Web漏洞

常见web漏洞——启动了不安全的HTTP方法解决办法

一、问题描述平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一
六块腹肌的攻城狮·2017-11-18 12:39

常见web漏洞——防止常见XSS 过滤 SQL注入 JAVA过滤器filter

一、攻击说明XSS跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。sql注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或
六块腹肌的攻城狮·2017-11-17 17:31

《Metasploit 魔鬼训练营》04 Web 应用渗透测试

本文记录KaliLinux2017.1学习使用Metasploit的详细过程OWASPWeb漏洞TOP10基于Metasploit框架的Web应用渗透技术Web应用程序漏洞Sam探测Web应用程序渗透测试
青蛙爱轮滑·2017-11-07 11:12

实力亲测 | 如何用云盾WAF做漏洞急救

当遇到Web漏洞的时候,安全负责人和运维人员可以用来“见招拆招”啦。忧伤的周六早晨“云盾.先知”的渗透测试服务到底靠不靠谱?今年8月,在公司领导的授权下,我们充值体验了一把。
qq_35267530·2017-10-31 15:16

商业web漏扫神器——burp suite篇详解

本文将从burpsuite的功能、使用方法、实验案例三方面全面讲解burpsuite的基本知识其中第一模块知识功能在我上一篇博客中已经提及,这里略过,地址如下PART1:web漏洞扫描原理与著名工具分类
peersli·2017-10-23 20:47

云盾WAF实现虚拟补丁——记一起Web漏洞应急响应

摘要:本文从一起漏洞应急响应案例介绍了:如何在极短的时间内通过阿里云云盾产品Web应用防火墙WAF制作虚拟补丁,临时缓解Web漏洞的影响。不支持[TOC]目录!来自真实案例的虚拟总结。
qq_35267530·2017-10-10 13:35

渗透测试常见端口

渗透测试中常见的端口ydxredydxred8个月前在渗透中端口扫描的收集主机那些那些服务很重要,这里收集到一些常见的的服务端口,也是笔者慢慢收集起来的,分享出来大家借鉴一下,也欢迎补充1,web类(web
hackerie·2017-09-20 10:12

渗透测试中常见的端口

zhuanlan.zhihu.com/p/24926870在渗透中端口扫描的收集主机那些那些服务很重要,这里收集到一些常见的的服务端口,也是笔者慢慢收集起来的,分享出来大家借鉴一下,也欢迎补充1,web类(web
lixue20141529·2017-09-18 22:11

前十四大好用的漏扫工具(偏web版)

14大Web漏洞扫描程序美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。
hackerie·2017-09-07 18:42

dvwa安装和使用指南

具体的关于web漏洞的学习大家可以参考《web***测试-常见漏洞解析课程》http://
xztelecomlcs·2017-08-16 14:56

HTTP头注入发现方法(有案例)

0x0:概述作者:暗月博客:www.moonsec.com关于这类注入点,传统的web漏洞扫描器,基本上是针对GET/POST注入,对于这类注入的检测就变得有心无力了。
大方子·2017-08-15 21:26

自动扫描工具:Metasploit's Wmap

Wmap本身不是一个独立的漏洞扫描器,而是作为Metasploit的一个模块,结合Web漏洞和Web服务相关的模块协同工作,完成目标服务器的扫描任务。
大方子·2017-08-04 16:46

常见WEB漏洞原理分析

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果Java、PHP、ASP等程序语言的编程人员的安全意识不足,对程序参数输入等检查不严格等,会导致Web应用安全问题层
dadawang·2017-07-17 16:56

20169301 2016-2017-2《网络攻防》课程总结

并在VMware中安装kali二维码:第三周作业:本周学习了信息收集的一些手段和工具,并对nmap等一些工具进行了实践二维码:第四周作业:本周主要学习了openvas和wireshark的使用方法,以及web
Mars369·2017-06-11 15:00

渗透测试标准--转载好文

渗透测试标准(我会根据这篇文章的目录,提供相关的学习点击打开链接记录,不断更新这篇文章的链接,欢迎关注)Web漏洞检测表1收集web相关信息,开放端口信息,服务信息等。
不死鸟_小路·2017-06-07 23:14

在选择一款web漏洞扫描工具时,你最关心的哪一点?

十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,并将于2017年6月1日起施行。网络安全法和今天小编要说的漏洞扫描工具有什么关系呢?很多公司的运维并不知道自己服务器的状况,只知道可能不太安全,但不知道哪里安全。服务器不重要,重要的是服务器上面的信息和数据,一旦这些信息泄露,这对于公司的打击是致命的。那今天小编就教大家如何选择一款合适,安全的Linux漏洞扫描工具,由于Wi
悬镜AI安全·2017-05-22 20:26

《安天365安全研究》-2017-04

《安天365安全研究》目录...1第1部分拟研究技术专题...51.1《******实战——web漏洞挖掘与利用》图书...51.2安天实战课题研究2017年第二期内网***技术题目...51.3关于安天
simeon2005·2017-05-19 13:07

20144306《网络对抗》Web安全基础实践

1实验内容SQL注入攻击XSS攻击CSRF攻击2实验过程记录2.1WebGoat说明与安装关于WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞
ranransbean·2017-05-18 14:00

ubuntu14.04下安装zvuldrill

在学习和研究web漏洞的过程中对每一种漏洞都进行了测试,将其整理到了一块儿,于是有了一个简单的Web漏洞演练平台–ZVulDrill,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识
前方gail·2017-04-10 15:47

Ubuntu14.04下安装WebGoat

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
前方gail·2017-04-10 15:03

web漏洞百例】4.不安全的自动完成、未释放的资源

一、不安全的自动完成描述借助表单的自动完成功能,某些浏览器可以在历史记录中保留敏感信息。举例启用自动完成功能后,某些浏览器会保留会话中的用户输入,以便随后使用该计算机的用户查看之前提交的信息。解决方案对于表单或敏感输入,显式禁用自动完成功能。通过禁用自动完成功能,之前输入的信息不会在用户输入时以明文形式显示。这也会禁用大多数主要浏览器的“记住密码”功能。例1:在HTML表单中,通过在form标签上
光仔December·2017-04-04 20:47

PentesterLab渗透演练平台

archives/1143.htmlhttp://www.91ri.org/5958.htmlwebforpentester是国外安全研究者开发的的一款web渗透测试平台(环境)通过该平台你可以了解到常见的Web
擒贼先擒王·2017-04-02 11:09

web漏洞百例】3.Sql注入、不安全的随机数

一、Sql注入描述:通过不可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。举例:Sql注入错误会在以下情况发生1.数据从一个不可信赖的数据源进入程序。2.数据用于动态地构造一个SQL语句使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数,通常使用#字符来定义它们,如:SELECT*FROMitemsWHEREowner=#userNam
光仔December·2017-03-28 22:42

web漏洞百例】2.路径操纵、密码硬编码

一、路径操纵描述:通过用户输入控制fileSystem操作所用的路径,借此攻击者可以访问或修改其他受保护的系统资源。举例:当满足以下两个条件时,就会产生“路径操纵”错误:1.攻击者能够指定某一filesystem操作中所使用的路径。2.攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。例如,在某一程序中,攻击者可以获得指定的权限,以重写指定的文件或是在其控制的配置环境
光仔December·2017-03-27 11:29

网络攻防之——WEB漏洞扫描

cadaver这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdavDAVtest测试对支持WebDAV的服务器上传文件等语法:davtest-urlhttp://222.28.136.226/dav/deblaze针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到Fimap文件包含漏洞利用工具Grabb
the__apollo·2017-03-26 20:53

十大***测试环境

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
cs312779641·2017-03-24 17:54

Ubuntu16.04安装dvwa

DVWA是一款基于php&mysql编写的用于常规WEB漏洞教学和检测的web脆弱性测试web应用。其中包含了SQL注入,盲注,文件包含,XSS,CSRF等一些常见的WEB漏洞
N0puple·2017-03-21 21:32

xss之cookie窃取

反射xss和服务器没有交互只能用一次储存xss和服务器有交互可以反复使用危害较大三、本次教程用到的工具1.phpstudy(PHP调试环境的程序集成包)2.dvwa(一套用于常规WEB漏洞教学和检测的WEB
Luosec·2017-03-07 18:07

常见端口

21ftp22SSH23Telnet25默认是smtp服务53默认是DNS80web80-89web123NTP161,162,8161snmp服务(8161IBM一款产品所开放的SNMP)389LDAP443SSL心脏滴血以及一些web
g0·2017-03-06 09:58

Python中防止sql注入的方法详解

前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。
一只猿·2017-02-25 15:10

Appscan扫描器web漏洞

一、目的1、了解Appscan扫描器2、学习Appscan用法二、关于Appscan介绍我们平时使用的是桌面版的Appscan,即Appscanstandardedition,其安装在windows操作系统上,可以对网站和web应用安全进行自动化扫描测试。三、应用原理:1、通过搜索发现整个web应用结构2、根据分析,发送修改的HTTPrequest进行攻击尝试3、通过对于Respone的分析验证是
Unitue_逆流·2017-01-23 18:44

2016年度Web漏洞统计之Exploit-db

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”
youyou0635·2017-01-23 12:00

2016年度Web漏洞统计之Exploit-db

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”
youyou0635·2017-01-23 04:00

[TOP10]十大渗透测试演练系统

DVWA(DamVulnerableWebApplication)DVWA是用PHP+MySQL编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
ncafei·2017-01-18 20:08

NESSUS实测

以前有用X-scan,总感觉过于傻瓜,现在360出了一个专门针对web漏洞扫面的免费工具,奈何需要在页面添加代码,不若试验下业界口碑不错的Nessus。
bobo365·2017-01-17 09:38

自动扫描工具:Metasploit's Wmap

Wmap本身不是一个独立的漏洞扫描器,而是作为Metasploit的一个模块,结合Web漏洞和Web服务相关的模块协同工作,完成目标服务器的扫描任务。
测者陈磊·2016-12-26 14:41

常见web漏洞攻防杂谈

做为一介码农,对那些常见的web漏洞,比如SQL注入、XSS攻击、跨站脚本攻击、上传漏洞等等,一度都是只闻其声不见其形。咱只负责把自己的功能做好,就OK了。
角古静·2016-12-15 14:01

WEB漏洞测试payload整理

常用web漏洞测试的payload整理,把写的一个类sqlmap的web安全漏洞测试工具的Payload整理下来,供大家测试时参考。
nextdoor6·2016-12-14 17:10

PHP代码审计教程

这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。
yttitan·2016-12-09 06:37

【WEB安全】常见WEB漏洞

欢迎关注公众号:----------------------------------------------正文----------------------------------------------------Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政
jobbible·2016-12-02 22:05

DVWA安装记录

首先说说什么是DVWA啊,DVWA(DamVulnerableWebApplication)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
lxylove·2016-11-09 16:59

***测试系统

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
冷暖己知·2016-11-01 13:21

Python脚本实现Web漏洞扫描工具

这是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞,代码是看过github外国大神(听说是SMAP的编写者之一)的两个小工具源码,根据里面的思路自己写的。
lishuzebobo·2016-10-25 09:35

渗透测试漏洞平台DVWA-参考答案

0x00前言DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
煜铭2011·2016-10-03 06:47

Web漏洞搜索引擎——PunkSPIDER

至今还没有搜到数据不是0的网站【咸鱼脸】PunkSPIDER是一款针对web应用程序的全球可用的Web漏洞搜索引擎。它的目标是让用户通过网络搜索,轻松而直观地确定漏洞。
SAKAISON·2016-09-21 09:37

常见渗透测试靶场系统

常见靶场DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
poclist·2016-09-09 10:39

常见渗透测试靶场系统

常见靶场DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
bfboys·2016-09-09 10:00

[TOP10]十大渗透测试演练系统

DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
poclist·2016-09-09 10:54

常见漏洞细细分类

从提交列表中整理了一份:常见漏洞细细分类腾讯安全应急响应中心Web漏洞普通反射型XSS存储型XSS基于DOM的XSS基于Flash的XSS命令注入SQL注入上传漏洞信息泄漏SSRF漏洞读类型CSRF写类型
dalerkd·2016-08-11 10:50

常见的web漏洞及其防范

一、SQL注入漏洞SQL注入攻击(SQLInjection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下,SQL注入的位置包括:(
恒之传说·2016-08-04 23:13
上一页 14 15 16 17 18 19 20 21 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他