WEB漏洞

2020小迪培训(第16天 WEB 漏洞-查询方式及报错盲注)

WEB漏洞-查询方式及报错盲注前言当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致(insert,update,delete返回结果只是提示完成/未完成
是阿明呐·2023-04-11 23:54

少侠慢走,收下这些神兵利器!

根据行业评论、反馈和经验,整理了最佳网络安全工具,告诉你有关用于网络安全目的的软件,包括端口扫描程序、Web漏洞扫描程序、密码破解程序、取证工具、流量分析和社会工程学工具。
Ms08067安全实验室·2023-04-11 02:53

web漏洞之命令注入

漏洞概述使用脚本语言开发程序过程中,脚本语言开发十分快速、简介,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件)。当应用需要调用一些外部程序时就会用到一些系统命令数。命令注入与远程代码执行(RCE)不一样。它们的区别是,通过RCE,执行的是代码;而在命令注入的时,执行的是一个(OS)命
红烧鸡腿儿·2023-04-09 20:51

简单的文件上传漏洞以及前端后端的简单绕过思路

简单的web安全方面了解web漏洞sql注入、xss、csrf,逻辑漏洞、文件操作漏洞对一个文件上传,下载,读取(漏洞)sql注入漏洞简单原理针对网站数据库(因为没有对我们带入的语句进行限制或者过滤)文件上传漏洞简单原理控制服务器的权限
Afanbird·2023-04-09 01:01

WEB漏洞-XSS跨站之WAF绕过及安全修复

WEB漏洞-XSS跨站之WAF绕过及安全修复waf防护演示常规WAF绕过思路XSStrike自动化工具说明各个选项说明`-u或--url``--data``--seeds``--path``--json
硫酸超·2023-04-08 23:27

web漏洞挖掘指南-前端跨域漏洞

web漏洞挖掘指南前端跨域漏洞一、何为跨域1.设想一种场景,一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面,高度和宽度的设置和真实的银行官网一样,当用户访问恶意网站并登录时,攻击者就可以利用恶意脚本通过
火线安全·2023-04-07 17:14

小迪安全day12WEB漏洞-SQL注入之简要SQL注入

小迪安全day12WEB漏洞-SQL注入之简要SQL注入注入产生原理详细分析可控变量带入数据库查询变量未存在过滤或过滤不严谨连接符区分and是sql语句连接符,&是uel参数连接符and1=1是注入语句
航航编程很6·2023-04-05 17:32

小迪安全day13WEB漏洞-SQL注入之MYSQL注入

小迪安全day13WEB漏洞-SQL注入之MYSQL注入高权限注入及低权限注入跨库查询及应用思路information_schema表特性,记录库名,表名,列名对应表获取所有数据库名:http://127.0.0.1
航航编程很6·2023-04-05 17:32

小迪安全day20WEB漏洞-文件上传之基础及过滤方式

小迪安全day20WEB漏洞-文件上传之基础及过滤方式什么是文件上传漏洞有文件上传就可以测试是否有漏洞,关键看代码是否完备。
航航编程很6·2023-04-05 17:32

小迪渗透&WEB漏洞(叁-贰)

文章目录20.文件上传基础及过滤方法(20-24)20.1演示案例20.2涉及资源21.文件上传黑白名单绕过靶场22.文件上传之内容逻辑数组绕过23.文件上传之解析漏洞编辑器安全23.1中间件解析漏洞23.2编辑器漏洞23.3文件上传实战思路涉及资源24.文件上传之WAF绕过及安全修复涉及资源视频资源20.文件上传基础及过滤方法(20-24)什么是文件上传漏洞?指程序对文件的上传未作全面的限制,导
进击的网安攻城狮·2023-04-05 17:23

37:WEB漏洞-反序列化之PHP&JAVA全解(上)

参考:https://www.cnblogs.com/zhengna/p/15661109.html本文为学习,复现笔记,侵删思维导图文章目录思维导图**知识点**【PHP反序列化】序列化格式有类与无类1、有类class魔术方法2、无类不具有魔术方法利用危害等号判断本课重点案例:目录:**案例1:PHP反序列化热身题-无类问题-本地**案例演示1:认识序列化案例演示2:本地实例有类本地测试:结果:
明月清风~~·2023-04-05 16:38

【小迪安全】Day29web漏洞-csrf及ssrf漏洞

web漏洞-csrf及ssrf漏洞文章目录web漏洞-csrf及ssrf漏洞前言CSRF漏洞原理防护当用户发起重要请求时需要输入原始密码设置随机token检测referer来源设置验证码如何确认网站是否有
楓椛·2023-04-05 16:01

【小迪安全】Day39web漏洞-XXE漏洞

web漏洞-XXE漏洞文章目录web漏洞-XXE漏洞前言前置知识xxe漏洞原理演示案例pikachu靶场xml文件读取内网探测RCE-远程代码执行无回显利用xxe漏洞防御方法禁用外部实体引用过滤关键字WAF
楓椛·2023-04-05 16:01

【小迪安全】Day11web漏洞-必懂知识点

web漏洞-必懂知识点文章目录web漏洞-必懂知识点前言漏洞情况SQL注入文件上传XSS跨站文件包含反序列化代码执行逻辑安全未授权访问CSRF(Cross-siteRequestForgery,跨站请求伪造
楓椛·2023-04-05 16:31

【小迪安全day12】WEB 漏洞——SQL 注入

WEB漏洞-SQL注入在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。
RichUee·2023-04-05 16:32

【小迪安全day14】WEB漏洞——SQL注入之类型及提交注入

在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。1、简要明确参数类型数字、字符(字符型要加‘’)、搜索、JSON等;其中SQL语句干扰符号:’"%)}等,具体需看写法2、简要明确请求方法GET、POST、COOKIE(不是请求方法,是传送方式)、REQUEST、HTTP头
RichUee·2023-04-05 16:32

小迪安全day20WEB漏洞-文件上传之基础及过滤方式

小迪安全day20WEB漏洞-文件上传之基础及过滤方式什么是文件上传漏洞有文件上传就可以测试是否有漏洞,关键看代码是否完备。
航航编程很6·2023-04-05 16:19

溯源(二)之 windows-还原攻击路径

日志是记录一个服务或应用程序在运行过程中所发生的事件和活动,通过对日志文件的分析,可以让我们对服务器的行为一目了然,可以分析攻击IP,哪个IP用什么样的方式访问过哪个目录,可以帮助我们去做溯源分析,分析那些可以导致攻击事件的web
私ははいしゃ敗者です·2023-04-04 06:10

19个练习黑客技术的在线网站

它有助于安全爱好者及研究人员发现和防止web漏洞。http://www.itsecgames.com/2、DamnVulnerableiOSApp(DVIA)DVIA是一个iOS安全
有趣的小东西·2023-04-03 16:18

小迪安全学习笔记--第12天:web漏洞-SQL注入之简要SQL注入

课程链接第12天:web漏洞-SQL注入之简要SQL注入在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关
铁锤2号·2023-04-03 15:56

2020小迪培训(第12天 WEB 漏洞--SQL 注入之简要SQL注入)

WEB漏洞-SQL注入之简要SQL注入在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心
是阿明呐·2023-04-03 15:48

WEB漏洞-SQL注入之简要SQL注入

WEB漏洞-SQL注入之简要SQL注入前言SQL注入安全测试中危害SQL注入产生原理详细分析可能存在注入的编号选项有哪几个?
硫酸超·2023-04-03 15:17

11-12 WEB漏洞-必懂知识点详解/SQL注入之简要SQL注入

和实操挂钩),小瑶还没整理好(其实还没太理清,可以收集的信息实在太多,而且收集信息的方法很多简直无法想象)所以先接SQL注入往下写,信息收集等整理好在分享(当然关于信息收集部分,有好的资源可以分享一下哦)<>WEB
*小瑶·2023-04-03 15:01

【小迪安全】Day12-13web漏洞-SQL注入之MYSQL注入

web漏洞-SQL注入之MYSQL注入文章目录web漏洞-SQL注入之MYSQL注入前言安装sqlilabs靶场按流程进行SQL注入测试判断注入点判断表的列数判断前端回显的是哪列数据信息收集-获取数据库版本
楓椛·2023-04-03 15:00

小迪安全第12天 web漏洞,SQL注入之简要SQL注入

12web漏洞,SQL注入之简要SQL注入前言:在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关
黑小薛·2023-04-03 15:00

第12篇:WEB漏洞~SQL注入~简要SQL注入

目录前言基础知识1.1.SQL注入安全测试中的危害1.2.SQL注入产生原理详细分析1.3.搭建第一个SQL注入学习靶场环境1.4.如何判断注入点1.5.SQL注入语句(老式)1.6.MySql数据库结构案例演示2.1.简易代码分析SQL注入原理2.2.Sqlilabs注入靶场搭建简要使用2.3.墨者靶机真实MySql注入演示前言  在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又
廖一语山·2023-04-03 15:58

小迪渗透测试学习笔记(十二)WEB漏洞-SQL注入之简要SQL注入

在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。mysql注入sql注入靶场搭建(sqlilabs)看第2关:查看源代码,发现需要输入一个id,输入id,同时输出sql语句:发现直接传入变量id
萧丶RY·2023-04-03 15:58

【小迪安全学习笔记】WEB漏洞-SQL注入之简要SQL注入

在本系列课程学习中,SQL注入漏洞是将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL注入安全测试中危害分为两类:危害数据库里的数据、直接危害到网站的权限(需要满足条件)SQL注入产生原理详细分析见案例SQL语句在定义的时候
Akriosx·2023-04-03 15:19

web漏洞(CSRF-SSRF-文件包含-文件解释-文件下载-目录遍历-sql注入-文件上传-反序列化-XSS-XXE-RCE-逻辑越权)

1.CSRF(跨站请求伪造)(需要对方是在登录的情况下)--主要用于骗转账等等原理:A在已经登录了银行的网站,并且此时去访问了B所构造的网页添加了特殊代码,A点击了B,由于A已经登录了,就造成了A直接向B转账的情况检测:可以用bp抓包检测看看有没有设置Token值防御:设置随机Token(数据包的唯一值,用于标识数据包)设置Referer值,数据包来源(但是这个可以修改伪造Referer值进行绕过
!QK·2023-04-02 17:38

一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞

仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介最近在研究将多个工具联合在一起进行漏洞挖掘,提高挖洞效率,如AWVS+Sqlmap+BurpSutie+Xray进行联合,这样在使用web
TaibaiXX1·2023-04-01 15:01

vlunhub靶机一Kioptrix

KioptrixKioptrixLevel1(#1)1.查找靶机ip地址2.对靶机进行端口扫描3.1ssl漏洞利用3.2samba协议漏洞利用KioptrixLevel1.1(#2)1.查找靶机ip2.端口扫描3.web
willowpy·2023-04-01 10:33

想转换做渗透测试岗位一定要学习如下技能

一、基础能力(一)Web漏洞利用利用Web系统或软件的安全漏洞实施网络攻击的能力。由于Web系统是绝大多数机构业务系统或对外服务系统的构建形式,所以Web漏洞利用也是最常见,最基础的网络攻击形式之一。
maoguan121·2023-04-01 09:40

061 python实现EXP

3.3.4:post参数3.3.5:文件上传3.3.6:重定向3.3.7:cookie四:python实现布尔盲注五:python实现延时注入六:python实现文件上传一:概述python编写EXP,以web
入狱计划进度50%·2023-03-30 06:59

web渗透测试培训,如何做信息收集?

系统漏洞->中间件漏洞->web漏洞信息收集分为:主动信息收集和被动信息收集·主动信息收集:主动信息搜集是与目标主机进行直接交互,从而拿到我们的目标信息。
wulanlin·2023-03-29 08:08

基于机器学习的Web管理后台识别方法探索

所以,Web管理后台的检测一直是Web漏洞扫描器规则中比较重要的组成部分,
腾讯安全应急响应中心·2023-03-19 07:30

Rad爬虫结合W13Scan扫描器挖掘漏洞

Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说;Rad爬虫最近比较火,于是就是就选择它了W13scan是基于Python3的一款开源的Web
汤青松daxia·2023-03-17 19:45

Web漏洞-XSS跨站漏洞之原理分类及攻击手法

一、xss跨站漏洞导图二、XSS跨站漏洞概述1.产生原理,危害以及特点:前端提交的一些参数转换为js代码,可以回显一些想要的东西;其产生层面是在前端;常见的一些输出性的函数与此漏洞有关;漏洞的危害收到js代码的影响,同时也收到浏览器内核的影响。实例解释:首先写一个简单的验证代码。输入js代码,网页成功执行。不同的浏览器内核对XSS漏洞的影响。2.分类:反射型(非持续型)存储型(持续型)DOM型三、
ranzi.·2023-03-16 04:44

网络安全

它有助于安全爱好者及研究人员发现和防止web漏洞。地址:itsecgames2、DamnVulnerableiOSApp(DVIA)DVIA是
itTop·2023-03-10 21:27

笔记:web漏洞

SQL注入SQL注入攻击(SQLInjection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下,SQL注入的位置包括:(1)表单
萝卜啃土豆·2023-03-09 21:20

常见端口号

深隧道、文件传输23Telent远程连接弱口令爆破、嗅探3389RDP远程连接弱口令爆破、Shift后门5900VNC弱口令爆破二、Web应用服务端口端口号服务风险80|443|8080常见Web服务端口Web
晨微凉丶·2023-03-09 19:28

对ZVulDrill靶场的研究

在看某安全的渗透视频的时候,知道了ZVulDrill这样一个渗透靶场,这是个大佬在学习和研究web漏洞的过程中对每一种漏洞都进行了测试,将其整理到了一块儿写的平台。
Ro0t·2023-03-09 10:02

WEB漏洞】第一章 sql注入(一)

系列文章目录`第一章sql注入(一)系列专栏:WEB漏洞欢迎关注点赞收藏⭐️留言首发时间:2022年9月10日作者水平很有限,如果发现错误,还望告知,感谢!
人间体佐菲·2023-03-09 07:42

web漏洞--注入漏洞

目录1.Sql注入2.Xml注入(xml实体注入,XXE)3.远程文件包含漏洞4.本地文件包含漏洞5.命令注入漏洞1.Sql注入1.概念1.SQL注入是一种Web应用代码中的漏洞。2.黑客可以构造特殊数据库请求,使Web应用执行带有附加条件的SQL语句用户请求中使用了带有参数的值,但是没有进行任何过滤用户请求中使用了带有参数的值,没有进行任何转码3.通过特殊的请求,Web应用向数据库访问时会附带其
古娜拉黑暗之玛卡巴卡·2023-03-09 07:42

Web漏洞】SQL注入

目录SQL语句什么是sql注入?sql注入的原理有关sql注入产生的条件SQL查询语句selectWHERE:SQL常用聚合函数:union、limit其他SQL注入分类和步骤步骤1.找注入点2.闭合语句3.注入攻击4.数据库名、表名、字段名数字型与字符型注入通过DVWA靶场来熟悉三种注入方式联合查询注入布尔盲注基于时间注入1.时间盲注利用前提2.时间盲注利用SQL语句什么是sql注入?攻击者利用
Sunlight_614·2023-03-09 07:42

Web漏洞-XSS

XSS漏洞原理:WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致浏览器把用户的输入当成了JS代码来执行。XSS的攻击对象是浏览器一端的普通用户。分类:存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie常见注入点论坛、博客
Ays.Ie·2023-03-09 07:11

Web漏洞-SQL注入(下)

06、二次注入二次注入是将攻击语句写入数据库后,等待其他功能从数据库中调用攻击语句,在其他功能语句拼接的过程中未做有效过滤从而造成sql注入流程:攻击者第一次提交恶意输入数据恶意输入数据被存入数据库中攻击者二次提交输入为了响应第二次的输入程序查询数据库取出恶意的输入构造sql语句从而形成二次注入靶场:sqli-labs-master-24可以去实验代码分析:functionsqllogin(){$
Ays.Ie·2023-03-09 07:00

web漏洞利用---XSS注入攻击

XSS漏洞简介XSS注入漏洞又称为"跨站脚本攻击(CrossSiteScripting)",为了不和层叠样式表(CascadingStyleSheets,CSS)混淆,所以将跨站脚本攻击缩写为XSS。XSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。XSS
球球121·2023-03-09 00:45

arachni web mysql数据库_开源Web漏洞扫描工具–Arachni(转载)

作者:{SJW}@ArkTeamArachni是一个开源的,全面的、模块化的Web漏洞扫描框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性。
weixin_39776817·2023-02-23 16:24

8.企业安全建设入门(基于开源软件打造企业网络安全) --- 态势感知系统建设

web漏洞扫描器属于检测环节,是动态响应和加强防护的依据,通过不断的检测
enlyhua·2023-02-07 10:03

window安装dvwa靶场

DVWA是一款基于php&mysql编写的用于常规WEB漏洞教学和检测的web脆弱性测试web应用。
安哥拉的赞礼·2023-02-05 05:46
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他