WEB漏洞攻防

Web漏洞扫描器—AWVS

Web漏洞扫描器针对于Web应用程序所开发的漏洞扫描器,例如SQL注入、XSS跨站脚本攻击等常见漏洞,进行主动式扫描探测是否存在漏洞。
InfI1traTe.·2024-02-06 02:26

web漏洞扫码工具

Invicti是一种自动化但完全可配置的Web应用程序安全扫描程序,使您能够扫描网站、Web应用程序和Web服务,并识别安全漏洞。Invicti可以扫描所有类型的Web应用程序,无论其构建平台或语言。Invicti是唯一一款能够以只读且安全的方式自动利用已识别漏洞以确认已识别问题的在线Web应用程序安全扫描程序。它还提供了漏洞证明,因此您无需浪费时间手动验证它。例如,在检测到SQL注入漏洞的情况下
黑贝是条狗·2024-02-06 02:56

网络攻防模拟与城市安全演练 | 图扑数字孪生

在数字化浪潮的推动下,网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。
图扑可视化·2024-02-06 00:52

攻防世界 misc--miss_01】

一、前言本次wp讲一下macOS和Windows的解题方法,感觉还是misc难度为1的题中,较为复杂的一个题。二、题解1.macOS(1)下载附件,需要输入密码,放入hexfiend后发现是zip伪加密,具体zip伪加密是什么,可以参考这位大佬的博客,很详细,所以此处不再赘述zip伪加密学习,压缩包十六进制数据含义分析_zip伪加密-CSDN博客(实际上当你在密码栏输入任意一个password后也
HeiOs.·2024-02-05 18:08

攻防世界 misc--心仪的公司】

本题牵扯流量分析(似乎都没用到),分享两种做题方式:第一种:Linux/macOS命令行输入:stringswebshell.pcapng|grep{第二种:利用wiresharkflag在右下角
HeiOs.·2024-02-05 18:08

攻防世界 misc-János-the-Ripper】

binwalk解压一下,即在misc100所在路径下,执行以下命令:binwalk-emisc100其中txt文件没用,同时发现0.zip需要密码,那么应该就是要爆破了。放到ARCHPR里面爆破一下,得到密码是fish解压后得到flag
HeiOs.·2024-02-05 18:38

攻防世界 misc---看雪看雪看雪】

一、前言感觉这个题是misc难度系数为1的题目中比较有意思的一道题,话不多说开整。二、解题思路首先就是得把握好标题,“雪”,重复了三遍,好像还挺重要(bushi),不过确实有一个叫snow的隐写工具(想到这里要靠积累QAQ),可能会用到。然后下载一下附件,就一张图片,然后就放到binwalk里看看,放到stegsolve里看看,放到hexfiend(mac是这个)里面看看,发现什么东西都没有。。。
HeiOs.·2024-02-05 18:38

攻防世界misc--流量分析1】

一、前言刚开始入门流量分析题目,后续几天也会发关于流量分析的wp。二、思路下载附件,用wireshark打开,分析流量包,使用http追踪流进行追踪发现post请求中有flag字样,由于URI和乱码不便于阅读,先对这段请求进行encodeURI解码。URL转码,encodeURI,encodeURIComponent—在线工具第一次解码后不完全,还需要第二次解码,得到上图结果。其中,这段代码比较重
HeiOs.·2024-02-05 18:06

十万字图文彻底掌握网络攻防中黑客常用手段PowerSploit攻击指南和后渗透实战,详细图文步骤指导掌握木马攻击、欺骗攻击、端口扫描与服务爆破实战技术

十万字图文彻底掌握网络攻防中黑客常用手段PowerSploit攻击指南和后渗透实战,详细图文步骤指导掌握木马攻击、欺骗攻击、端口扫描与服务爆破实战技术。
代码讲故事·2024-02-05 13:18

web漏洞“小迪安全课堂笔记”CSRF及SSRF

小迪安全课堂笔记CSRF及SSRF什么是CSRF?怎么做?CSRF验证方式——burp防御方案SSRF服务器端请求伪造(Server-SideRequestForgery)漏洞攻击:端口扫描,指纹识别,漏洞利用,内网探针各个协议调用探针:http,file,dict,ftp,gopher等httpfile本地浏览协议dict协议ftp协议协议与脚本的关联什么是CSRF?怎么做?CSRF:跨站请求伪
小不为霸·2024-02-05 06:43

网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验

网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验。SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
代码讲故事·2024-02-05 05:07

国庆福利双击 之 实验室攒了2年的资源大兜底

【内网安全攻防】2019年11月,基于国内第一本也是唯一一本内网安全方面专著《内网安全攻防:渗透测试实战指南》为教案,录制配套视频讲解,第一期课程于2020年10月30日全部结束,共计75课时。
Ms08067安全实验室·2024-02-05 02:20

数字孪生网络攻防模拟与城市安全演练

在数字化浪潮的推动下,网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。
图扑数字孪生·2024-02-04 22:13

某通用引发供应链的思考

某通用单位系:xxx奕科技公司产品如下:资产还不少,记住这个容器服务平台等下还要考,以及这个事务中心可强行接管统一熟悉的Caas平台,又是熟悉的老朋友云计算最近比较流行云上攻防,见的比较多的还是ak、sk
zkzq·2024-02-04 22:33

为啥网络安全缺口这么大,还是这么缺网络安全工程师?

原因主要为这三点:首先是学校的原因,很多学校网络安全课程用的还都是十年前的老教材,教学脱离社会需求,实操技能主要靠自学,所以真正学好网络攻防技术的人其实不多。
IT猫仔·2024-02-04 20:41

常见渗透测试靶场系统

http://pan.baidu.com/s/1o7VQPZk密码:09qz常见靶场DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB
bdcm·2024-02-04 19:17

《云原生安全攻防》-- 容器安全风险分析

在本节课程中,我们将提供一个全面的视角,来深入探讨容器环境下的安全风险,帮忙大家建立起容器环境下安全风险的整体认知。在这个课程中,我们将学习以下内容:容器技术概述:什么是容器技术以及它解决了什么问题。探索容器架构:深入了解容器、镜像、镜像仓库等核心概念。安全风险分析:逐层分析容器架构,识别各层面可能存在的安全风险。容器将集装箱思想引入到软件交付中,通过这种方式,来解决本地运行环境与生产运行环境不一
Bypass--·2024-02-04 11:32

第六十一天 服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere

第61天服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere知识点:中间件及框架列表:lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos
清歌secure·2024-02-04 06:29

对云函数隐藏C2技术的防御反制思路

声明出品|先知社区(ID:Jw5t)以下内容,来自先知社区的Jw5t作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任
长白山攻防实验室·2024-02-03 19:22

CSRF攻防

早在2018年就了解CSRF,偶然间注意到项目的VerifyCsrfToken中间件,心血来潮,于是就写了这篇文章。简介CSRF(跨站请求伪造),或称之为XSRF,是一种网络安全漏洞,黑客借用(不一定是盗用)受害者在已经登录过的网站上存留的会话凭证,作为通行证,借用受害者的身份实施的攻击行为。CSRF特点:属于攻击方式隐蔽,非硬扛目标服务器。身份伪造,危害性大。难以排查,因为请求都是合法请求。与X
小松聊PHP进阶·2024-02-03 15:18

最强的“矛“ 验关键的“盾“ | “铸网-2023“ 赛宁数字孪生靶场深度验证湖南工业互联网安全

为深入推动“智赋万企”数字安全屏障工程,由工业和信息化部网络安全管理局指导,湖南省工信厅和湖南省通管局主办的“铸网—2023”湖南省工业互联网企业网络安全实战攻防演练,于近日圆满收官。
Cyberpeace·2024-02-03 13:28

网络攻防模拟与城市安全演练 | 图扑数字孪生

在数字化浪潮的推动下,网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。
图扑软件·2024-02-03 10:24

c#的反汇编对抗

文章目录前记nim攻防基础FFI内存加载加解密、编码后记C#类型转换表nim基础前记随便编写一个c#调用winapi并用vs生成dll,同时用csc生成exeusingSystem;usingSystem.Runtime.InteropServices
coleak·2024-02-03 09:23

WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架

1、XSS跨站-攻击利用-凭据盗取2、XSS跨站-攻击利用-数据提交3、XSS跨站-攻击利用-网络钓鱼4、XSS跨站-攻击利用-溯源综合漏洞原理:接受输入数据,输出显示数据后解析执行基础类型:反射(非持续),存储(持续),DOM-BASE拓展类型:jquery,mxss,uxss,pdfxss,flashxss,上传xss等常用标签事件及绕过总结:https://www.freebuf.com/a
SuperherRo·2024-02-03 09:22

day38WEB攻防-通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号

本章知识点:1、XSS跨站-过滤绕过-便签&语句&符号等2、XSS跨站-修复方案-CSP&函数&http_only等配套资源(百度网盘)链接:https://pan.baidu.com/s/12mLsvmU22dxueyAG0aqUhw?pwd=6oa3提取码:6oa3XSS绕过-CTFSHOW-316到331关卡绕过WPxss绕过总结:https://xz.aliyun.com/t/406731
aozhan001·2024-02-03 09:19

网络安全全栈培训笔记(60-服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish)

第60天服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish知识点:中间件及框架列表:lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos
清歌secure·2024-02-03 07:32

CTF-WEB的知识体系

攻防赛模式:要求找到其他队伍的薄弱环节进行攻击,同时对自己的靶机环境进行加固防守。战争分享模式:由参赛队伍相互出题挑战。竞赛内容1.WEB:网络攻防
Ryongao·2024-02-02 17:47

web漏洞挖掘指南 -XSS跨站脚本攻击

一、漏洞原理跨站脚本英文全称(CrossSiteScripting跨站脚本),为了不和css层叠样式表(英文全称:CascadingStyleSheets)混淆,因此将跨站脚本缩写为XSS。产生XSS漏洞根本原因其实是web应用未对用户的输入进行严格的过滤和转义,导致攻击者可从正常的输入功能注入脚本代码,我常将xss攻击理解为一种javascript注入,当带有xss恶意代码的页面被其他用户访问到
火线安全平台·2024-02-02 13:58

银行内生安全框架下的攻防实践与探索

文章目录前言一、赋能内生安全防护机制(一)攻防专业团队建设需要立足于研发安全赋能。(二)攻防专业团队建设也需要赋能业务与数据安全。
岛屿旅人·2024-02-02 12:27

《云原生安全攻防》-- 云原生安全概述

从本节课程开始,我们将正式踏上云原生安全的学习之旅。在深入探讨云原生安全的相关概念之前,让我们先对云原生有一个全面的认识。什么是云原生呢?云原生(CloudNative)是一个组合词,我们把它拆分为云和原生两个词来看。“云”表示应用程序运行于分布式云环境中,而“原生”则强调应用程序在设计之初就充分考虑到了云平台的弹性和分布式特性。随着云原生技术的飞速前进,容器化和微服务架构已成为现代应用开发的标准
Bypass--·2024-02-02 09:44

网络信息安全攻防学习平台 注入关第九

据说哈希后的密码是不能产生注入的代码审计题,进入直接看F12在这里我们可以找到重点if($row!=null){echo"Flag:".$flag;}$strsql="select*from`user`whereuserid=".intval($_GET['userid'])."andpassword='".md5($_GET['pwd'],true)."'";这一段代码,对传入的userid使用
沙雕带你蒿羊毛·2024-02-02 02:50

服务攻防-端口协议&桌面应用&QQ&WPS等RCE&hydra口令猜解&未授权检测

知识点:1、端口协议-弱口令&未授权&攻击方式等2、桌面应用-社交类&文档类&工具类等章节点:1、目标判断-端口扫描&组合判断&信息来源2、安全问题-配置不当&CVE漏洞&弱口令爆破3、复现对象-数据库&中间件&开发框架&应用协议常见语言开发框架:PHP:ThinkphpLaravelYIICodeIgniterCakePHPZend等JAVA:SpringMyBatisHibernateStru
SuperherRo·2024-02-02 01:40

APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

知识点1、APP资产-抓包突破&反模拟器2、APP资产-抓包突破&反证书检验3、APP资产-抓包突破&反代理VPN章节点:1、APP资产-内在提取&外在抓包2、APP逆向-反编译&删验证&重打包3、APP安全-存储&服务&组件&注册等专题点:FridaXposedHOOKr0capture(资产证书提取,删除验证,配置泄漏等)反模拟器调试绕过,反代理VPN绕过,反证书检验绕过,多层代理抓包,通杀等
SuperherRo·2024-02-02 01:39

day37WEB攻防-通用漏洞&XSS&跨站&权限维持&钓鱼捆绑&浏览器漏洞

目录XSS-后台植入Cookie&表单劫持(权限维持)案例演示XSS-Flash钓鱼配合MSF捆绑上线1、生成后门2、下载官方文件-保证安装正常3、压缩捆绑文件-解压提取运行4、MSF配置监听状态5、诱使受害者访问URL-语言要适当XSS-浏览器网马配合MSF访问上线1、配置MSF生成URL2、诱使受害者访问URL-语言要适当本章知识点:1、XSS跨站-另类攻击手法分类2、XSS跨站-权限维持&钓
aozhan001·2024-02-01 21:52

day36WEB攻防-通用漏洞&XSS 跨站&MXSS&UXSS&FlashXSS&PDFXSS

本章知识点不是很重要,涉及到的漏洞也不是常见的,所以没有过多的阐述。配套资源(百度网盘)链接:https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg提取码:nlsgMXSS突变型XSS漏洞MXSS参考链接:https://www.fooying.com/the-art-of-xss-1-introduction/UXSS-Edge&CVE-
aozhan001·2024-02-01 18:23

复盘|攻防实战中面对“谍影重重”,如何出奇制胜?

与此同时,在网络世界中的攻防对抗热度有增无减,甚至连最顶级的安全团队一不小心也会中招。
腾讯安全·2024-02-01 16:05

8868体育携手意甲到进攻都尤文图斯俱乐部 进攻防守全面提升!

意甲联赛尤文图斯俱乐部是8868体育合作球队之一。到了2024年,尤文图斯就像是换了一支球队一样,他们不像以前那样和对手打得难解难分,他们只是一味地防守,偶尔抢到一两个进球就继续防守,而是积极的进攻,勇于掌控全局,敢于在前场展现自己的想法和合作。尽管这些年轻人的脚步还很生疏,到了最后一次传球的时候,他们的表现并不是很好,但是他们想要更好的配合,这一点还是很明显的。在这样的情况下,尤文在意大利杯取得
问界前讯·2024-02-01 14:33

今天很难,明天更苦

以京东为代表的数十家互联网企业不同程度的裁员,包括又有一批互联网小弟企业闪亮登场试图霸占舞台中央,华为5G网络即将从局部实验阶段进入到改变人类生活的节奏……花无百日红,没钱难任性其中舆论最关注的,就是互联网圈里的“996攻防
读力赢·2024-02-01 10:06

意甲:红狼欲折紫百合

03:45费伦天拿费伦天拿今季亦非没有甜蜜时期,但在经历了9月底至10月初的联赛三连胜之后,紫百合状态急转直下,10月底至今的9轮联赛中,他们的成绩为1胜3和5负,期间均场得失球比为0.89比1.56,攻防两端有所失衡
东方足球·2024-02-01 08:54

41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

文章目录XXE原理&探针&利用XXE读取文件XXE带外测试XXE实体引用XXE挖掘XXE修复参考资料:CTFXXEXXE原理&探针&利用XXE用到的重点知识是XML,XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE(XMLExternalEntityInjectio
PT_silver·2024-02-01 06:47

浅谈SQL注入的四种防御方法

SQL注入真的算是web漏洞中的元老了,著名且危害性极大。下面这里就简单的分享一下我总结的四种SQL注入防御手段,加深理解,方便下次遇到这种问题时可以直接拿来使用。
买Lemon也用劵·2024-02-01 04:29

重生奇迹MU 骑装选择攻略--剑士

剑士作为唯一一个攻防兼备的近战职业,战士大部分时间需要承担团队的坦克职责,因此我们需要尽可量的提升自己的血量以及防御属性,这样才能在面对敌人和大量野怪时保护好我方的后排目标,并且保证自己能够在猛烈的攻击下支撑更长的时间
重生奇迹·2024-02-01 00:49

信息安全考证攻略

2️⃣CISP-PTE:国家注册渗透测试工程师,专注于渗透测试和网络安全攻防的专业认证。✨国际认证证书1️⃣CISSP:国际注册信息安全
IT课程顾问·2024-01-31 20:41

CISAW和CISP-PTE证书选择指南

不过,CISP-PTE更专注于渗透测试和网络安全攻防,而CISAW涉及的范围更广,包括网络安全、系统安全、应用安全等多个方面
IT课程顾问·2024-01-31 20:37

安全测试-pikachu靶场搭建

pikachu靶场搭建文章目录pikachu安装步骤pikachupikachu是一个自带web漏洞的应用系统,在这里包含了常见的web安全漏洞,也就是练习的靶场。
汪敏wangmin·2024-01-31 18:09

HACKTHEBOX通关笔记——Cronos(退役)

开启环境,调试网络确保互联互通拿到IP之后还是先来做一下端口扫描,nmap--rate-min=5000-p--vip,也可以加个-Pn做下禁ping扫描,当然这个速率很快,实际攻防时候加了pn参数也是容易被发现的
AttackSatelliteLab·2024-01-31 16:51

【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-6

目录目录第37天:WEB漏洞-反序列化之PHP&JAVA全解(上)第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)第39天:WEB漏洞-XXE&XML之利用检测绕过全解目录第37天:WEB漏洞
youngerll·2024-01-31 16:14

【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-5

目录目录第25天:WEB漏洞-XSS跨站之原理分类及攻击手法第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记第27天:WEB漏洞-XSS跨站之代码及httponly绕过第28天:WEB漏洞-
youngerll·2024-01-31 16:44

工作调整

所以,我今后的工作方向,可能从现在的业务对接和风控策略制定转向安全攻防。最近参加的信息安全工程师培训以及安卓课程的学习,与这一方向也是契合的。
早起Boy蔡一凡·2024-01-31 15:16

网络安全全栈培训笔记(59-服务攻防-中间件安全&CVE复现&lS&Apache&Tomcata&Nginx)

第59天服务攻防-中间件安全&CVE复现&lS&Apache&Tomcata&Nginx知识点:中间件及框架列表:lIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos
清歌secure·2024-01-31 07:25
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他