WEB漏洞攻防

web漏洞原理与防御策略,web漏洞怎么挖掘

目录Web安全的重要性编辑常见的Web漏洞类型及其原理:1、跨站脚本攻击(XSS):2、SQL注入:3、跨站请求伪造(CSRF):4、远程文件包含(RFI)和本地文件包含(LFI):5、目录遍历:防御策略防御跨站脚本攻击
白帽子凯哥·2023-12-15 19:06

月度小结|十月度总结

天才程序员》,关于黑客攻防与AI建模的科技竞技真人秀,热血满满,比得上《海贼王》。读了10本书,不过有两本是绘本。我好久没读完长篇小说了,读
别跑梅洛斯·2023-12-15 18:47

通过wireshark判断web漏洞的流量特征

sql注入定位http协议,通过查找get请求定位到关键字抓到关键字unionselectxss定位get请求的关键字文件上传找到对应的上传数据包,追踪tcp流文件包含、文件读取查看url找到包含的关键字在根路径写入一个phpinfo();使用../进行目录遍历ssrf出现关键字,url=http://,必然是可以执行远程文件尝试跳转百度,发现并没有过滤使用之前的1.php尝试跳转抓取数据包shi
config_星辰·2023-12-15 14:48

红队攻防实战之Redis-RCE集锦

心若有所向往,何惧道阻且长Redis写入SSH公钥实现RCE之前进行端口扫描时发现该机器开着6379,尝试Redis弱口令或未授权访问尝试进行连接Redis,连接成功,存在未授权访问尝试写入SSH公钥设置redis的备份路径设置保存文件名将数据保存在目标服务器硬盘上连接输入私钥成功连接Redis写入webshell实现RCE进行爆破连接redis备份文件写Shell进入默认目录创建文件写入webs
各家兴·2023-12-15 09:30

web漏洞的攻击及抓取攻击流量

以dvwa靶场为例,使用wireshark抓取攻击流量,并定位关键字段SQL注入攻击在sql注入攻击1'and1=2unionselectversion(),2#流量特征在数据包中可以清晰的查看源IP和目的IP在Wireshark选中Ethernet0网卡点击Submit,进行抓包利用unionselect关键字开始抓包并在Wireshark中停止抓包抓包成功查看目的ip地址的流量ip.dst==
西柠!·2023-12-15 01:43

18、Web攻防——ASP安全&MDB下载植入&IIS短文件名&写权限&解析

1.1搭建IIS网站1.2搭建网站会出现的一些问题1.2攻击思路二、ASP后门植入连接三、IIS短文件名探针——安全漏洞四、IIS6.0文件解析漏洞五、IIS6.0任意文件上传漏洞一、MDB默认下载web攻防常见开发语言
PT_silver·2023-12-15 01:04

19、WEB攻防——.NET项目&DLL反编译&未授权访问&配置调试报错

文章目录一、.NET项目——DLL文件反编译指向—代码特性二、.NET项目——Web.config错误调试—信息泄露三、.NET项目——身份验证未授权访问—安全漏洞web搭配:windows+iis+asp+accesswindows+iis+aspx+sqlserver一、.NET项目——DLL文件反编译指向—代码特性bin目录下的文件代表是可执行文件,.net项目中dll文件类似java的ja
PT_silver·2023-12-15 01:04

统一系统脆弱性管理平台:漏洞分析和修补的“绝佳工具”

国联统一系统脆弱性管理平台是由国联易安研究团队自主研发的新一代漏洞扫描管理系统,涵盖了网络空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、WEB漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描
焦点快讯·2023-12-15 00:44

浪潮信息 KeyarchOS 安全可信攻防体验

1.KeyarchOS——云峦操作系统简介  KeyarchOS即云峦服务器操作系统(简称KOS)是浪潮信息基于Linux内核、龙蜥等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,广泛兼容传统CentOS生态产品和创新技术产品,可为用户提供整套可视化CentOStoKeyarchOS迁移方案。KeyarchOS是一款面向政企、金融等企业级用户的Linux服务器操作系统,
Imagine Miracle·2023-12-06 09:12

2024年网络安全行业前景和技术自学

今天为大家解答下先说结论,网络安全的前景必然是超级好的作为一个有丰富Web安全攻防、渗透领域老工程师,之前也写了不少网络安全技术相关的文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信向我
喜欢蹲局子的小猿同学·2023-12-06 07:07

网络安全(一)--网络环境构成,系统的安全

2.网络攻防环境目标了解攻防环境构成了解入侵检测系统(平台)的部署位置2.1.环境构成2.1.1.环境框图一个基本的网络攻防实验环境包括:靶机、攻击机、入侵检测分析系统、网络连接四部分组成。
cat_fish_rain·2023-12-06 05:13

君子慎密,谋则神妙

随着时代的进步,科学技术的高度发展,事与事之间,人与人之间的各种关系,也越来越微妙复杂,科学越达上乘,攻防的法门也就越趋向神奇玄妙。凡是重大事情的策划之际,它的秘密性就更加重要。
文林cium·2023-12-05 23:08

网站安全攻防:降本增效的解决之道

在互联网时代,网站安全问题备受关注。网站遭受各种攻击的风险一直存在,这不仅威胁到网站的正常运行,也可能导致用户信息泄漏等严重后果。因此,对于网站管理员和业主而言,了解如何解决网站被攻击的问题显得尤为重要。本文将从降本增效的角度,向您介绍一些实用而经济的解决之道。使用Web应用防火墙(WAF)Web应用防火墙是一种专门用于保护网站免受各种网络攻击的工具。它可以监测、过滤和阻止来自互联网的恶意流量,从
剑盾云安全专家·2023-12-05 16:14

攻防世界——easyEZbaby_app

下载完成后是个apk文件,也就是这道题是安卓逆向需要使用到的工具:jadx,或者jbe这些都可以在52pojie上面搜到我用jadx来进行的操作这个文件一般是窗口界面,点击然后中间这个一般就是主函数(师傅说的)然后就到了这个界面很明显就锁定到了这个地方我们可以发现flag是由obj1和obj2组成可以发现obj1是用户名,obj2是密码在主函数下面紧跟着就是这两个函数我们先来看用户名部分publi
_Nickname·2023-12-04 23:25

攻防世界Reverse简单难度bad_python题解

开始分析拿到的是一个pyc文件,反编译回py文件即可查看源码反编译出错,百度后了解到是文件头有问题,可以自行编译一个pyc文件,按照该正常文件头修改所给文件头即可自行编译pyc文件根据文件名得到编译环境为python3.6,所以执行下面的代码也应在python3.6下#代码开头需导入py_compileimportpy_compile#随意写正确的python代码即可defprint_hi(nam
shenkong_·2023-12-04 23:54

攻防世界部分题目+python学习

攻防世界部分题目:1.考察网站robots页面的查看:网页地址后面加/robots.txt即可查看2.backup考察备份文件名的后缀:index.php加个bak就是备份文件,自动下载了3.cookie
Double_Black1213·2023-12-04 23:21

bad_python

攻防世界(xctf.org.cn)前戏下载文件,解压完成后是这个一个pyc文件这里要用到python的反编译要用到的工具有两个1.python自带的uncompyle62.pycdc文件——比uncompyle6
_Nickname·2023-12-04 23:50

攻防世界fileclude

首先打开环境进入环境代码分析我们可以看出我们所找的flag就在flag.php这一个文件夹中,然后我们可以看出有两个变量$_GETfilel1和$GET_filel2,我们要获取到;两个变量的get数据给到filel1和filel2。构造payload,这里文件包含的file1使用的是php伪函数进行传输的,file2使用的data://text/plain进行内容的传入注入“?file1=php
正在努力中的小白♤·2023-12-04 16:20

寿险公司通过开源治理保障数字创新,安全打通高质量服务新通道

同时,大数据时代的不断发展,深刻影响了网络攻防方式,而金融
开源网安·2023-12-04 15:09

31-WEB漏洞-文件操作之文件包含漏洞全解

31-WEB漏洞-文件操作之文件包含漏洞全解一、本地包含1.1、无限制包含漏洞文件1.2、有限制包含漏洞文件1.2.1、绕过方法1.2.1.1、%00截断1.2.1.2、长度截断二、远程包含2.1、无限制包含漏洞文件
月亮今天也很亮·2023-12-04 10:22

CBA本土球员控卫榜,个人数据是关键,再有就是基于球队战绩!

近些年篮球发展,控卫的攻防两端要求都在提升,说白点就是趋于全能
陈晖篮球·2023-12-04 08:39

攻防靶场|Vulnstack2靶场之CS实战

0x00简介最近学点攻防,拿靶场练练手,大佬轻喷哈。靶场简介:红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。
灼剑(Tsojan)安全团队·2023-12-04 05:43

注册 【网络安全】红队攻防之基础免杀

引言本文主要介绍“反射型dll注入”及“柔性加载”技术。反射型dll注入为什么需要反射型dll注入常规的dll注入代码如下:intmain(intargc,char*argv[]){HANDLEprocessHandle;PVOIDremoteBuffer;wchar_tdllPath[]=TEXT("C:\\experiments\\evilm64.dll");printf("Injecting
百事没事阿·2023-12-04 05:12

攻防实战:如何检测或优化内存中的.NET Tradecraft

概述对于红队的攻击操作来说,使用内存中的Tradecraft所起到的效果变得越来越大,这主要是由于EDR不断进行功能改进,已经使越来越多的蓝队获得了监测运行中内存的能力。此前,我们曾经讨论过将混淆处理集成到管道中的方法,也讨论过如何绕过Windows事件跟踪的方式,这两种方法都可以有助于减少蓝队用于检测内存中Tradecraft的有效指标。PentestLaboratories近期发表了一篇题为《
systemino·2023-12-04 05:12

红队攻防实战之某商城Getshell

此后如竟没有炬火,我便是唯一的光信息收集端口扫描nmap-T4-A-p1-65535可以看到目标系统开放22、80、888、3306、8800端口敏感文件扫描http:///admin/login.html后台登陆地址泄露漏洞挖掘phpinfo信息泄露phpinfo信息泄露,此站为LinuxThinkphp代码执行Getshell:http:///index.php?s=index/think\a
各家兴·2023-12-04 05:12

红队攻防实战之Access注入

若盛世将倾,深渊在侧,我辈当万死以赴访问漏洞url:1.Access联合查询判断是否有注入and1=1正常,and1=2出错判断字段数orderby7正常orderby8出错爆破出表名并判断回显点为2,5查看字段内容,将字段名填入回显点1MD5解密2.Access偏移注入按上面的步骤判断出表名和字段数之后开始使用偏移注入偏移量就是逐步增加或递减,直到出现结果。*表示可代替的字符串,用*代替7,返回
各家兴·2023-12-04 05:39

五分钟带你看完黑客设备

另外,最后我们攻防有道,也会介绍如何采取有效措施来保护自己免受威胁。黑客:黑客攻击就是未经授权访问、使用我们设备、系统、数据。黑客并不总是下
程序猿~厾罗·2023-12-04 00:14

巅峰舰队

游戏收录各国顶级战舰,多种战斗阵型任你选择,自由操控不同种类的战舰与敌方激战;四大军事战术,独特的攻防系统,让你及时了解敌军的一举一动;百万舰队全球争霸,感受万舰齐发的辉宏气势,还等什么,赶快来称霸大洋吧
爱你的虎口我脱离了危险·2023-12-04 00:59

小迪渗透&WEB漏洞(叁-叁)

文章目录25.XSS跨站原理&攻击手法(25-32)25.1XSS的原理、危害、特点25.2反射型验证(post)25.3存储型验证25.4xss平台测试涉及资源26.XSS跨站之订单及shell箱子反杀26.1webshell箱子26.2beef-xss工具(kali环境)26.3cookie&session涉及资源27.XSS跨站代码及httponly绕过27.1httponly涉及资源28.
进击的网安攻城狮·2023-12-03 21:22

浓眉哥42分统治比赛,NBA赛事前瞻:湖人队有望满血复活,太阳队似乎陷入困境

北京时间5月10日,湖人主场迎战太阳,浓眉哥安东尼·戴维斯在比赛中统治了攻防两端,全场砍下42分12篮板5助攻3抢断3盖帽,带领球队战胜太阳。
米哥说球·2023-12-03 13:51

ctfhub技能树_web_信息泄露

2.3.3、vim缓存2.3.4、.DS_Store2.4、Git泄露2.4.1、log2.4.2、stash2.4.3、index2.5、SVN泄露2.6、HG泄露二、信息泄露2.1、目录遍历注:目录遍历是Web
YanLucyqi·2023-12-03 09:09

国内最强的6个网安巨头,学网安不想进这的都没啥前途!

二、360网络攻防实验室虽然他们的产品360卫士老是被人诟病,但丝毫不影响360在国内黑客界的地位,业界一直有这么一个传言,国内顶尖的黑客不是在监狱就是在360,可想而知
网络安全叶师傅·2023-12-03 07:52

CTF比赛是什么?需要学哪些东西,1篇文章给你讲透彻!

三、网络安全学习资源1.学习路线2.视频教程3.工具包、面试题和源码很多学习网络攻防的人都想参加CTF打比赛证明自己,但千万不要盲目打比赛,这篇文章我给你讲清楚关于CTF具体是什么情况,以及你要学哪些东西
程序员霸哥·2023-12-03 06:17

遥控车钥匙算法之KeeLoq

但遥控车钥匙的攻防一直是行业内的高光领域,是车联网安全工程师理解车联网安全的重要起点之一。
车联网安全杂货铺·2023-12-03 03:32

靶机DC-1攻防

实验环境:DC-1与kali在同一网段:192.168.0.0/24DC-1MAC地址:00:0C:29:a6:cd:cekaliIP:192.168.0.1080x01信息收集使用netdiscover工具查找ipnetdiscover是一款ARP侦察工具,通过网络中的ARP包来确定IPnetdiscover-ieth0-r192.168.0.0/24#i指定网卡r指定网段dc-1ip:192.
jay_wong_1996·2023-12-02 23:49

P8A110-A120经典赛题

Web应用程序SQLInject安全攻防任务环境说明:服务器场景:WebServ2003(用户名:administrator;密码:空)服务器场景操作系统:MicrosoftWindows2003Server
明裕学长·2023-12-02 22:05

python中的后渗透|也可用于AWD攻防--shell管理

在所有的旋律中,wing对说散就散最专一!wing0x00前言在平时或者线下AWD的时候,有一个shell管理器可以让我们打到事半功倍的效果。前提你要能获得别人shell,不然这个也没什么用了。我这里写好的这个只是一个思路,真正的后渗透工具,远比这个强大。0x01具体思路先看有哪些主机和自己已经连接了加一个多线程管理然后就是给连接的主机编号,哪个主机是哪个ip选择相应的主机编号,进入对方shell
RedTeamWing·2023-12-02 22:14

攻防世界--WEB--9.xff_referer--wp

一.题目二.解题过程法一:1.进入场景,提示ip必须为123.123.123.123,打开xxf伪造ip2.刷新,提示必须来自https://www.google.com,F12打开hackbar,点击loadurl--referer,输入地址后execute得到flag:cyberpeace{591145c56594517f240142a280711f3c}法2:1.打开burp抓包,点击行动-
Du1in9·2023-12-02 19:02

[每周一更]-(第75期):Go相关粗浅的防破解方案

作为编译语言,天然存在跨平台的属性,我们在编译完成后,可以再不暴露源代码的情况下,运行在对应的平台中,但是还是架不住有逆向工程师的反编译、反汇编的情形;(当然我们写的都不希望被别人偷了,以下内容简单做个攻防介绍
ifanatic·2023-12-02 14:43

攻防演练】Github信息泄漏的分析溯源过程

在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。下面展开有趣的分析溯源过程。
H_00c8·2023-12-02 11:13

Sorry,I can't speak Chinese,But I can Wing Chun.

其长处在于埋身搏击,拳快而防守紧密,马步灵活并且上落快,攻防同时,注重刚柔并济,凭借桥手肌肤灵敏的感觉,发挥寸劲力量当都在讽刺中国武术没落时,唯有它在全世界开枝散叶与它接触的时间越久,越能理解它为什么这么让人信赖
李义轩_5112·2023-12-02 10:26

网络靶场攻防综合实验

目录一,靶场环境搭建1.1,网络拓扑结构图1.2,搭建简易的网络攻防实验靶场环境,包括:1.3,网络靶场攻击渗透测试,包括:1.4,网络靶场攻击检测二,靶场的搭建与攻击渗透测试2.1,Honeyd2.1.1
汤不憨·2023-12-02 06:54

java接口签名框架

1.1什么是重放攻击重放攻击,web漏洞中称会话重放漏洞,又称重播攻击、回放攻击。
Icoolkj·2023-12-02 02:19

虎年第51次打羽毛球

百扣柯帅的力量攻防很好,又涨球了。吾之力量弱势很明显,失误稍多便会输球。闲时称重,180+,伤心太平洋。
和乐伯阳·2023-12-01 22:38

网络安全(黑客)自学笔记1.0

算上从学校开始学习,已经在网安这条路上走了10年了,无论是以前在学校做安全研究,还是毕业后在百度、360从事内核安全产品和二进制漏洞攻防对抗,我都深知学习方法的重要性。
黑客小蓝·2023-12-01 22:01

区块链安全100问 | 第五篇:黑客通过这些方法盗取数字资产,看看你是否中招?

零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理
零时科技·2023-12-01 12:29

DVWA下载、安装及使用教程,网络安全小白必看!

DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞
白袍万里·2023-12-01 12:33

Web漏洞总结: OWASP Top 10

开发安全-OWASPTop10在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业内Web安全漏洞的趋势。
pdai·2023-12-01 04:38

对NBA2021-2022赛季季后赛分区决赛以及总决赛预测

2.球队分析热火,内外兼备攻防俱佳,进攻77,防守82。凯尔特人,偏向锋线进而偏向外线,其最佳防守球员也是一个外线球员,内线并没有出色的球员,当然其防守也不错,进攻85,防守79。
张石汉·2023-12-01 03:58

攻防世界-CatFlag-.删库跑路-[简单] 凯撒大帝在培根里藏了什么-[简单] 简单的base编码-misc1-流量分析2

1.CatFlag用kali直接查看得到CatCTF{!2023_Will_Be_Special,2022_Was_Not!}2.删库跑路-下载附件用kali中的binwalk-e分离文件查看分离的文件得到flag{c28c424b-fd8c-45b9-b406-0a933b1ca7b1}3.[简单]凯撒大帝在培根里藏了什么下载附件解压得到文件先培根解密然后用凯撒密码得到像flag的字符串,根据题
lin__ying·2023-12-01 00:07
上一页 7 8 9 10 11 12 13 14 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他