WEB安全-XXE

了解一下Spring Security吧

2.核心概念2.1认证(Authentication)2.2授权(Authorization)2.3过滤器链(FilterChain)3.使用SpringSecurity保护Web应用3.1配置Web安全
人不走空·2023-12-16 12:42

网络安全(黑客技术)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-16 11:46

php 任意文件上传漏洞,一个任意文件上传漏洞的复现、分析、利用与防御建议...

本文详细讨论CMSMS中的另一个漏洞,也是Web安全中较为常见的一种漏洞类型。ShowTime2是CMSMS中比较常用的
黑岛人·2023-12-16 02:21

XXE利用的工作原理,利用方法及防御的案例讲解

XXE(XML外部实体注入)利用是一种网络安全攻击手段,其中攻击者利用XML解析器处理外部实体的方式中的漏洞。
白帽子凯哥·2023-12-16 02:25

前端知识合集

3、mode,Java、AngularJS二、Web安全防范三、web
KunQian_smile·2023-12-16 01:45

Web安全-SQL注入【sqli靶场第11-14关】(三)

★★实战前置声明★★文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。0、总体思路先确认是否可以SQL注入,使用单双引号,1/0,括号测试’"1/0),页面显示不同内容或响应长度来确定。存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。为方便验证提交拦截到
大象只为你·2023-12-15 19:44

web漏洞原理与防御策略,web漏洞怎么挖掘

目录Web安全的重要性编辑常见的Web漏洞类型及其原理:1、跨站脚本攻击(XSS):2、SQL注入:3、跨站请求伪造(CSRF):4、远程文件包含(RFI)和本地文件包含(LFI):5、目录遍历:防御策略防御跨站脚本攻击
白帽子凯哥·2023-12-15 19:06

Web安全XXE漏洞原理及实践学习

一、原理:XXE漏洞全称即XML外部实体注入漏洞。
Guess'·2023-12-15 19:33

DNSLog漏洞探测(五)之XXE漏洞实战

DNSLog漏洞探测(五)之XXE漏洞实战本文我们来学习如何利用DNSLog平台探测目标网站是否存在RCE漏洞,接下来我们还是利用Pikachu的靶场作为演示。
千负·2023-12-15 19:44

DNSLog漏洞探测(七)之SQL注入漏洞实战

DNSLog漏洞探测(七)之SQL注入漏洞实战在前面的文章之中,我们已经学习了XSS、RCE、XXE、SSRF漏洞中有关于DNSLog平台的使用。
千负·2023-12-15 19:38

web安全】文件包含漏洞详细整理

前言菜某的笔记总结,如有错误请指正。本文用的是PHP语言作为案例文件包含漏洞的概念开发者使用include()等函数,可以把别的文件中的代码引入当前文件中执行,而又没有对用户输入的内容进行充分的过滤,所以导致用户可以通过改变输入访问任何文件。危害单单一个文件包含的话,并不能有什么大的威胁,但是他像艾滋病一样,他不会干掉你,但是他能让其他的漏洞危害无限放大,让其他漏洞干掉你。最大功能:不管什么形式的
残月只会敲键盘·2023-12-15 04:59

总结几种常见的网络攻击,及解决方案

背景:最近公司技术分享,同事分享了常见的安卓系统攻击方式,作为一个服务端的开发工程师,当然是也要科普一下web安全。本文章会简单介绍一下目前常见的web常见攻击方式,跟如何应对这些攻击方式。
文安初心忆往昔·2023-12-15 02:49

web安全的基本概念及其应用场景

Web安全是指通过对Web应用程序和Web服务器进行保护来保护Web系统免受网络攻击和数据盗窃等威胁的一种安全措施。基本概念包括:信息安全:保护信息不受未经授权的获取、使用、修改或者泄露。
财神爷的心尖儿宠·2023-12-15 00:26

web安全】逻辑越权漏洞

前言菜某分享,有误请指正越权漏洞功能顾名思义,他能使用别的用户的权力。我们网站有许多用户,有普通用户,管理员,最高级的管理员等多种账户。这个越权漏洞就是指我们可以行使别的用户的权力。越权漏洞的分类1.水平越权这个是指同级别的用户的越权。打个比方:我是一个qq普通群聊成员,你也是qq普通群聊成员,我能够越权行使你的权力,用你的账号发送脏话,发小视频,然后群主把你给踢了。这就是水平越权。2.垂直越权这
残月只会敲键盘·2023-12-14 22:31

安全测试怎么入门?

web安全测试的启蒙教育吧,比较简单的让大家了解下sql注入等安全测试内容;安全测试作为一门越来越受关注的测试技术,至少近年来我的体会是更多的人加入安全测试领域,原因?
学掌门·2023-12-14 19:58

黑客零基础入门 | 网络安全

u=840458441,2656157908&fm=26&fmt=auto.jpeg【学习资料】导语什么是Web安全?我又该如何入门学习它呢?学习过程中又应注意哪些问题呢?...
H_00c8·2023-12-14 18:26

网络安全(黑客技术)—学习

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-12-14 15:26

青少年CTF-Crypto(Morse code/ASCII和凯撒)

FLAG:你这一生到底想干嘛专研方向:Web安全,Md5碰撞每日emo:不要因为别人都交卷了,就乱选答案文章目录1.Morsecode2、ASCII和凯撒的约定1.Morsecode题目提示摩尔斯电码,
是liku不是里库·2023-12-14 15:23

风炫安全WEB安全学习第二十节课 反射型XSS讲解

风炫安全WEB安全学习第二十节课反射型XSS讲解反射性xss演示原理讲解如果一个应用程序使用动态页面向用户显示错误消息,就会造成一种常见的XSS漏洞。
风炫安全·2023-12-07 00:51

web学习路线

Web安全渗透方面的学习路线?原地址:http://www.zhihu.com/question/21914899乌云社区是国内技术氛围最好的社区,没有之一。
许胖子·2023-12-06 19:05

小猿圈Web安全初学者指南

现在web安全是热门技术之一,这也是大家一直追捧的原因之一,那么为什么会这样呢?下面小猿圈web安全讲师为你简单介绍一下Web安全初学者指南吧,希望对你有所帮助。
小猿圈_7197·2023-12-06 13:21

网络运维与网络安全 学习笔记2023.12.5

网络运维与网络安全学习笔记第三十五天今日目标su用户切换、sudo命令提权、部署动态Web应用数据库安全加固、Web安全加固网络监控基础、配置zabbix主控机、配置zabbix被控机管理监控项、监控结果分析
我叫好心态·2023-12-06 07:43

2024年网络安全行业前景和技术自学

今天为大家解答下先说结论,网络安全的前景必然是超级好的作为一个有丰富Web安全攻防、渗透领域老工程师,之前也写了不少网络安全技术相关的文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信向我
喜欢蹲局子的小猿同学·2023-12-06 07:07

2023年甘肃省职业院校技能大赛(中职教师组)网络安全竞赛样题(二)

任务二日志安全配置(Windows)A-3任务三中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)A-4任务四流量完整性保护(Windows)A-5任务五防火墙策略(Linux)A-6任务六WEB
旺仔Sec·2023-12-05 16:28

2024年甘肃省职业院校技能大赛(中职教师组)网络安全竞赛样题卷⑤

安全加固(本模块200分)A-1任务一登录安全加固(Windows)A-2任务二本地安全策略设置(Windows)A-3任务三日志安全审计(Windows)A-4任务四数据库加固(Linux)A-5任务五Web
落寞的魚丶·2023-12-05 16:49

2023年甘肃职业院校技能大赛(中职教师组)网络安全竞赛样题(五)

中职教师组)网络安全竞赛样题(五)(总分1000分)目录模块A基础设施设置与安全加固模块B网络安全事件响应、数字取证调查和应用安全B-1任务一:Linux系统安全B-2任务二:漏洞扫描与利用B-3任务三:Web
旺仔Sec·2023-12-05 09:15

2023年甘肃省职业院校技能大赛(中职教师组)网络安全竞赛样题(三)

三)(总分1000分)目录模块A基础设施设置与安全加固模块B网络安全事件响应、数字取证调查和应用安全B-1任务一:主机发现与信息收集B-2任务二:渗透测试B-3任务三:MYSQL安全测试B-4任务四:Web
旺仔Sec·2023-12-05 09:44

Web安全-初识SQL注入(一)

1、初识SQL注入1.1、什么是注入?将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。注入能导致数据丢失、破坏或泄露给无授权方,缺乏可审计性或是拒绝服务。注入有时甚至能导致主机完全被接管。注入攻击的本质:就是把用户输入的数据当做代码执行。(过于
大象只为你·2023-12-05 08:19

web安全】RCE漏洞原理

前言菜某的笔记总结,如有错误请指正。RCE漏洞介绍简而言之,就是代码中使用了可以把字符串当做代码执行的函数,但是又没有对用户的输入内容做到充分的过滤,导致可以被远程执行一些命令。RCE漏洞的分类RCE漏洞分为代码执行和命令执行两种代码执行概述:源代码能够把字符串当做代码运行影响范围:能够做代码能够做的事情注意事项:这个输入的代码要与源代码的语言相同,即源代码用的php写的就必须用php的语句。命令
残月只会敲键盘·2023-12-05 08:10

9、web安全综述

文章目录一、web核心组成二、web架构2.1Web服务器2.2Web容器2.3Web服务端语言2.4web开发框架2.6软件系统三、常见web安全漏洞3.1信息泄露3.2目录遍历3.3跨站脚本攻击(XSS
PT_silver·2023-12-05 06:05

风炫安全WEB安全学习第十八节课 使用SQLMAP自动化注入(二)

风炫安全WEB安全学习第十八节课使用SQLMAP自动化注入(二)–is-dba当前用户权限(是否为root权限)–dbs所有数据库–current-db网站当前数据库–users所有数据库用户–current-user
风炫安全·2023-12-04 21:35

Spring Security OAuth2之认证服务、资源服务、web安全配置服务加载优先级详解

order的值越小,类的优先级越高,IOC容器就会优先加载,上面的优先级是:认证服务器配置(0)>资源服务器配置(3)>web安全服务配置(100)在做资源权限配置的时候按照优先级高的来配置
HSJ0170·2023-12-04 13:12

Apache solr XXE 漏洞(CVE-2017-12629)

任务一:复现环境中的漏洞任务二:利用XXE漏洞发送HTTP请求,在VPS服务器端接受请求,或收到DNS记录任务三:利用XXE漏洞读取本地的/etc/passwd文件1.搭建环境2.开始看wp的时候没有看懂为什么是
22的卡卡·2023-12-04 06:06

在W3cschool学习的心得

这是我第一次写这个东西我本来是想学web安全的,看到很多教程web安全的基础是要学PHP服务端语言的,我在网上到处找教程,终于在W3cschool找到了谁都没有这么多的学习资源,找到了PHP语言什么都不做就开始学
Nadine_·2023-12-04 02:58

[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-12-03 14:15

这份网络安全入门笔记(共327页),助你步入安全门槛

前言随着Web技术发展越来越成熟,而非Web服务越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全
程序员小芽·2023-12-03 09:40

参加CTF比赛要学哪些东西?过来人告诉你,不会这些都没戏!

文章目录一、编程语言二、计算机网络三、操作系统四、算法五、网络安全理论六、攻击手段七、web安全八、学习路线图九、网络安
网络安全叶师傅·2023-12-03 06:15

白帽子讲web安全-文件上传漏洞

概述要完成这个攻击,要满足几个条件,首先,上传的文件能够被web容器解析执行,其次用户能够从web上访问这个文件,最后,用户上传的文件若被安全检查,格式化,图片压缩等功能改变了内容,则也有可能导致攻击不成功。比如绕过文件上传检查功能,检查后缀中,在文件名后添加一个%00字节,则可以截断某些函数对文件名的判断。(%00广泛用于字符串处理函数的保留字符)检查前头时,为了绕过类似的MIMESniff的功
北邮小菜鸡·2023-12-03 01:47

2020-07-02

是个前端都应该了解的web安全知识(附一些较新的防范方法)前言对于很多刚开始工作的前端而言,web安全似乎是一个说不清道不明的东西。关于web安全,认真学习总结一下,其实就会发现它不难。
哲班丘·2023-12-02 10:58

web安全】ssrf漏洞的原理与使用

前言菜某对ssrf漏洞的总结。ssrf的作用主要作用:访问外界无法访问的内网进行信息收集。1.进行端口扫描,资源访问2.指纹信息识别,访问相应的默认文件3.利用漏洞或者和payload进一步运行其他程序4.get类型漏洞利用,传参数实现攻击5.post型漏洞利用,用gopher协议进行参数构造6.拒绝服务攻击(访问大文件占用资源)ssrf的原理当网站有一个功能,能去访问网络上的其他资源时,我们可以
残月只会敲键盘·2023-12-02 06:00

图解系列--HTTPS,认证

确保Web安全的HTTPS1.HTTP的缺点1.1.通信使用明文可能会被窃听加密处理防止被窃听加密的对象可以有这么几个。
raindayinrain·2023-12-01 20:13

河南省第一届职业技能大赛网络安全项目试题

河南省第一届职业技能大赛网络安全项目试题一、竞赛时间总计:420分钟竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值A模块A-1登录安全加固240分钟200分A-2Web安全加固(Web)A-3流量完整性保护与事件监控
m0_46056107·2023-12-01 16:34

web安全--点击劫持攻击与防御技术简介

引言:昨天搞googleiframe时,接触到了点击劫持(clickjacking)的概念。以前看《图解HTTP》的时候也接触到了这个概念【大学时候还接触到SQL注入、XSS跨站脚本攻击(CrossSiteScripting),跨站请求伪造(Cross-siterequestforgery,简称CSRF或XSRF),服务器端请求伪造SSRF等相关概念】。今天查了相关资料,发现一篇好文章,现转载如下
fabao007·2023-12-01 11:45

网络安全(黑客)—自学

2.渗透技术掌握A.初级渗透首先要学习网络安全的渗透基础内容,包括信息收集,web安全,渗透工具精通,漏洞复现和实战漏洞挖掘B.高级渗透-分方向内容分很多但是整体所需要掌握的内容差
羊村最强沸羊羊·2023-12-01 08:01

网络安全应该怎么学?(0基础小白)

2.渗透技术掌握A.初级渗透首先要学习网络安全的渗透基础内容,包括信息收集,web安全,渗透工具精通,漏洞复现和实战漏洞挖掘B.高级渗透-分方向内容分很多但是整体所需要掌握的内容差
羊村最强沸羊羊·2023-12-01 08:29

Web安全之CSRF攻击

CSRF是什么?CSRF(CrossSiteRequestForgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。举个例子简单版:假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下:http://www.cnblogs
中科恒信·2023-12-01 04:07

Web漏洞总结: OWASP Top 10

开发安全-OWASPTop10在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业内Web安全漏洞的趋势。
pdai·2023-12-01 04:38

web安全策略之iframe-sandbox

前言sandbox是html5的新属性,主要是提高iframe安全系数。iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox
JarunWang·2023-11-30 23:05

黑客学习资料干货(web方向)

前言说是黑客学习资料,只能说自己也是一个标题党了,这里只总结一些在web安全渗透方向的资料,有句话说在头,我感觉很重要,就是不要活在自己的世界里,不要你以为怎么样就怎样,技术始终是为生活服务的。
浅影科技·2023-11-30 21:50

web安全】CSRF漏洞攻击与防御

前言总结,仅供学习。csrf的理解我们了解一个网站有修改信息,密码,添加删除管理,支付转账的功能之后。通过抓包抓取对方修改操作的数据包样式,然后在自己网站搭建一个指令。当别人来访时,如果正好打开着目标网站,就发送修改信息的数据包,从而实现被修改信息。简而言之就是用目标的名义去发送数据包csrf目前的存在情况大型网站一般都是有防护的。小中型的网站后台常有。但是中小型网站,信息价值确实也就那样。。。。
残月只会敲键盘·2023-11-30 19:58
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他