WEB安全-XXE

想学黑客技术(网络安全),我劝你还是算了吧

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2024-01-03 09:20

小白想学网络安全(黑客技术),我劝你还是算了吧

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2024-01-03 09:20

网络安全(黑客)——自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2024-01-03 09:16

flask web学习之flask与http(四)

文章目录一、重定向进阶功能1.1重定向回上一个页面1.2对URL进行安全验证二、使用Ajax技术发送异步请求2.1什么是Ajax2.2使用jQuery发送Ajax请求三、服务器推送四、web安全规范1.
此处不留情·2024-01-03 08:39

SRC漏洞挖掘经验分享

文件解析造成的XXE网站存在一个有意思的功能点,通过上传Excel会将内容显示在页面上,也就是说后端会解析ExcelExcel是通过XML来存储数据的,也就是说网站解析了XML,那么我们就可以在XML中注入语句来尝试攻击新建一个
Python_chichi·2024-01-03 01:56

网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。

不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.基本方向:1.web
Python_chichi·2024-01-03 01:25

2024年山东省中职“网络安全”试题——B-3:Web安全之综合渗透测试

B-3:Web安全之综合渗透测试服务器场景名称:Server2010(关闭链接)服务器场景操作系统:"需要环境有问题加q"使用渗透机场景Kali中的工具扫描服务器,通过扫描服务器得到web端口,登陆网站
er,we,th·2024-01-02 23:20

安全学习入坑指南

Web安全:也称为应用安全,围绕网站安全锁延伸出来的Web前后端安全、服务器安全、数
YT--98·2024-01-02 20:25

深圳小公司-PHP 8-12k面试真题

MySQL引擎有啥、MySQL索引什么时候失效Redis常见类型和使用场景web安全简单介绍、讲讲SQL注入Git切换分支命令和冲突咋解决评论模块如何设计
KevinChone·2024-01-02 11:09

在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施

随着互联网的发展,Web应用程序越来越普及,但是Web安全问题也随之增加。前端开发者作为Web应用程序的构建者之一,需要了解和掌握Web安全的基本知识和解决方案。
邹荣乐·2024-01-01 18:34

跨域资源共享(CORS)详解

跨域资源共享(CORS)是一项关键的Web安全机制,用于解决由同源策略引起的跨域问题。在这篇文章中,我们将深入探讨CORS的概念、原理和最佳实践,以帮助开发者更好地理解和应对跨域请求的挑战。
ivwdcwso·2024-01-01 16:12

2024年网络安全竞赛-Web安全应用

Web安全应用(一)拓扑图任务环境说明:1.获取PHP的版本号作为Flag值提交;(例如:5.2.14)2.获取MySQL数据库的版本号作为Flag值提交;(例如:5.0.22)3.获取系统的内核版本号作为
旺仔Sec·2024-01-01 02:56

使用burp插件captcha-killer识别图片验证码(跳坑记)

文章来源|MS08067Web安全知识星球本文作者:Taoing(Web漏洞挖掘班讲师)一、0x01插件简介burp2020前使用:https://github.com/c0ny1/captcha-killer
Ms08067安全实验室·2023-12-31 20:52

web安全】短信等各类验证码的绕过思路整理

前言本文是对一些验证码可能出现的问题的总结。验证码的种类分析首先验证码有两种:1.短信验证码,这种通常出现在一些登录,修改绑定信息等位置处。2.人机验证码,这种一般是用来防止机器操作和密码爆破的,通常是一些识别文字数字,滑动识别图片等形式出现人机验证码的安全问题验证码不变化有时候输入密码什么的这种界面的验证码,只要输入之后,即使密码错误了也不会变化。这种情况就可以实现密码爆破了,手动输入密码之后直
残月只会敲键盘·2023-12-31 20:51

web安全】验证码识别-burp的captcha-killer-modified插件教程(基于百度接口)(总结一些坑)

前言菜某分享captcha-killer-modified插件的安装教程整体安装教程可以看他的安装captcha-killer-modified插件(windos+python环境)_aptcha-killer-modified的安装-CSDN博客但是有一点补充。这个里面的codereg.py文件有个问题可能是版本的问题或者本身他就是错的,这个函数的端口是需要用整数的,他写的字符串形式,会一直报错
残月只会敲键盘·2023-12-31 20:51

web安全】登录界面渗透的思路总结

前言小菜作者的总结。如果大家知道其他的安全问题,欢迎大家补充赐教。我们一起完善登录页面的渗透思路。(如果大家有好的博客讲解对应的漏洞,欢迎分享~)sql注入登录页面是需要与数据库打交道的。是需要带入数据库查询的。(但。。。不排除有人真的用个文件,表格啥的存数据)那么这个地方可能会存在post型的sql注入,盲注居多,配合注册等可以考虑一下二次注入。越权漏洞包含未授权访问,水平越权,垂直越权。未授权
残月只会敲键盘·2023-12-31 20:51

【网络安全】什么是XXE?从0到1完全掌握XXE

前置知识XML定义实体XML实体允许定义在分析XML文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的payload中就会有。XML文档有自己的一个格式规范,这个格式规范是由一个叫做DTD(documenttypedefinition)的东西控制的,他就是长得下面这个样子//这一行是XML文档定义上面这个DTD就定义了XML的根元素是message,然后跟
H_00c8·2023-12-31 05:28

《网络安全面试总结》--大厂面试题目及经验

做web渗透时接触过哪些工具xxe漏洞是什么?ssrf是什么?
MaKe教室·2023-12-31 03:40

XXE注入漏洞总结

XXE和XML概念XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
网安?阿哲·2023-12-30 20:37

自学网络安全:从入门到精通学习教学&实战演练,学完即可就业

不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.基本方向有:1.web
网安老伯·2023-12-30 06:54

web安全,常见的攻击以及如何防御

1、CSRF攻击CSRF即Cross-siterequestforgery(跨站请求伪造)(1)表单带一个后端生成的token,或用XMLHttpRequest附加在header里。...(2)设置cookie属性SameSite为Strict或Lax。基本就杜绝了CSRF攻击,当然,前提是用户浏览器支持SameSite属性。(3)验证HTTPOrigin或Referer字段。记录了该HTTP请求
追兔子的乌龟·2023-12-29 21:24

API 安全设计的建议

1、使用HTTPS现在的Web已经不是之前那个年代,标准的HTTP满足不了Web安全需求。而各大浏览器供应商开始标记不使用安全层的URL,你的API也可以考虑开始动手做这件事——用HTTPS。
安全方案·2023-12-29 19:55

如何从计算机小白进阶成一个网络安全技术“高手” ?

------------------分割线B站有相关零基础入门网络安全的视频网页链接给你大佬的进阶路线学习路线:了解基本知识---协议、脚本语言、端口、数据库、服务器、中间件、操作系统等等、接着是学习web
百汇智创安全君·2023-12-29 18:40

常用的测试工具有10类

常用的测试工具有10类:1.测试管理工具2.接口测试工具3.性能测试工具4.C/S自动化工具5.白盒测试工具6.代码扫描工具7.持续集成工具8.网络测试工具9.app自动化工具10.web安全测试工具1
IDayDayHappy·2023-12-29 08:25

【Spring Security】快速入门之案例实操

为什么使用SpringSecurity二、引言1、什么是SpringSecurity2、SpringSecurity工作原理3、特点三、快速入门1、引入依赖2、配置3、启动测试4、配置自定义账号密码四、Web
无法自律的人·2023-12-28 23:22

网络安全知识内容、小白入门攻略知识体系

网络安全是知识面kali是工作中用到的系统工具黑客是外人对这个职业的称呼web安全是网络安全工作种类的一种渗透测试是指专门渗透的网络安全内还包含黑客防御,劫持类的工作内容回答完这个问题,接下来说说学习路线想要做安全首先要了解安全
程序员漏网之鱼·2023-12-28 20:08

那些曾经大名鼎鼎的黑客,现在怎么样了?

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
会python的小孩·2023-12-28 17:40

网络安全实验——web安全

目录实验目的实验原理实验内容实验11.地址栏中执行脚本2.对DOM技术的利用实验21.jump12.jump23.get4.xss5.注册bss6.盗取cookie7.分析cookie实验3一.搭建IIS服务器二.身份验证和权限设置三.IP地址和域名限制四.安全通信五.单点登录实验总结实验目的1.了解什么是XSS2.掌握盗取Cookie的方法3.学会搭建IIS服务器4.学会对IIS服务器进行权限设
YSRM·2023-12-28 14:08

Web安全测试实战指南,干货满满

Web安全攻防:渗透测试实战指南本书由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法,并力求语言通俗易懂,举例简单明了,便于读者阅读、领会。
马士兵教育苹果老师·2023-12-28 14:57

小白想学黑客技术(网络安全),我劝你认真看完

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-27 09:49

网络安全(黑客)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-27 09:47

Nginx 用ModSecurity实现WAF功能

nginx-use-modsecurity-module-as-waf.htmlnginx配合modsecurity实现WAF功能January26,2015modsecurity原本是Apache上的一款开源waf,可以有效的增强web
SkTj·2023-12-26 18:16

想成为黑客?普通人我劝你看这里!(网络安全)

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-26 07:32

普通人想学黑客技术?零基础小白看这里!

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-26 07:32

网络安全(黑客)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-26 07:00

centos(18)-putty/winscp实现ssh密钥登录

关于密钥及其他本篇讲到的一些安全性知识概念,参考web安全(1)。
free_java·2023-12-25 23:00

【内网安全】——Linux权限维持

作者名:白昼安全主页面链接:主页传送门创作初心:以后赚大钱座右铭:不要让时代的悲哀成为你的悲哀专研方向:web安全,后渗透技术每日鸡汤:钱至少对于现在的我来说,的确是万能的在红队行动中在网络中获得最初的立足点是一项耗时的任务
Hacking庆尘·2023-12-25 16:18

solr XML外部实体注入(CVE-2017-12629-xxe)

目录一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2017-12629环境2、启动CVE-2017-12629环境3、查看CVE-2017-12629环境4、访问CVE-2017-12629环境5、查看CVE-2017-12629漏洞提示信息6、关闭CVE-2017-12629环境五、漏洞复现1、查看core2、Dnslog检测漏洞是否存在1.获取域名2.构造payload并执行
zkzq·2023-12-25 13:32

Web安全-文件上传漏洞(常见上传解析漏洞,常见检测方式绕过)

Web安全-文件上传漏洞Webshell概念Webshell是一种利用Web服务器的漏洞或弱点,通过远程上传恶意代码到服务器上(实质上是一种网页后门),并执行命令或控制服务器的一种攻击方式。
半只野指针·2023-12-25 11:45

Web安全】一款功能强大的Web身份认证测试框架

关于RaiderRaider是一款功能强大的Web身份认证测试框架,该框架被设计用来测试Web应用程序的身份认证机制。虽然像ZAProxy和Burpsuite这样的Web代理工具同样可以允许研究人员进行身份认证测试,但它们并不能提供测试认证过程本身的一个功能,即操纵相关输入字段来识别失效的身份验证。目前,真实场景中大多数身份验证漏洞都是通过手动测试或编写自定义脚本来识别的。而Raider的主要功能
H_00c8·2023-12-25 11:54

网易web安全渗透, sql漏洞之宽字节注入

目录宽字节注入原理什么是宽字节什么是宽字节注入宽字节注入实战判断是否存在sql注入漏洞进行读取数据宽字节注入防御宽字节注入原理什么是宽字节GB2312、GBK、GB18030、BIG5、Shift_JIS都是常见的宽字节编码1个字节的字符,是短字节,所有的英文占1个字节我们都知道1个字节占8位比如a二进制表示就是01011101,0和1组合有255种完全满足英文的2个字节的字符,是宽字节,中文默认
w啥都学·2023-12-24 16:39

网易web安全渗透, sql漏洞之二次编码注入

二次编码注入原理为什么要进行编码,有点应为原始的格式并不适合传输比如+=&;要是上面的这个符号在http传输中会和原始的有冲突原理urlencode()函数就是URL编码的结果等于%上面的%25url解码后就是%%27就是'实战实验环境搭建应为没有实验环境我就自己写了一个a.php文件代码';$b=mysqli_query($conn,$a);echo'输出结果:';$DuQu=mysqli_fe
w啥都学·2023-12-24 16:39

web安全】支付篡改

前言菜某的总结,如有错误和补充欢迎评论指正。内容仅供学习使用,切勿用于非法用途。支付篡改的存在位置与影响首先他的危害不言而喻,几乎任何一个拿出来都能给企业带来巨大的损失。他出现的地方也是十分的广泛,从某种意义来说,只要支付的功能越丰富,支付的种类越繁多,出现漏洞的几率都会越大。什么优惠卷,先到后付,现付,支付宝付款,微信付款,绑定卡号呀,活动抵消多少钱呀什么的,这种支付的功能全都可能产生支付的安全
残月只会敲键盘·2023-12-23 22:31

入门网络安全的经历分享,帮助更多想要入门的朋友重拾信心(网络安全该如何入门)

只是一个入了门刚要学完web安全的萌新学者,但是回顾我入门网络安全的那几年,走了很多很多弯路,也曾很多次放弃而又提起勇气。
残月只会敲键盘·2023-12-23 22:31

SQL进阶理论篇(二十):什么是SQL注入

web安全是一个很大的课题,稍有不注意,就会留下漏洞,允许别人通过非正常的方式注入SQL。本节我们将通过几个简单的练习来展示以下
经年藏殊·2023-12-23 21:26

风炫安全web安全学习第三十六节课-15种上传漏洞讲解(一)

风炫安全web安全学习第三十六节课15种上传漏洞讲解(一)文件上传漏洞0x01漏洞描述和原理文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。
风炫安全·2023-12-23 18:24

WEB系列(五)-----------SSRF/XXE/命令执行

SSRFSSRF(server-siterequestfirery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。与CSRF不同的是发起请求的对象不同。成因:服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制。产生ssrf漏洞的函数file_get_content()fsockopen()curl_exec()XXEXMLDTDDTD声明类型内部声明外部声明DT
weixinzjh·2023-12-23 14:25

网络安全——黑客——自学方法

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己
中国红客-网安海峰·2023-12-23 11:25

自学网络安全技术方法————必看(黑客速成)

1.无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透2.也有Web防御技术(WAF)。
「已注销」·2023-12-23 06:07

Web安全 - 深入同源策略

什么是同源?网站的“源”,是由(protocol,host,port)三元组定义的,两个网站(URL)同源是指它们的协议、主机、端口号都相同。为什么要同源策略?比如现在有两个网站alimama.com和aliniangniang.com如果我的aliniangniang.com是嵌在alimama.com页面,它们的前端页面还可以对对方的服务端发送请求,这并不是我们希望看见的。所以同源策略并不是用
Benaso·2023-12-23 02:47
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他