Web漏洞

[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性

上一篇文章分享了Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具;本篇文章将介绍社会工程学中的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。
Eastmount·2019-09-09 21:02

[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性

上一篇文章分享了Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具;本篇文章将介绍社会工程学中的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。
Eastmount·2019-09-06 19:48

重放攻击

重放攻击,web漏洞中称会话重放漏洞,又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
秋水sir·2019-09-06 01:53

[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具

Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。
Eastmount·2019-09-06 00:47

[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具

Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。
Eastmount·2019-09-05 20:48

CTF笔记(一)之小白入门导引

flag/home/ctf/flagdsjklsajdlksajdksadkljsadlkjslkdjsalkjdlksajdlksajdlksah比赛赛制ctf线上赛分为web二进制和杂项ctf线下赛web
菜菜的程序猿·2019-08-25 00:36

渗透测试技术----常见web漏洞--SQL盲注攻击原理及防御

一、SQL盲注攻击介绍1.SQL盲注简介盲注是在SQL注入攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回的简单内容的变化来判断服务器是否存在注入。2.SQL盲注的方法(boolean-based)boolean型注入:通过页面的返回内容是否正确来验证是否存在着注入(time-based)时间型注入:通过SQL语句的处理时间的不同来判断是否存在注入,时间型注入可以使用benchmark函数
想走安全的小白·2019-08-19 00:40

Ubuntu 18.0.4 Install acunetix

AcunetixWebVulnerabilityScanner(简称:AcunetixWVS)是来自国外的一款权威、专业的商业级Web漏洞扫描程序。
CIAS·2019-08-14 17:28

Apache Tomcat安全漏洞列表及整改建议合集

下面就为大家总结了在近期web漏洞整改中,绿盟给出的漏洞报告及整改建议,方便大家参考与查找。
story-xu·2019-08-08 21:56

Web漏洞知识:同源策略

当你的才华还撑不起你的野心时那你就应该静下心来学习目录浏览器:同源策略:DOM&Cookie:同源策略,这里简单的介绍一下方便理解什么是同源策略?浏览器:Web浏览器本质上是代表用户与网站进行交互的用户代理。通常,用户访问一个网站使用Web浏览器:Web浏览器会代表用户将HTTP请求转发到网站上,并反过来将该网站的响应内容显示为网页。Web浏览器使用的安全模型被称为同源策略(SOP):用于执行对W
Causal_Escap·2019-08-06 08:08

常见渗透靶场

当你的才华还撑不起你的野心时那你就应该静下心来学习收藏一波,常见渗透靶场收集了一些常见的靶场,以后的日子不会寂寞了.....DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB
Causal_Escap·2019-08-05 16:31

xss文件上传命令执行

什么是XSSXSS又叫CSS(CrosssiteScripting)跨站脚本工具,常见的WEB漏洞之一,再2013年度OWASPTOP10中排名第三XSS是指***者再网页中嵌入客户端脚本,通常是JS恶意代码
大屁孩儿·2019-08-03 12:22

web漏洞-点击劫持:X-Frame-Options未设置-低危

漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个ifra
cacheyu·2019-07-26 11:48

如何快速解决网站中存在的Web漏洞

那么今天主要分享下网站被攻击者盯上,我们该如何快速解决网站中存在的Web漏洞?首先,在我们接触中,最直接的可能就是通过URL跳转漏洞。
墨者安全·2019-07-23 00:00

web漏洞-sql注入

sql结构化查询语言(StructuredQueryLanguage),是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;如何去发现sql注入a通过web
大屁孩儿·2019-07-22 22:58

目录遍历漏洞和任意文件下载漏洞

目录浏览漏洞的探测:可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含“indexof”关键词的网站进行访问目录浏览漏洞的危害:攻击者通过访问网站某一目录时,该目录没有默认首页
2ed·2019-06-23 14:14

(未完)经典Web漏洞实战演练靶场笔记

记录下自己写的经典Web漏洞靶场的writeup,包括了大部分的经典Web漏洞实战场景,做个笔记。0x01任意文件下载漏洞if(!
清心_3389·2019-06-20 23:00

2019年密码与安全新技术讲座-课程总结报告

一、教师讲座内容总结讲座一、Web安全与内容安全在本次讲座中,张健毅老师首先讲述了信息技术的发展阶段,接着讲了信息化发展凸显的信息安全问题,之后重点讲解了Web应用安全,包括常见的Web漏洞,如SQL注入
PNIDEMOOO·2019-06-16 22:00

20189224 2018-2019-2 《密码与安全新技术专题》课程总结报告

密码与安全新技术专题》课程总结报告课程:《密码与安全新技术专题》班级:1892姓名:史馨怡学号:20189224上课教师:王志强必修/选修:选修1课程学习内容总结1.1教师讲座(1)Web应用安全——张健毅老师常见的web
20189224史馨怡·2019-06-16 20:00

20189215 2018-2019-2 《密码与安全新技术专题》课程总结

我们了解到常见的web漏洞,比如S
20189215李炀·2019-06-16 18:00

漏扫动态爬虫实践

0x00简介动态爬虫作为漏洞扫描的前提,对于web漏洞发现有至关重要的作用,先于攻击者发现脆弱业务的接口将让安全人员占领先机。即使你有再好的payload,如果连入口都发现不了,后续的一切都无法进行。
9ian1i·2019-06-12 15:59

Kali Linux安装dvwa本地shentou测试环境

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱
Snow狼·2019-06-09 10:46

爬虫 JavaScript 篇[Web 漏洞扫描器]

0x00前言上一篇主要讲了如何通过修改Chromium代码为Web漏洞扫描器的爬虫打造一个稳定可靠的headless浏览器。
Coisini、·2019-06-04 11:16

漏扫动态爬虫实践

奇技指南动态爬虫作为漏洞扫描的前提,对于web漏洞发现有至关重要的作用,本文将详细介绍实践动态爬虫的过程中需要注意的问题以及解决办法。
360技术·2019-05-31 19:26

【基础篇】————28、横向渗透

端口所对应运行的服务常见的默认端口号.尝试弱口令端口爆破hydra端口弱口令NTScanHscan自写脚本端口溢出smbms08067ms17010ms11058...apacheftp...常见的默认端口1、web类(web
FLy_鹏程万里·2019-05-27 17:00

Exp9 Web安全基础 20165110

二、实验具体步骤前期准备1.安装WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
小orangegood·2019-05-26 20:00

Web漏洞_中间件解析漏洞(apache、IIS、nginx)

一、apache解析漏洞apache解析文件时,会从右向左解析。如对于文件1.php.sss.assa,此时先解析assa格式,无法解析则进行解析sss格式,同样无法解析最后解析php格式以php进行解析。apache可以解析为php文件的后缀:phtml、pht、php3、php4、php5。当服务器采取黑名单的验证方法时,可以尝试将php文件的后缀改为上述后缀尝试绕过。二、IIS解析漏洞IIS
BeatRex·2019-05-26 19:37

2018-2019-2 20165236《网络对抗技术》Exp9 Web安全基础

实验步骤一、WebGoat准备工作:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平
20165236郭金涛·2019-05-25 22:00

2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础

实验过程WebGoat:Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie
Yhooyon·2019-05-25 15:00

Web漏洞扫描(三:Burp Suite的基本操作)

任务二、BurpSuite基础Proxy功能;2.1、在Kali虚拟机中打开BurpSuite工具并设置,打开“Proxy”选项卡,选中“Options”子选项卡,单机“Add”按钮,增加一个监听代理,设置为127.0.0.1:8080;2.2、进行浏览器代理设置,启动kali虚拟机中的浏览器,单击右上角的菜单按钮,选择首选项;2.3、设置数据拦截功能;2.3.1、在kali中打开intercep
Eyeshort·2019-05-25 10:05

web靶机:kali linux 2.0下搭建DVWA渗透测试演练平台

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
墨痕诉清风·2019-05-14 10:58

系统漏洞

web漏洞解决办法https://blog.csdn.net/ApolloGG/article/details/517343681、检测到目标URL存在httphost头攻击漏洞Apache:增加配置UseCanonicalNameOn2
Doudou_Mylove·2019-05-13 18:39

Httrack

DVWADVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
DirtyMind·2019-05-02 00:00

渗透测试入门8之端口渗透

常见的默认端口号4.尝试弱口令端口爆破hydra端口弱口令NTScanHscan自写脚本端口溢出smbms08067ms17010ms11058...apacheftp...常见的默认端口1、web类(web
jayjaydream·2019-04-03 18:07

WEB漏洞概述

物理路径泄露:物理路径泄露一般是由于WEB服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。还有一种情况,就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径,这应该算是设计上的问题。CGI源代码泄露:CGI源代
paidaxing_dashu·2019-04-01 14:18

SQL Injection

二、SQLInjection渗透测试流程第一步:注入点探测自动方式:使用web漏洞扫描工具,自动进行注入点发现手动方式:手工构造sqlinjection测试语句进行注入点发现第二步:信息获取通过注入点取期望得到的数据
闭眼就能看得见·2019-03-16 13:59

20189224 2018-2019-2 《密码与安全新技术专题》第一周作业

密码与安全新技术专题》第一周作业课程:《密码与安全新技术专题》班级:1892姓名:史馨怡学号:20189224上课教师:张健毅上课日期:2019年2月26日必修/选修:选修1.本次讲座的学习总结Web应用安全常见的web
20189224史馨怡·2019-03-11 13:00

Phpstorm+Xdebug动态调试配置

前言如果你想做一些WEB漏洞挖掘的研究,那么PHPSTORM+Xdebug是一种必不可少的手段!今天踩了一下午的坑,所以想记录下来以供以后参考!tips:忙了一下午真够泪滴!
JBlock·2019-03-04 08:12

web常见漏洞原理介绍

在天融信实习期间参与了web漏扫产品的检测插件的编写和文档整理,同时在网上也浅浅地学习了下web漏洞相关的知识,现在将做的笔记整理出来。
Tomator01·2019-02-28 15:52

自研分布式web漏洞扫描平台WDScanner

WDScanner为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,Tide安全团队(www.tidesec.net)开发了一套简单易用的分布式web漏洞检测系统WDScanner
白术macro·2019-02-15 11:00

一个好玩的Web漏洞靶机系统

首先安装xampp,然后下载pikachu项目,解压以后将项目放入/opt/lampp/htdocs这个文件夹下,然后将exportPATH=/opt/lampp/bin:$PATH写入到~/.bashrc文件的最后,最后启动服务/opt/lampp/lamppstart,最后在浏览器中访问http://localhost/pikachu-master/,如果有红字的的点击,初始化。下面是介绍ht
非衣鲲化·2019-02-12 17:53

Web通用型漏洞简介

本篇文章主要简单介绍一下(我能想到的)Web通用型漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式。
breezeO_o·2019-01-20 22:39

Web通用型漏洞简介

本篇文章主要简单介绍一下(我能想到的)Web通用型漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式。
breezeO_o·2019-01-20 22:39

目录浏览(目录遍历)漏洞和任意文件读取/下载漏洞

目录浏览漏洞的探测:可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含“indexof”关键词的网站进行访问目录浏览漏洞的危害
谢公子·2019-01-15 19:37

web漏洞的一些方法

•短信轰炸burp一直repeat•ueditor是否存在已知漏洞1.4.3.3文件上传漏洞•structs漏洞检查工具•一些post或者get请求的burp响应包中查找pass看是否有密码泄露•构造指定cookie访问系统,通过数据接口获取数据•看逐步删除cookie是否话可以获得数据直到删除token再构造tokenCookie:Token=1,1ASP.NET_SessionId=;rmbU
L6y1a·2019-01-14 20:36

web漏洞的一些方法

•短信轰炸burp一直repeat•ueditor是否存在已知漏洞1.4.3.3文件上传漏洞•structs漏洞检查工具•一些post或者get请求的burp响应包中查找pass看是否有密码泄露•构造指定cookie访问系统,通过数据接口获取数据•看逐步删除cookie是否话可以获得数据直到删除token再构造tokenCookie:Token=1,1ASP.NET_SessionId=;rmbU
L6y1a·2019-01-14 20:36

Web漏洞

绿盟科技分享http://blog.nsfocus.net/web-vulnerability-analysis-coding-security/你不知道这10个Web安全漏洞,就别说自己是黑客SQL注入是一个安全漏洞,允许攻击者通过操纵用户提供的数据来更改后端SQL语句。当用户输入作为命令或查询的一部分被发送到解释器并且欺骗解释器执行非预期的命令并且允许访问未授权的数据时,发生注入。OWASP或
星空星晴·2019-01-08 15:59

Web漏洞扫描工具汇总

1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。2、OWASPZed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于KaliLinux系统。3、Nikto,一款开源软件,不仅可用于扫描发现网页文件漏洞,还支
南郡书生·2019-01-07 17:14

0.01元购买任何东西?漏洞挖掘-逻辑支付漏洞

Web漏洞里有SQL注入、XSS等漏洞,但是逻辑漏洞等问题也是一个大的关键点。
Power_Liu_·2018-12-27 21:35

关于渗透测试资料以及burpsuite的具体配置

关于渗透的一些资料分享名称:WebGoat项目地址:http://www.owasp.org/index.php/OWASP_WebGoat_Project简介:OWASP项目,WebGoat是一个用于讲解典型web
littleloula·2018-12-25 21:25
上一页 12 13 14 15 16 17 18 19 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他