Web漏洞

24:WEB漏洞-文件上传之WAF绕过及安全修复

本课重点案例1:上传数据包参数对应修改测试案例2:safedog+云服务器+uploadlabs测试案例3:safedog+云服务器+uploadlabs_fuzz测试案例4:文件上传安全修复方案-函数自定义及WAF案例1:上传数据包参数对应修改测试上传参数名解析:明确哪些东西能修改?Content-Dispostion:一般可更改name:表单参数值,不能更改filename:文件名,可以更改C
zhengna·2021-12-02 10:00

常见web漏洞------XXE

目录什么是XXE漏洞Xxe漏洞形成原因:防御:危害:下什么是XMLXML文档格式:第一部分:声明第二部分:DTD(文档类型定义)第三部分:文档的元素DTD部分Xxe漏洞发生地点什么是XXE漏洞XXE漏洞全称外部实体注入漏洞(外部实体的一个注入攻击)产生地点:XXE漏洞发生在应用程序解析XML输入时危害:造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害Xxe漏洞形成原因:1.
_PowerShell·2021-11-21 12:00

常见web漏洞总结------CSRF

目录CSRF跨站请求伪造需要满足条件:(举个例子来说)CSRF攻击过程:如何确定存在CSRF漏洞:CSRF漏洞检测:常见的CSRF防范措施Token是如何让防止CSRF的CSRF和XSS的区别CSRF跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。Cross-siterequestforgery简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链
_PowerShell·2021-11-20 02:00

常见web漏洞总结------SQL注入

目录Sql注入含义:Sql注入的原理:Sql注入产生条件:Sql注入的危害:Sql注入漏洞检测和判断:sql注入的防御:SQL注入的分类(8种):堆叠注入:盲注:宽字节注入:延时注入:常用函数:注入常用函数以及语句mysql写入一句话:字符串连接函数Sql注入waf绕过白盒绕过黑盒绕过Fuzz测试Sql注入含义:由于程序员对用户输入的数据的合法性没有进行判断和处理,导致攻击者可以在web应用程序中
_PowerShell·2021-11-19 10:42

web安全|渗透测试|网络安全12天

第12天:WEB漏洞-SQL注入之简要注入当前课程思维导图忍者安全测试系统搭建注意:1.虚拟机右下角忍盘禁用掉,在下载2.磁盘大些,本身工具50G,可以给大些3.安装过程中序列号直接跳过,到时候直接激活即可
枸杞地黄丸·2021-11-07 15:25

web安全|渗透测试|网络安全11天

第11天:WEB漏洞-必懂知识点CTF、SRC(漏洞理解)、红蓝对抗、实战(权限)等简要说明以上漏洞危害情况SQL注入:获取到数据库中的数据,有可能获取网站权限文件上传:获取网站权限XSS跨站:利用cookie
枸杞地黄丸·2021-11-05 21:10

通杀! 熬夜码的 - 八万字 - 让你一文读懂SQL注入漏洞原理及各种场景利用

文章目录WEB漏洞攻防正确学习姿势WEB攻防漏洞的本质PHP代码中存在的漏洞函数与变量之间的关系SQL注入漏洞原理结合简单的代码案例分析SQL注入漏洞是如何产生的判断是否存在注入最原始的判断是否存在注入的方式传入的字符对页面内容存在影响极有可能存在注入如何过滤
渴望力量的哈士奇·2021-10-24 13:30

DVWA靶场命令执行(小白笔记)

靶场命令执行我们在测试一些web工具时,需要某个web应用作为我们的靶机,这时候就首选应用DVWA(DamnVulnerableWebApplication);DVWA是一款基于php&mysql编写的用于常规web
晚风挽着浮云·2021-10-14 19:55

黑客是如何入侵服务器的

黑客控制别人的电脑方式大概有几个角度1.如果是一台web服务器的话,可以从web漏洞;数据库以及中间件的漏洞入手2.如果是一台个人pc电脑的话,可以从系统的漏洞入手,大部分以缓冲区溢出执行任意命令为主3
软征工作室1·2021-10-04 15:41

小迪渗透&WEB漏洞(叁-壹)

注入之类型提交注入15.SQL注入之Oracle、MongoDB等注入15.1Access注入测试15.2SqlServer15.3sqlmap测试15.4Oracle数据库15.5MongoDB涉及资源16.WEB
进击的网安攻城狮·2021-09-03 16:22

WEB 漏洞-XXE&XML 之利用检测绕过

WEB漏洞-XXE&XML之利用检测绕过XXE&XMLDTD内部的DOCTYPE声明外部DOCTYPE声明内部实体声明外部实体声明为什么使用DTDpikachu靶场xml数据传输测试-回显,玩法,协议,
硫酸超·2021-08-29 12:23

2020小迪培训(第17天 WEB 漏洞-二次,加解密,DNS,堆叠注入)

WEB漏洞-二次,加解密,DNS,堆叠等注入前言加解密,二次,DNSlog注入,堆叠查询注入注入原理,演示案例,实际应用(中转注入)演示案例sqlilabs-less21-cookie&加解密注入(实际案例
是阿明呐·2021-08-24 16:51

WEB 漏洞-文件操作之文件下载读取

WEB漏洞-文件操作之文件下载读取原理漏洞危害利用方式系统文件windowLinux常见脚本敏感文件参考任意文件读取任意文件下载Googlesearch漏洞利用代码漏洞挖掘漏洞验证漏洞防范案例pikuchu
硫酸超·2021-08-21 18:21

典型的Java Web漏洞:常见漏洞的代码审计

OWASPTOP10总结了Web应用程序中常见且极其危险的十大漏洞,在第5章中我们以2017版本为例详细介绍了这10项漏洞在代码审计中的审计知识,但除了OWASPTop10外,还有很多漏洞值得我们在代码审计中给予关注。本章将介绍一些不包括在“OWASPTOP102017”的一些漏洞的代码审计知识。6.1CSRFCSRF(CrossSiteRequestForgery,跨站点请求伪造)是目前出现次数
人邮异步社区·2021-08-15 10:21

小迪安全视频笔记--信息收集+sql注入

web视频笔记其他web源码系统及数据库加解密信息收集域名信息收集:web漏洞sql注入跨库查询文件读写:json注入access偏移注入二次注入cookie注入DNSlog注入堆叠注入waf绕过白名单的绕过
dydymm·2021-08-06 10:27

WEB漏洞-二次,加解密,DNS,堆叠等注入

WEB漏洞-二次,加解密,DNS,堆叠等注入sqlilabs-less21-cookie&加解密注入sqlilabs-less24-post登录框&二次注入sqlilabs-less9-load_file
硫酸超·2021-08-01 20:07

漏洞发现-API接口服务之漏洞探针类型利用修复

端口服务类安全测试根据前期信息收集针对目标端口的服务类探针后,进行安全测试,主要的攻击方法有:口令安全WEB漏洞版本漏洞等其中产生的危害可大可小,属于端口服务/第三方服务类安全测试面。
Rnan-prince·2021-08-01 17:53

WEB漏洞-XXE&XML之利用检测绕过

免责声明:本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。什么是XML?参考文档XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XML与HTML对比XML被设计为传输
Rnan-prince·2021-07-28 19:46

DVWA搭建教程详解

DVWA(DamnVulnerableWebApplication)是一个包含一些基本WEB漏洞的web应用,特别适合新手入门WEB渗透,其中有不同的难度和源码展示,让小白更深入的理解漏洞产生的原因以及攻击的时候在代码层面发生了什么
wulasite·2021-06-27 08:07

XSS注入漏洞与CSRF漏洞

当然,WEB漏洞可不止这么两个,还有其他的,可以在这里看到。XSS(Cross-siteScripting)漏洞这个名字是为了不和CSS重名而混淆。
赫鲁晓夫的玉米棒子·2021-06-27 05:53

红队测试-Web漏洞扫描工具

ACSTIS-Automatedclient-sidetemplateinjection(sandboxescape/bypass)detectionforAngularJS.Arachni-Scriptableframeworkforevaluatingthesecurityofwebapplications.JCS-JoomlaVulnerabilityComponentScannerwith
小浪崇礼·2021-06-20 22:24

PWN

PWN的基础一、PWN的由来CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWN。
陈小帅不帅·2021-06-13 07:08

轻量级web漏洞演示平台:Damn Small Vulnerable Web

github地址:https://github.com/stamparm/DSVWDamnSmallVulnerableWeb(DSVW)是个使用100多行代码写的web漏洞演示平台,支持多种web漏洞攻击方式
行书以鉴·2021-06-06 03:48

web漏洞检测项

文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造(CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回购买支付充值抽奖
水中煮鱼冒气·2021-05-22 15:32

Web安全漏洞深入分析及其安全编码

本来想自己梳理的,发现业界大佬写的太好了,超全Web漏洞详解及其对应的安全编码规则,包括:SQL注入、XSS、CSRF、文件上传、路径遍历、越权、XML以及业务安全等,实例告诉你各个漏洞对应的编码规则。
little时间·2021-05-18 13:29

16个练习黑客技术的在线网站(来自华盟网)

它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecg
三哥无邪·2021-05-18 06:45

实力亲测 | 如何用云盾WAF做漏洞急救

当遇到Web漏洞的时候,安全负责人和运维人员可以用来“见招拆招”啦。忧伤的周六早晨“云盾.先知”的渗透测试服务到底靠不靠谱?今年8月,在公司领导的授权下,我们充值体验了一把。
肆虐的悲傷·2021-05-15 23:21

web漏洞之中间介漏洞

IIS解析漏洞IIS6.x基于文件名将*.asp;.jpg此种格式的文件名,当成asp解析,原理:服务器默认不解析;号及其后面的内容,相当于截断。基于文件夹名将*.asp/目录下的所有文件当成asp解析其他默认会将扩展名为.asa,.cdx,.cer解析为asp漏洞修复限制上传目录执行权限,不允许执行脚本不允许新建目录。上传的文件需经过重命名(时间戳+随机数+.jpg等)IIS7.x漏洞描述CGI
小白没昵称·2021-05-08 15:51

web安全加固

目录web漏洞web安全加固SQL注入防范命令注入防范上传文件防范web漏洞WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。
看见星星·2021-05-07 14:06

2021-05-07

Web漏洞利用——实验过程实验准备1、安装phpstudy,安装完成后启动phpStudy主界面,当看到Apache和MySQL文字后面红色的圆点变成绿色时,表示服务启动成功。
Braveeer·2021-05-07 14:03

kali下扫描CMS web漏洞小工具web-sorrow

参考:https://github.com/Kizoku-Dev/web-sorrowcd/tmpgitclonehttps://github.com/Kizoku-Dev/web-sorrowcdweb-sorrowperlWsorrow.pl需要perl环境支持。
一点也不想吃辣·2021-05-06 16:46

fscan:一键自动化、全方位漏洞扫描的开源工具

它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。
开源前哨·2021-04-23 12:58

最好用的开源Web漏洞扫描工具梳理

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件。如果你在用WordPress,SUCURI的另一份报告也显示,超过70%的被扫描网站也都存在一个或多个漏洞。如果你刚好是某个网络应用程序的所有者,怎样才能保证你的网站是安全的、不会泄露敏感信息?
笔名辉哥·2021-04-18 19:39

网络拓扑和安全

网络拓扑和安全1简述2内容章节2.1报文传输2.1.1请求报文格式2.1.2响应报文数据2.2网络拓扑图2.3安全防控3Web漏洞缺陷分析和修复(简介)3.1服务器3.2客户端4参考文献1简述大学我们都学过计算机网络和计算机组成原理
soft_z1302·2021-03-11 21:45

Web 安全 之 Server-side request forgery

SSRF是什么SSRF服务端请求伪造是一个web漏洞,它允许攻击者诱导服务端程序向攻击者选择的任何地址发起HTTP请求。在典型的SSRF示例中,攻击者可能会使服务端建立一个到服务端
·2021-03-09 22:49

常见Web漏洞小结

常见Web漏洞小结1越权漏洞不同权限账户之间的存在越权访问检测抓去a用户功能链接,然后登录b用户对此链接进行访问抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据替换不同的cookie进行测试查看防范
热绪·2021-03-07 09:31

sqlmap获取mysql数据库_(五)SQLMap工具检测SQL注入漏洞、获取数据库中的数据

本文以本地环境搭建的Web漏洞环境(OWASPMutillidae+phpStudy)进行测试,具体操作流程如下:Mutillidae漏洞程序备注说明:因操作系统中同时安装有Python2和Python3
weixin_39578516·2021-02-03 08:15

WEB漏洞-XSS跨站脚本漏洞解决方案

一、测试过程通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下:POST/task/notepad/insertNotepadHTTP/1.1Host:www.xxx.comUser-Agent:Mozilla/5.0(WindowsNT10.0;WOW64;rv:52.0)Gecko/20100101Firefox/52.0Accep
踮脚敲代码·2021-01-11 09:29

UWAF推出IPv6合规解决方案,助力金融政府客户IPv6改造,更有1元体验版尝鲜!

系统承载着各企事业单位的门户、注册登录、业务执行等职责,很容易遭受各种类型的恶意流量攻击,影响应用可用性、损害安全性或消耗过多的资源,UCloudWeb应用防火墙UWAF则可以有效保护用户的Web应用程序免受各种常见Web
UCloud云计算·2021-01-08 12:42

34 WEB漏洞-逻辑越权之支付数据篡改安全

免责声明:内容仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。#登录应用功能点安全问题检测功能点,检测,危害,修复方案等1.登录点暴力破解2.HTTP/HTTPS传输3.Cookie脆弱点验证4.Session固定点测试5.验证密文比对安全测试#数据篡改安全问题原理,检测,危害,修复等参考:https://www.secpulse.com/a
小言安全·2021-01-05 00:29

25 WEB漏洞-XSS跨站之原理分类及攻击手法

免责声明:内容仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。#XSS跨站漏洞产生原理,危害,特点?本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等#XSS跨站漏洞分类:反射,存储,DOM反射型:发包x=xss=>x.xss=>回包存储型:发包x=xss=>x.xss=>写到数据库某个表=>x,ss=>回显dom型:发包x=
小言安全·2021-01-02 19:24

17 WEB漏洞-二次,加解密,DNS等注入

免责声明:内容仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。#加解密,二次,DNSlog注入注入原理,演示案例,实际应用(中转注入)DNSlog:解决了盲注不能回显数据,效率低的问题http://127.0.0.1:8080/sqlilabs/less-2/?id=-1andif((selectload_file(concat('\\\\'
小言安全·2021-01-01 00:11

UWAF推出IPv6合规解决方案,助力金融政府客户IPv6改造,更有1元体验版尝鲜!

系统承载着各企事业单位的门户、注册登录、业务执行等职责,很容易遭受各种类型的恶意流量攻击,影响应用可用性、损害安全性或消耗过多的资源,UCloudWeb应用防火墙UWAF则可以有效保护用户的Web应用程序免受各种常见Web
UCloud云计算·2020-12-30 21:59

十大渗透测试练习系统

DVWADVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程
Jewel591·2020-12-10 13:56

Rad爬虫结合W13Scan扫描器挖掘漏洞

Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说;Rad爬虫最近比较火,于是就是就选择它了W13scan是基于Python3的一款开源的Web
汤青松·2020-12-08 21:42

W13Scan 漏洞扫描器之XSS插件模块编写示例

W13scan是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式,能运行在Windows、Linux、Mac上。二、框架结构在编写插件
汤青松·2020-12-08 20:15

W13Scan 漏洞扫描器之XSS插件模块编写示例

W13scan是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式,能运行在Windows、Linux、Mac上。二、框架结构在编写插件
汤青松daxia·2020-12-08 16:52

渗透测试之小白的常见web漏洞总结(下)

文件包含文件包含的概念很好理解,编程中经常用到,比如python中的import、c中的include,php当然也不例外。但php“牛逼”的地方在于即使包含的文件不是php类型,也不会报错,并且其中包含的php代码也会执行,这是文件包含漏洞产生的根本原因。文件包含漏洞和任意文件下载漏洞很相似,只不过一个是解析,一个是下载。漏洞利用的几种方式:1.向服务器写马:图片中写恶意代码(结合文件上传),错
扶苏゜·2020-09-24 11:33

云安全防护技术--------网络漏洞检测分析

云安全防护技术--------网络漏洞检测分析一:云环境web漏洞扫描*学会安装AcunetixWVS*利用WVS进行漏洞扫描*了解web漏洞扫描原理*掌握AcunetixWVS漏洞扫描器的基本使用方法
正道zd·2020-09-17 04:50

DVWA环境搭建

DVWA(DamVulnerableWebApplication)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
史迪奇公仔·2020-09-16 03:48
上一页 5 6 7 8 9 10 11 12 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他