WEB漏洞

安全渗透测试一般流程

网站需要目标主机的服务器操作系统、Web服务器类型、Web后端语言、数据库系统等软件应用需要应用本身是否存在漏洞目标发现目标枚举漏洞映射判断目标可能存在哪些漏洞,需要搜索引擎搜索或者借助通用的漏洞扫描器(如Web
weixin_34192732·2020-08-16 16:50

NESSUS实测

以前有用X-scan,总感觉过于傻瓜,现在360出了一个专门针对web漏洞扫面的免费工具,奈何需要在页面添加代码,不若试验下业界口碑不错的Nessus。
weixin_33795833·2020-08-16 15:30

web渗透测试在线网站

它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecgames.com/2、DamnVulnerableiOSApp(DVIA)DVIA是一个iOS安全的应用。
一滴水墨.·2020-08-16 14:47

美图内网漫游(沦陷大量内部系统、内部服务器权限、企业架构、企业邮箱等敏感信息) - rsync,fastcgi

web漏洞包括一个后台未授权访问+SQL注入+任意文件上传getshell。内网的一堆,不说了。虽是一场没有做完的渗透
qq_27446553·2020-08-16 14:05

360网络安全学院学习笔记(一)

代码审计能力提升安全平台、靶场事件有害程序事件计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合程序攻击、网页内嵌恶意代码、其他有害程序网络攻击事件分布式拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件Web
a1176905843·2020-08-16 11:25

Web渗透之Web利器合集——web漏洞扫描器-AWVS的安装和使用

Web漏洞扫描器:针对于Web应用程序所开发的
Mr. Wanderer·2020-08-16 11:17

WDScanner:一款分布式Web漏洞扫描平台

在这种情况下,为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,开发了一套简单易用的分布式web漏洞检测系统WDScanner。
systemino·2020-08-16 11:27

网络安全基础

网站工作原理:1)WEB万维网:wwwweb发展史:web1.0个人网站,门户网站–不能修改web2.0微博,博客可以互动web漏洞:web1.0:SQL注入,文件包含,上传漏洞,命令执行,挂马、暗链-
凝视的光·2020-08-14 01:22

网易云Web安全工程师课程分享2——第二章 常见Web漏洞解析

第一节XSS漏洞课程回顾什么是XSS?XSS分类XSS演示总结回答XSS:CrossSiteScript,跨站脚本。危害:盗取用户信息,钓鱼,制造蠕虫等。XSS类型方式存储型将脚本存储在漏洞服务器中,受害者浏览页面就会执行恶意代码反射型访问携带XSS脚本的链接,触发XSS,解析参数输出到响应DOM型访问携带XSS脚本的链接,触发XSS,解析URL过程中执行恶意代码略学习拓展初级熟练掌握课程当中介绍
stirm·2020-08-13 22:33

WEB漏洞——命令执行,文件上传,XSS漏洞

命令执行漏洞是指攻击者可以随意执行系统命令。属于高危漏洞之一,任何脚本语言都可以调用操作系统命令。再业务本身,有的需要提交数据给业务,如果没有对用户的提交的数据进行判断的话,那很有可能会被用来执行命令。在PHP中,有的函数,如system,exec,shell_exec,passthru,popen,proc_popen。当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造
wj193165zl·2020-08-11 19:24

Web安全攻防:18---网络安全总结与自动化安全运维

端口转发内网主机发现SSH端口转发ew穿透内网反弹和直连shellsocket5代理提权内核提权逻辑漏洞提权suid提权软件三、框架安全wordpressdrupal跟踪相关的框架漏洞exploitdb四、设备的web
江南、董少·2020-08-09 17:25

burp

burp#下载与安装http://www.xue51.com/soft/36653.html#app的web漏洞挖掘https://zhuanlan.zhihu.com/p/82513348burp漏洞挖掘
xiziyunqi·2020-08-09 03:08

Pikachu-XSS

一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。
baynk·2020-08-08 00:51

web安全[网易白帽子课程笔记+体会]-02web安全基础

web安全-02web安全基础一、无处不在的安全问题1、钓鱼phishing2、篡改网页tampering3、暗链hiddenhyperlinks4、webshell二、常见Web漏洞解析常见web漏洞分类
双玉山人·2020-08-08 00:13

Web漏洞之X-Frame-Options未设置

在开发过程中我们很少会注意到X-Frame-Options,说白了这东西就是告诉浏览器你的当前页面是否允许放入到一个iframe中。它有三个值、允许、不允许、允许相同域名下的iframe中显示。*DENY:浏览器拒绝当前页面加载任何Frame页面*SAMEORIGIN:frame页面的地址只能为同源域名下的页面*ALLOW-FROM:origin为允许frame加载的页面地址解决方案:Nginx:
毅先生的博客·2020-08-08 00:15

PiKachu之XSS(跨站脚本)

一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。
angry_program·2020-08-07 23:34

白帽子讲web扫描 读书笔记

白帽子讲web扫描读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章扫描器基础每个web漏洞都有自己的常见签名特征,可以通过对web应用发起http(s)请求的方式,通过其响应结果进行判断
炒鸡辣鸡复读机·2020-08-05 21:10

CTF竞赛所需要的能力

中试题主要包括以下几类:MISC:取证分析内网安全之类PPC&CRYPTO:事件分析与解决方案密码学原理应用PWN:后门分析移动终端REVERSE:逆向工程类WEB:网络攻防由此可知你需要具备以下能力:Web
料理码王·2020-08-05 19:30

ctf入门——实验吧

###ctf简介ctf:capturetheflag解题模式攻防模式:互相攻击混合模式:结合常见题型web:常见web漏洞:注入,xss,文件包含,代码执行,上传等漏洞密码学:各种加解密技术,misc安全杂项
lancecrazy·2020-08-05 19:46

10个好用的Web日志安全分析工具

1、360星图一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报
寰宇001·2020-08-05 14:58

攻防演练丨Coinhive网页挖矿详解

整个攻击过程一般都是通过某些web漏洞对网站的文件进行麻将作弊外挂软件篡改,这个
加微WG96968·2020-08-05 11:10

WEB应用漏洞及修复汇总

看到一个比较好的web漏洞总结,怕忘掉,先记一下.SQL注入风险等级:高危漏洞描述:SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,
Icsdn2020·2020-08-05 11:46

10个好用的Web日志安全分析工具

1.360星图一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞、CC、恶意爬虫扫描、异
小几斤·2020-08-04 20:33

渗透测试技术----常见web漏洞--跨站请求伪造攻击原理及防御

一、跨站请求伪造攻击介绍1.跨站请求伪造攻击简介跨站请求伪造(Cross-siterequestforgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。2.CSRF与XSS的区别尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XSS利用的是用户信任
想走安全的小白·2020-08-04 08:26

XSS漏洞原理及防护

分类:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。
暖风吹起云·2020-08-03 23:19

web安全SQL注入原理

SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的web漏洞之一。
咸鱼不会游泳·2020-08-03 23:53

Web 应用漏洞攻防

Web应用漏洞攻防实验目的了解常见Web漏洞训练平台;了解常见Web漏洞的基本原理;掌握OWASPTop10及常见Web高危漏洞的漏洞检测、漏洞利用和漏洞修复方法;实验环境WebGoat7.1/8.0JuiceShop
lemonalla·2020-08-03 18:07

Web漏洞】CORS跨域资源共享漏洞

文章目录CORS跨域资源共享简单跨域请求非简单请求CORS的安全问题CORS漏洞的利用有关于浏览器的同源策略和如何跨域获取资源,传送门-->浏览器同源策略和跨域的实现方法同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递
Butterfly0011·2020-08-02 15:44

pikachu靶场 :二、XSS 跨站脚本攻击

一般XSS可以分为如下几种常见类型:反射性XSS;存储型XSS;DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWAS
CN_wanku·2020-08-02 13:53

web渗透--17--任意文件下载

严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,
随 亦·2020-08-02 12:07

mybatis之SQL注入漏洞及防护措施

一、SQL注入漏洞基本原理在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。
xu大大·2020-08-01 00:07

Web漏洞监测及修复方案

1、Web安全漏洞监测与修复1.1、认证和授权1.1.1密码明文传输漏洞名称:密码明文传输漏洞描述:密码明文传输一般存在与web网站登录页面,用户名或密码(一般为密码)使用明文传输,容易被嗅探软件截取。检测条件:web网站有登录界面检测方法:1、找到网站或web登录页面。2、通过使用wireshark等软件对web登录页面进行抓包,分析其数据包中相关passward(密码)的参数值是否为明文。修复
qq_36339794·2020-07-31 22:59

Agan Web安全与内网学习,记录成长为白帽子的艰辛过程【Flag】

Linux基础系列Python基础系列黑客练习小游戏系列HTML5系列0x02Web安全基础技能学习系列SQL注入入门~~~~~~进阶SqlMap基础使用SQL注入靶场练习文件上传文件包含命令执行常见Web
Agan '·2020-07-31 13:34

mitmproxy(代理)——中间人攻击的神器

在web渗透上占据着非常重要的地位,这方面的工具也非常多,像burpsuite,Fiddler,Charles简直每个搞web的必备神器,还有历史比较久远的paros,webscarab等,实际上每个web
whackw·2020-07-31 11:55

携程安全自动化测试之路

那么,从安全层面来说,Web应用常见的Web漏洞,如SQL注
科技峰行者·2020-07-30 20:11

some online hack game and simulation tests platform

名称:WebGoat项目地址:http://www.owasp.org/index.php/OWASP_WebGoat_Project简介:OWASP项目,WebGoat是一个用于讲解典型web漏洞的基于
西电小西·2020-07-30 15:40

TP-LINK路由器WR703N刷openwrt固件挂载USB摄像头(上)

无论选择什么样的.bin文件,最后都会提示选择的软件版本和硬件不符,不符,不符,就是不符,当时我走到这一步时下载了很多版本的.bin文件,还是不符,不过我泱泱大国不缺乏大牛,终于找到了一篇大牛写的利用web
程小二·2020-07-30 09:53

从外网到内网的渗透姿势分享

因为本人比较菜,所以只能做一点比较基础的总结,大佬们请忽略吧...渗透的大体过程整个渗透测试的流程就是通过信息收,集到外网的web漏洞挖掘,来获取一个webshell,通过这个shell进一步利用来打进内网
abc380620175·2020-07-30 07:38

渗透测试技术----常见web漏洞--文件包含攻击原理及防御

一、文件包含漏洞介绍1.文件包含简介开发者将相同的函数写进单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写。这种文件调用的过程称为文件包含。2.文件包含漏洞简介开发人员为了使代码更加灵活,会将包含的文件设置为变量,用来进行动态调用,从而导致客户端可以调用一个恶意文件,这就会造成文件包含漏洞。二、文件包含漏洞原理由于开发人员编写源码时可将重复使用的代码写入到单个文件中,并在需要使用的时间
想走安全的小白·2020-07-30 05:27

渗透测试技术----常见web漏洞--暴力破解原理及防御

一、暴力破解漏洞介绍1.暴力破解简介暴力破解的产生原因是因为服务器端没有做限制,导致攻击者可以通过暴力破解的手段破解用户所需要的信息,如用户名、密码、验证码等。暴力破解需要有庞大的字典,暴力破解的关键在于字典的大小。2.暴力破解的原理暴力破解的原理就是使用字典中的内容进行一一尝试,如果匹配成功了,提示该用户名密码正确,如果匹配失败,那么会继续进行尝试。二、BurpSuite暴力破解介绍BurpSu
想走安全的小白·2020-07-30 05:27

testfire.net的一点试验流程

关于testfire.net:是一个包含很多Web漏洞的模拟银行网站。步骤:一、通过DNS和IP地址来挖掘目标网络信息。关于DNS功能(域名系统):将域名转换为IP。
遥远彼方·2020-07-29 23:44

我的项目一

**项目一:web漏洞挖掘项目**设计并实现基本的网站漏洞扫描系统,实现常见的网络爬虫、SQL注入等功能,还在此基础上扩展实现跨站脚本攻击检测、密码暴力破解、表单绕过、网站后台扫描等功能。
namijiang·2020-07-29 21:53

SQL注入的优化和绕过

作者:Arizona原文来自:https://bbs.ichunqiu.com/thread-43169-1-1.html0×00~介绍SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中
dfdhxb995397·2020-07-29 18:50

代码审计原理与实践分析-SQL篇(一)

因为有了时间,因此打算将以前一直想做的关于代码审计原理和实践总结给写出来,内容主要是通过分析Web漏洞的原理,结合CVE实例,来分析SQL漏洞、XSS漏洞、上传漏洞、执行漏洞等,由于篇幅较长,会分为一系列的文章
pandahks·2020-07-29 17:07

通过DVWA学习DOM型XSS

下了个新版的DVWA看了下,发现新增了好几个Web漏洞类型,就玩一下顺便做下笔记,完善一下之前那篇很水的DOMXSS文章,虽然这个也很水:)基本概念DOM,全称DocumentObjectModel,是一个平台和语言都中立的接口
Mi1k7ea·2020-07-29 16:03

Web漏洞_文件包含(原理、分类、利用)

一、原理编程语言中设计了可以在某个代码中包含其他已经写好或者可以供其他代码调用的文件,如调用一些定义好的类或者函数。而正是因为可以包含其他文件从而有可能会产生文件包含漏洞。大多数Web语言都可以使用文件包含操作,由于PHP语言的文件包含功能强大因此也容易出现文件包含漏洞。况且目前大部分网站由PHP开发,所以着重先研究PHP文件包含漏洞。PHP中的包含函数:include():如果包含文件未找到会显
BeatRex·2020-07-29 15:37

sqlmap基本使用方法

sqlmap是安全测试工具,通常用于对已知的http接口进行sql注入测试,一旦注入成功,可以获取到后台包括数据库表、用户信息、数据内容等多种敏感信息,对web漏洞防范有重要意义。
1501220038·2020-07-29 15:16

渗透测试技术----常见web漏洞--文件上传攻击原理及防御

一、文件上传漏洞介绍1.文件上传漏洞简介在现在的互联网中,上传文件是一种常见的功能,用户可以上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用收到的风险就越大,用户可以通过上传一些恶意脚本到服务器,这些恶意脚本又被称为WebShell,WebShell具有很强大的功能,可以获取网站的权限,比如查看服务器目录、服务器中的文件、执行系统命令等。2.文件上传漏洞的前提条件存在
想走安全的小白·2020-07-29 14:12

使用 Kali Linux用nikto扫描Web服务器

通过使用用niktoWeb漏洞扫描器来简单扫描WEB服务器上可能或实际存在的漏洞在攻击网站前除了DOS(越过防火墙)可以有效果外,其他的漏洞利用做任何操作都是徒劳,你要攻击它,必须发现它有什么漏洞可以被利用
「已注销」·2020-07-29 11:53

20169301 2016-2017-2《网络攻防》课程总结

并在VMware中安装kali二维码:第三周作业:本周学习了信息收集的一些手段和工具,并对nmap等一些工具进行了实践二维码:第四周作业:本周主要学习了openvas和wireshark的使用方法,以及web
weixin_30487201·2020-07-28 16:31
上一页 7 8 9 10 11 12 13 14 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他