目和网站会在源码中设置反SQL注入的机制。SQL注入中常用的命令,符号,甚至空格,会在反SQL机制中被实体化,从而失效,这时就要用到绕过的方法继续进行SQL注入。二、过滤注释符绕过1、反注入形式:SQL注入语句中,常见的注释符有三种:分别写作?id=1'--+/?id=1'#/?id=1'%2
给我杯冰美式
·
2024-02-09 05:50
Web安全--SQL注入
web安全
sql
数据库
web安全
学习
Day06--加密解密算法网站查询:cmd5.commd5:虽然说md5是不可逆,但是md5的解密实际上是枚举的算法(类似于在库中查找明文进行比对)时间戳:url编码:%+0-9或a-z组成的两位数。例如‘’的url编码是%20base64:0-9a-zA-Z组成,经常密文后面有一个或两个’=‘,区分大小写,长度随着明文的长度的增加而增加Unescape:%开始+u+四位的一个数字,与明文中两位相
lwwwa.
·
2024-02-08 22:43
网络安全
web安全
学习
kali系统搭建BlueLotus_XSSReceiver-master
1.访问GitHub-trysec/BlueLotus_XSSReceiver:XSS平台CTF工具
Web安全
工具下载BlueLotus_XSSReceiver-master2.我的kali系统已安装apache2
fengtianlei159
·
2024-02-08 07:41
安全
web安全
php
小迪渗透&CTF夺旗&SRC挖掘(拾叁)
常考点弱类型绕过对比总结反序列化考点:网鼎杯2020-青龙组-web-AreUserialzpreg_match绕过-ctfhub-2020-第五空间智能安全大赛-web-hate-php涉及资源85.JAVA反编译&
XXE
进击的网安攻城狮
·
2024-02-08 05:43
python
flask
pycharm
CTF之
web安全
web安全
CSRF简介CSRF,全名CrossSiteRequestForgery,跨站请求伪造。
不胜舟-
·
2024-02-07 18:43
xss
mysql
git
php
安全
XXE
攻击原理
1简述
XXE
(XMLExternalEntity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。
这是什么娃哈哈
·
2024-02-07 17:43
Web安全
基础:第4节:服务端请求伪造:SSRF漏洞-基础篇
1.SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网
花纵酒
·
2024-02-06 17:12
网络对抗技术
网络安全
SSRF:服务端请求伪造攻击
服务端请求伪造(ServerSideRequestForgery):是最近几年出现的一种web漏洞,2021年,SSRF被OWASP列为Top10
web安全
风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
未知百分百
·
2024-02-06 17:10
安全
网络安全
web安全
安全
ssrf
php
前端
chapter09_保护Web应用_1_Spring Security简介
SpringAOP和Servlet中的Filter过滤Web请求(1)SpringSecurity借助一系列ServletFilter提供各种安全性功能(2)但是我们只需要配置一个Filter,当我们启用
Web
米都都
·
2024-02-06 03:13
(黑客)网络安全——自学
1.无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如
Web安全
技术,既有Web渗透2.也有Web防御技术(WAF)。
不会写代码的小彭
·
2024-02-05 17:43
web安全
安全
风炫安全
Web安全
入门第一期课程总结
风炫安全
Web安全
入门第一期课程总结风炫安全
Web安全
入门第一期课程总结我们第一期的
Web安全
入门学习,已经基本完成了,这节课我们来最后做一下总结。
风炫安全
·
2024-02-05 14:12
网络攻击和渗透中:注入信息无回显?(给盲注戴上眼镜)靶机实战利用Ecshop 2.x/3.x SQL注入/任意代码执行漏洞
(像ssrf,
XXE
,包括SQL盲注),这样就无法确认漏洞存在。这时候推荐使用CEYE平台。CEYE是一个用来检测带外(Out-of-
代码讲故事
·
2024-02-05 13:30
Hacker技术提升基地
sql
数据库
WAF
payload
靶机
sql注入
执行漏洞
vulnhub-
XXE
漏洞靶机流程(图文+工具包)
靶机下载链接http://download.vulnhub.com/
xxe
/
XXE
.zipwin下全套工具包链接:https://pan.baidu.com/s/1joOWbE6823GuFyBm92sR0A
年关
·
2024-02-05 13:48
漏洞
安全
web安全
靶机实战bwapp亲测
xxe
漏洞攻击及自动化
XXE
注射工具分析利用
靶机实战bwapp亲测
xxe
漏洞攻击及自动化
XXE
注射工具分析利用。
代码讲故事
·
2024-02-05 12:46
Hacker技术提升基地
黑客
靶机
攻击
漏洞
自动注入
XXE
bwapp
零基础到精通Web渗透测试的学习路线
Web安全
相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
网安福宝
·
2024-02-05 00:34
网络安全
渗透测试
渗透测试学习
web渗透
web安全
渗透测试从入门到精通
Web安全
文章目录常见攻击方式XSSCSRFIDORSSRFSQLInjection命令执行文件包含文件上传点击劫持条件竞争XXEXSCH敏感信息泄露敏感信息泄露常见攻击方式XSS跨站脚本攻击,可以将代码注入到用户浏览的网页上,这种代码包括HTML和JavaScript攻击原理例如有一个论坛网站,攻击者可以在上面发布以下内容localtion.href="//domain.com/?c="+document
newcih
·
2024-02-04 18:05
web安全
安全
Web安全
—Web框架组成和各部分作用(持续更新)
Web框架组成和各部分作用:提要:了解Web框架的组成和作用有助于了解学习
Web安全
漏洞的原理和通信过程。
the zl
·
2024-02-04 09:29
Web安全-HTTP协议
前端
web安全
安全
风炫安全
WEB安全
学习第二十一节课 存储型XSS讲解
风炫安全
WEB安全
学习第二十一节课存储型XSS讲解存储型XSS演示存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中
风炫安全
·
2024-02-04 03:18
【靶场实战】Pikachu靶场敏感信息泄露关卡详解
Nx01系统介绍Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的
web安全
漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
晚风不及你ღ
·
2024-02-04 02:40
【靶场实战】
安全
web安全
[网络安全学习篇附]:Web 安全学习路线
TableofContents
Web安全
学习路线熟悉Windows/kaliLinux系统服务器安全配置脚本编程学习熟悉Web相关的概念熟悉渗透相关的工具渗透实战操作关注安全圈动态源码审计与漏洞分析安全体系设计与开发
白面安全猿
·
2024-02-03 19:38
Web安全
2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树
文章目录
Web安全
2.3:CSP安全策略、Cookie、Session、同源策略、HTMLDOM树一、CSP安全策略:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2
Slash · Young
·
2024-02-03 09:51
CSP安全策略
cookie
session
同源策略
HTML
DOM树
什么是HTTP劫持,有什么方案能处理
作为一个网络安全人员,
web安全
是需要了解的,从互联网诞生起,网络安全威胁就一直伴随着网站的发展,各种web攻击和信息泄露也从未停止。
德迅云安全杨德俊
·
2024-02-03 03:38
http
网络协议
网络
用友 GRP-U8 Proxy
XXE
-SQL注入漏洞
文章目录声明一、漏洞详情二、漏洞描述三、利用条件四、漏洞POC五、利用脚本六、漏洞代码分析声明本篇文章仅限技术学习与安全研究,切勿将文中所涉及的攻击手段用于非授权下渗透行为,造成任何后果与本文和作者无关。一、漏洞详情用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。二、漏洞描述该漏洞源于应用
李火火安全阁
·
2024-02-02 21:59
漏洞复现
Web安全
【靶场实战】Pikachu靶场不安全的文件下载漏洞关卡详解
Nx01系统介绍Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的
web安全
漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
晚风不及你ღ
·
2024-02-02 11:38
【靶场实战】
网络
安全
web安全
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他