Web漏洞

AWVS扫描工具使用教程

AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql注入等。据统计,75%的互联网攻击目标是基于Web的应用程序。
weixin_30463341·2020-07-28 16:19

XSS跨站脚本攻击漏洞之2DVWA中的利用和绕过

说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~DVWA是一款非常好的web漏洞练习平台,也是一款非常好的学习php代码审计的一个平台。
ISNS·2020-07-28 13:14

通过sql注入窃取用户数据库信息

SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍然是现在最常见的Web漏洞之一。
sdc5730399·2020-07-28 10:34

sql盲注之报错注入(附自动化脚本)

作者:__LSA__0x00概述渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇
dfdhxb995397·2020-07-27 21:08

十大常见web漏洞

十大常见web漏洞一、SQL注入漏洞SQL注入攻击(SQLInjection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。
蓝绿色~菠菜·2020-07-27 19:47

浅析XSS漏洞及基础攻击方法

1,intr()2,基本介绍3,使用扩展壹感觉大部分的web漏洞都大同小异,XSS也不例外;区别于SQL注入时基于后台服务器数据库的漏洞注入,XSS则是基于web前端的漏洞,通过前端开发者所遗留地点进行
Alexz__·2020-07-27 14:32

信息收集之扫描器篇

web漏洞扫描(大部分都是国外的,国内对于商业安全管理严格,不允许破解版的存在)一、扫描前的准备1、网络的部署情况(防火墙,能不能ping通,主机是否在内网,是否做了路由映射)2、时间和方式(销售接完活
Firech·2020-07-21 22:14

PHP代码审计:代码执行漏洞

PHP代码审计阶段,基本要理解常见Web漏洞,如Sql注入、XSS、CSRF、文件上传等,近十种安全漏洞的产生原因和初步的防御方法。
Agan '·2020-07-15 17:56

Web漏洞扫描工具

学了网易Web安全微专业,做一下学习笔记。敏感文件探测敏感文件对于网站来说,就像是网站(网站管理员)的秘密日记,这些文件如果没有保护好呗访问者发现了,就有可能暴露网站的脆弱性或保密数据。敏感文件类型网站管理后台数据文件备份文件Webshell敏感文件探测原理猜测文件名,然后根据返回的http状态码判断文件是否存在。敏感文件探测工具举例御剑,windows下比较容易上手的敏感文件探测工具。主程序+配
maowenbei·2020-07-14 15:06

Nmap 漏洞扫描

Nmap进行Web漏洞扫描cd/usr/share/nmap/scripts/wgethttp://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan
hackerie·2020-07-14 11:09

【DVWA】Web漏洞实战之File Upload

FileUploadFileUpload,即文件上传漏洞,一般的上传漏洞可能是未验证上传后缀或者是验证上传后缀被bypass或者是上传的文件验证了上传后缀但是文件名不重命名。LOW直接上传任意文件MEDIUM验证Content-Type,修改Content-Type为image/jpeg直接绕过HIGH验证了后缀名、文件大小及限制了上传文件的文件头必须为图像类型。利用条件:在php版本小于5.3.
an0708·2020-07-14 07:53

PJzhang:web漏洞扫描工具sitadel

猫宁!!!参考链接:https://www.freebuf.com/sectool/194769.html转变博客的写作思路,力求精简快捷,不浪费自己或者他人的时间。sitadel是一款精简的web应用扫描工具,采用python3编写。我在kalilinux上进行全部操作。github地址:https://github.com/shenril/Sitadel下载到root目录gitclonehtt
weixin_30698527·2020-07-13 17:37

[Web安全测试]AWVS扫描工具使用教程

AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应
Fighting_001·2020-07-13 12:49

学习Web应用漏洞最好的教程----WebGoat

WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新,目前的版本已经到了5.0。
一头老毅·2020-07-13 03:58

广西首届网络安全选拔赛 WEB Writeup

WEB安全(WEB)WEB题型就是最大众化的WEB漏洞的考察了,他会涉及到注入,代码执行,文件包含等常见的WEB漏洞
zrools·2020-07-12 20:37

02 自动扫描工具:Wapiti

Wapiti是一个基于命令行单Web漏洞扫描器,通过给目标站点发送GET和POST请求查找如下漏洞:(http://wapiti.sourceforge.net/):Filedisclosure数据库注入
半个王国·2020-07-12 20:36

19个练习黑客技术的在线网站

它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecgames.com/2、DamnVulnerableiOSApp(DVIA)DVIA是一个iOS安全的应用。
CobItry·2020-07-12 10:47

各种Web漏洞测试平台

https://github.com/Audi-1/sqli-labsDVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的
weixin_30892987·2020-07-12 07:47

安全测试之越权

Web漏洞主要类型1.跨站脚本(xss)攻击2.SQL注入3.XML注入4.目录遍历5.上传下载漏洞6.信息泄露7.访问控
初识世间·2020-07-12 06:11

一款非常好用的网站访问日志分析工具,360星图

今天要介绍的就是一款功能强大,页面清新,使用方便简洁的日志分析工具—【360星图】,该工具具有以下功能:Web漏洞攻击识
我是来搞笑的小白·2020-07-11 22:22

《Metasploit渗透测试魔鬼训练营》笔记 Web 应用渗透

文章目录web应用缺陷OWASPweb漏洞TOP10Metasploit的Web应用渗透技术web应用漏洞扫描开源工具W3AFSQL注入sqlmap注入跨站脚本攻击autopwn命令注入攻击创建自己的模块文件包含攻击扫描
kalimsfliak·2020-07-11 16:52

OWASP_top_10漏洞的总结笔记

这里简单地写一些关于OWASPtop10漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~同时也希望各位大牛给给建议~SQLInjection
Mi1k7ea·2020-07-10 23:39

主流WEB漏洞扫描器种类及其指纹特征分析

文章来源于信安旅途Tips文章最下方有小礼品噢~看完文章先嘛~0x01Web漏洞扫描器国内:绿盟(WVSS):https://www.nsfocus.com.cn/html/2019/206_0911/
K'illCode·2020-07-10 21:14

Web漏洞扫描器的设计与实现(一)

关于Web漏洞扫描器主动型:直接主动发起扫描请求。(ps:图自己画的,丑别怪我hhhh)被动型:利用中间代理或者别的方式进行发现漏洞。云扫描:部署在云端的扫描器,用户通过
合天智汇·2020-07-09 09:05

0818基于360开源数据库流量审计MySQL Sniffer

它可以比较好的发现通过Web漏洞的拖库行为,以及基于数据库通讯协议的数据库管理过程中的违规行为。本质上基于流量的数据库审计就是一种特殊的流量审计,或者说针对数据库的IDS,如图10-11所示,通过
diaoti1933·2020-07-07 06:28

CSRF(跨站请求伪造)详细说明

经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。
世逍遥·2020-07-06 11:32

云计算安全防护技术——漏洞检测

实验的目的及其要求:项目一:1、利用WVS进行漏洞扫描;2、了解web扫描漏洞原理;3、掌握AcunetixWVS漏洞扫描器的基本使用方法;项目二:云端Web漏洞手工检测分析;任务一:BurpSuite
咋不呀-·2020-07-06 05:14

常见web漏洞入侵和防范方法

常见web漏洞入侵和防范方法一、SQL注入1.定义:忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码
pizzahit·2020-07-06 02:45

常见端口及其对应漏洞

摘自知乎Hk.Ty常见端口漏洞:端口服务说明21FTP主要看是否支持匿名,也可跑弱口令22SSH弱口令爆破23telnet弱口令爆破80-90WEB常见WEB漏洞以及一些为管理后台161snmppublic
再凌·2020-07-06 01:08

Web 漏洞分析与防御之 CSRF(二)

原文地址:Web漏洞分析与防御之CSRF(二)博客地址:http://www.extlight.com一、全称跨站请求伪造(Cross-siteRequestForgery)二、原理在用户登陆目标网站后
weixin_30555515·2020-07-05 21:13

目录遍历攻击及防护

严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。
sweetgirl520·2020-07-05 13:59

web靶机系列-路径遍历

192.168.136.133靶机:192.168.136.136用nmap扫靶机用nikto、dirb再接着扫访问http://192.168.136.136/dbadmin/看见有一个php文件,用owasp-zapweb
rlenew·2020-07-05 11:11

IPS和WAF区别

在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低,也使得很多攻击带有盲目和随机性。
惹不起的程咬金·2020-07-04 12:16

WEB漏洞分类与定义指南

WEB漏洞分类与定义指南webvulnerabilityclassificationanddefinitionguideline前言本标准按照本标准按照GB/T1.1GB/T1.1GB/T1.1GB/T1.1GB
MacroCurtain·2020-07-04 06:29

SQL注入基础-基于Sqli-lab平台实战

简介:SQL注入是一个常见的漏洞,在所有的安全防护统计数据儿结果中显示,SQL注入几乎占据网络攻击问题的60%左右,由此可见SQL注入漏洞是一种常见的WEB漏洞,了解SQL注入对于网络安全工作者或安全爱好者来说
DYBOY·2020-07-04 05:29

Kali Linux 2016.2(Rolling) 搭建 DVWA

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
gagami·2020-07-04 00:48

Tunnel:论如何在内网中自由渗透 20160721

*本文作者:戒贤,本文属FreeBuf原创奖励计划,未经许可禁止转载背景能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当于万里长征的第一步。
qq_27446553·2020-07-02 17:22

信息安全常识

常见弱点端口端口服务说明21FTP主要看是否支持匿名,也可跑弱口令22SSH弱口令爆破23Telnet弱口令爆破80-90Web常见Web漏洞以及一些为管理后台161Snmppublic弱口令389Idap
SunJ3t·2020-07-02 14:22

《Metasploit 魔鬼训练营》03 情报搜集技术

KaliLinux2017.1学习使用Metasploit的详细过程外围信息搜集主机探测与端口扫描服务扫描与查点网络漏洞扫描渗透测试数据库与共享###1.testfire.net###testfire.net是一个包含很多典型Web
青蛙爱轮滑·2020-07-01 10:27

一、路由器漏洞分类

当前,家用路由器漏洞主要有4类,分别是:Wi-Fi密码破解漏洞Web漏洞后门漏洞缓冲区溢出漏洞Wi-Fi密码破解漏洞路由器中,Wi-Fi密码常见的加密认证方式为WEP、WPA、WPA2,Wi-Fi联盟组织近期又推出了
wanheex·2020-07-01 06:33

看看有哪些 Web 攻击技术.

Web漏洞中,
JMCui·2020-06-30 18:00

看看有哪些 Web 攻击技术.

Web漏洞中,
JMCui·2020-06-30 18:00

web漏洞之文件上传

文件上传一、概述1.1描述1.2常见上传位置二、攻击方法2.1分析源码的过滤规则2.2准备工作2.3制作脚本2.4上传文件三、绕过方法3.1客户端校验绕过3.2文件扩展名绕过3.3文件内容检测绕过3.4文件类型限制绕过3.5CMS、编辑器漏洞绕过3.6.htaccess文件攻击3.7WAF绕过四、防御方法五、危害一、概述1.1描述文件上传漏洞是指程序员在进行开发时没有对用户上传的文件进行严格过滤和
Bin&R·2020-06-30 02:38

web漏洞之XXE

目录一、概述1.1什么是XXE?1.2常见位置二、漏洞验证三、攻击方法3.1文件读取3.1.1攻击代码3.1.2攻击效果3.2主机探测3.2.1攻击代码3.2.2攻击效果3.3端口探测3.3.1攻击代码3.3.2攻击效果(这里我们加入了端口号,和之前主机发现不同)3.3代码执行3.4攻击内网3.5DDOS攻击四、防御方法4.1.使用开发语言提供的禁用外部实体的方法4.2.对用户提交的XML数据进行
Bin&R·2020-06-30 02:38

web漏洞之SQL注入

目录一、概述1.1什么是SQL注入1.2原理二、分类2.1按照数据提交方式分类2.2按照注入点类型来分类2.3按照执行效果来分类三、注入流程四、验证方法3.1数字型注入验证3.2字符型注入验证五、攻击方法5.1猜解SQL查询语句中的字段数5.2找回显点5.3获取数据库名称5.4查询表名5.5查询字段5.6查信息六、防御方法七、绕过姿势(常见)八、危害一、概述1.1什么是SQL注入web应用程序对用
Bin&R·2020-06-30 02:38

web漏洞之文件包含

目录一、概述1.1简介1.2文件包含函数二、产生原因三、常见位置四、攻击方法五、绕过方法5.1本地文件包含绕过5.2远程文件包含绕过六、防御方法七、危害八、常见包含文件8.1Window常见默认文件8.2Linux/Unix常见文件8.3常见日志默认路径一、概述1.1简介服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味
Bin&R·2020-06-30 02:38

web漏洞之命令执行

目录一、概述1.1何为命令执行1.2产生条件1.2常见命令1.2.1Windows1.2.2linux1.3常见命令拼接符二、产生原理三、防御方法四、危害五、php常见危险函数一、概述1.1何为命令执行攻击者通过web应用可以执行系统命令,从而获得敏感信息,进而控制服务器攻击内网。1.2产生条件1.应用调用执行命令的函数2.将用户输入作为系统命令的参数拼接到命令中3.没有对用户输入的过滤或者过滤不
Bin&R·2020-06-30 02:07

常见Web安全漏洞及其防范

常见Web漏洞及其防范1.XSS(CrossSiteScripting)跨站脚本攻击防范:客户端与服务端同时做htmlEncode和jsEncode。服务端保障安全,客户端提升体验。
stevobm·2020-06-29 23:15

十大常见web漏洞

一、SQL注入漏洞SQL注入攻击(SQLInjection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下,SQL注入的位置包括:(
二大伯·2020-06-29 16:37

通过csrf进行地址修改

打开web漏洞练习平台以一个被攻击者的身份登录个人信息页面:假设此时用户进行了信息修改。
讲人zhi讲·2020-06-29 14:09
上一页 8 9 10 11 12 13 14 15 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他