web渗透测试==安全之路

【XSS技巧拓展】————4、浅谈跨站脚本攻击与防御

xss漏洞是web渗透测试中最常见而又使用最灵活的一个漏洞,近期在拜读了《白帽子讲web安全》、《Web实战篇》、《XSS跨站脚本攻击剖析与防御》等几部佳作后,决定整理关于Xss漏洞的一些知识,并以本篇作为记录
FLy_鹏程万里·2018-12-26 11:19

朝着安全目标,坚定前行!

❷⓿❶❽"永安行动"号️开启秋季第十四周12月21日安全之路,任重道远迪森之家,与您同行安全①记:今日共记迟到3人.少儿部:Cherry-1Cally-1Cyan-1中学部:0语文部:0周五分享:明天就是第三届迪森英语风采大赛的开幕仪式
迪森刘金·2018-12-21 22:03

先“会”后“学”

开启秋季第十周11月23日安全之路,任重道远迪森之家,与您同行安全①记:今日共记迟到7人.少儿部:Cherry-2Cally-3Vivian-2中学部:0语文部:0周五晨读分享会:在晨读之前,Lolla
迪森刘金·2018-11-23 22:23

web渗透测试练习——熊海cms V1.0

0x00前言做一次渗透测试的练习。以及对思路进行一个总结。0x01start我就随便写一点记录和笔记吧。1.过程首先拿到这个网站了之后,打开页面然后第一个想法就是丢到AWVS里扫一扫,然后就挂着扫吧。加一个admin试试后台到手,请忽略我之前登录尝试的东西。随便点一点一般我看到这种有数字的,第一个想法就是丢到sqlmap跑一跑。让它去跑吧。然后加一个单引号试试凭经验,这里铁定有一个反射xss接着乱
Bubble_zhu·2018-11-21 16:27

共进,共安,共成!

开启秋季第五周10月21日安全之路,任重道远迪森之家,与您同行安全①记:今日共记迟到26人.少儿部:Gisela-1Jessica-1Cream-3Lisa-1Cally-3Cyan-1中学部:Helina
迪森刘金·2018-10-21 21:23

迪森,智慧多多,关爱多多!

开启秋季第五周10月20日安全之路,任重道远迪森之家,与您同行安全①记:今日共记迟到38人.少儿部:Jessica-5Cream-1Lisa-5Cream-3Vivian-3Cally-1Cyan-1中学部
迪森刘金·2018-10-20 22:27

Web完整渗透测试实例

学习一整套的web渗透测试实验对以后的测试工作很有帮助,所以我把学习环境中的实现写下来,提供对整个网站测试的经验。
WAHK·2018-10-10 09:52

常见Web源码泄露总结

本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现。
FLy_鹏程万里·2018-09-23 14:55

安全之路 —— 无DLL文件实现远程线程注入

简介在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门。但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那么有没有什么方法能够不适用.dll文件实现注入呢?答案是有的,我们可以直接将功能写在线程函数中,然后直接将整个函数注入,这个方法相较之于DLL注入会稍微复杂一些,适用于对一些体积比较小的程序进行注入。但
PeterZ1997·2018-09-08 02:10

开学第一周,安全每一周。

开启秋季第一周9月7日安全之路,任重道远迪森之家,与您同行安全①记:今日共记迟到3人.少儿部:Cally-1Cyan-2中学部:0语文部:0每天一问:开学啦!我的安全工作需要哪些准备?
迪森刘金·2018-09-07 22:44

常规36个WEB渗透测试漏洞描述及修复方法----很详细

常规WEB渗透测试漏洞描述及修复--转自:http://www.51testing.com/html/92/n-3723692.html(1)、Apache样例文件泄漏漏洞描述apache一些样例文件没有删除
上卿·2018-08-28 15:16

web渗透测试--手工注入Access数据库

Web渗透——Access数据库手工注入找注入点方法:要找有传输值得url例如:http://000.000.000.000:00/pro_detail.asp?!id=30要想注入,一定是要在查询的时候注入一些需要执行的sql语句来一起查询,在页面里肯定不行,因为页面没有传输值,传输值有可能是数字也有可能是字符。代码审计:主要来看一下有没有过滤Access注入判断注入点:‘在url后直接加’报错
CliffordWR·2018-07-16 21:29

web渗透测试--手工注入Access数据库

Web渗透——Access数据库手工注入找注入点方法:要找有传输值得url例如:http://000.000.000.000:00/pro_detail.asp?!id=30要想注入,一定是要在查询的时候注入一些需要执行的sql语句来一起查询,在页面里肯定不行,因为页面没有传输值,传输值有可能是数字也有可能是字符。代码审计:主要来看一下有没有过滤Access注入判断注入点:‘在url后直接加’报错
CliffordWR·2018-07-16 21:29

Kali安全工具之top10及kali linux web渗透测试中用到的一些重要的工具

卡利中有数百种安全工具,其中广泛为大家所使用的TOP10有如下:nmap,metasploit,johntheripper,thchydra,owaspzed,wireshark,Aircrack-Ng,Maltego,Cain和AbelHackingTool,Nikto网站漏洞扫描器。网上已经有很多大佬,对这些工具做了详细的讲解,为了方便学习,笔者对此做了部分整理。1.nmap渗透测试工具Nma
萧彬·2018-07-11 19:46

WEB渗透测试_文件包含

概念开发人员使用某些函数时直接调用此文件而无需再次编写->包含将被包含的文件设置为一个变量实现动态调用灵活->弊端:漏洞的存在PHP四个函数:include()找不到目标文件->E_WARNING脚本将继续执行include_once()顾名思义,包含1次require()找不到目标文件->E_COMPILE_ERROR停止脚本require_once()顾名思义,包含1次远程文件包含:RFI:R
god_speed丶·2018-07-11 10:55

web渗透测试常用payload

常用web漏洞测试的payload整理,把写的一个类sqlmap的web安全漏洞测试工具的Payload整理下来,供大家测试时参考。[反射型xss][在html形成]"'>document.title="[random]";document.title="[random]";[在js形成]document.title="[random]";//;document.title="[random]";
devi1.·2018-07-09 18:31

安装WEB渗透模拟环境WebGoat、DVWA、Mutillidae和sqli-labs

因此我们需要自己搭建web渗透测试的环境。这里推荐使用OWASP提供的WebGoat、DVWA和Mutillidae来作为渗透测试环境,读者可以自行搜索这些软件的介绍。
江左盟宗主·2018-06-24 21:24

web渗透测试在线网站

国外1、bWAPP免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecgames.com/2、DamnVulnerableiOSApp(DVIA)DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞,它免费并开放源码,漏洞测试和解决方案覆盖
RuleZero·2018-06-21 16:14

Web 渗透测试入坑必备指南

小白如何快速入门(基本介绍初学知识)常见web渗透测试工具使用(Nmap、Burpsuite、AppScan、WVS、Safe3、SQLmap)(比如:Nmap端口扫描、Burpsuite抓包改包爆破等模块功能
GitChat的博客·2018-04-12 10:17

记一次简单的web渗透测试

0x01初期探索用google语法inurl:php?id=查找有漏洞的页面0x20开始寻找注入漏洞1.通过简单的sql语句探测(',and1=1,and1=2)得出该sql注入为字符型注入(sql语句为:'and'1'='2)2.构造错误的sql语句,使其爆出数据库类型3.检测字段数(sql语句:'orderby5--+;猜字段数可用二分法),最后查出字段数为54.构造错误(可构造不存在的id或
咕咕咕冰·2018-04-03 17:12

渗透过程中常用的cmd命令

web渗透测试过程中,当我们通过某个漏洞利用成功获取到webshell后,下一步便要通过webshell(通常是大马)进行提权或打包数据。
跟派大星学编程·2018-03-27 20:29

我的Web安全之路

一、写给自己出于自己的专业以及自己的兴趣所导,选择了Web安全这个方向来深入的学习,目前只是一个大二的学生,需要学习的东西还有许多,也对自己即将进入Web安全学习的时候理清学习的思路。二、如何学习知乎上余弦先生以及其他大牛对于“零基础如何学习Web安全”的回答对我以后的学习有着很重要的作用,具体网址我放这里给想看的人参考一下(https://www.zhihu.com/question/21606
The__DeepSea·2018-03-19 14:42

《Python 黑帽子》学习笔记 - 准备 - Day 1

信息安全是一个有意思的方向,也是自己的爱好,从零开始,想在工作之余把这个爱好培养为自己的技术能力,而web安全相对来说容易入门些,于是选择web渗透测试作为学习的起点,并选择同样是容易入门的Python
信安工匠·2018-03-19 13:16

常见的Web渗透测试工具

一、渗透测试工具nmap,查看网站服务器开放的端口1、查看服务器上运行的服务$nmap-sVhack-test.com2、查看操作系统版本$nmap-Ohack-test.com二、使用Nikto来收集漏洞信息#官方网站:https://cirt.net/nikto2#wgethttps://cirt.net/nikto/nikto-2.1.5.tar.gz(解压就可以用)$perlnikto.p
幸福丶如此·2018-02-01 16:42

从一款被篡改的软件谈 Android App 的安全之路

作者简介龚沛华WiFi万能钥匙信息安全部,Android安全研究员,主要从事Androidapp的逆向分析与安全保护。我来自WiFi万能钥匙,主要负责安卓立项和保护这块的工作。本文要分享的有七大块:Android平台安全现状Android安全模型程序安全数据安全系统安全一款被篡改的APKAPK保护措施1.Android平台安全现状左上角这张图是安卓端的恶意程序新增量和感染量。右下角这张图是恶意程序
高效运维·2017-12-18 00:00

小白入坑 Web 渗透测试必备指南

本文来自作者肖志华在GitChat上分享「Web渗透测试入坑必备指南」,「阅读原文」查看交流实录「文末高能」编辑|黑石小白如何快速入门由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我
GitChat技术杂谈·2017-11-13 00:00

kali linux web渗透测试学习笔记

kalilinuxweb渗透测试学习笔记metasploit使用方法:启动:第一步:启用Postgresql服务。servicepostgresqlstart第二步:启用metasploit服务。
花米徐·2017-10-31 09:38

安全之路---渗透测试学习笔记1

安全之路---渗透测试学习笔记1渗透思路总结:通过sql注入xss注入社工库制作个人字典爆破等方式获取后台管理员账号密码--登上后台--上传木马得到webshell--利用各种方式提权--远程登录---
jaivy·2017-09-20 09:26

Kali linux渗透测试(三)

以后会一直更新哈~0x00熟悉环境第一个是要记住登录密码,如果在官网下载的话默认是toor,如果是自己安装的话就是自己设置的密码top10工具简要介绍aircrack-ngburpsuite目前很火的web
csu_vc·2017-09-17 01:46

浅谈Web渗透测试中的信息收集

下面一张图比较详细的介绍了渗透测试中的信息收集,看过许多freebuf大牛写的文章,今天也给大家分享一些自己的经验(也就一小白,错误的地方各位牛牛多多指正)。信息收集对于渗透测试可以说是重中之重,正所谓“知己知彼,百战不殆”。所以我们的信息收集也是一样,收集的信息自然也是越多越好,这里有个文章http://www.doc88.com/p-7784047461299.html,这里的PTES渗透测试
qq_27446553·2017-08-29 02:39

Web渗透测试常规套路文章

0x01本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中的工具如菜刀等更是经典之作,即使发布已经10余年认识现在渗透测试网站的不可或缺的利器之一。另:面向学生的CTF,出题者考虑到学生的实操能力,设计的web题,或者拿服务器找flag的大题大部分用本文介绍的思路、工具就能成功cpatureth
合天智汇·2017-08-23 15:25

安天365第二期线上交流

安天365团队累计出版《******及实战案例解析》《Web***及实战案例解析》《安全之路-Web***及实战案例解析第二版》、《******实战加密与解密》、《网络***实战研
simeon2005·2017-08-07 08:11

kali linux web渗透测试中用到的一些重要的工具

1.Mitmproxymitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试2.BP用的比较多,不加以描述3.Owasp-zapZedAttackProxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。4.Parosparosproxy,这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的w
TLXX1126·2017-07-13 16:07

利用nginx日志结合本地包含漏洞GetShell

0前言在WEB渗透测试中尤其是PHP,经常会挖到LFI漏洞,想要GETSHELL,但无奈没有文件上传的途径,这里给一个思路,抛砖引玉。
我不爱学习·2017-06-16 00:00

【百度、腾讯、阿里等】+【JAVA开发实习生】+春招面试经验

基本情况介绍:性别:lz**萌**妹子一枚学校:本科双非、硕士985实力:只是女生比,中等偏上一丢丢面试公司:百度、腾讯、阿里、今日头条、美团、京东、去哪儿、CVTE、神州数码、知道创宇、intel面试职位:web
清渠如许muse·2017-06-03 21:56

我的安全之路——Web安全篇

这是我的安全之路系列第一篇,敬请期待第二篇:《我的安全之路——二进制与逆向篇》总览大一:基本都在学习学校的课程,C语言,C++,高数啊,不过分数还可以,在大一复习周还在php3小时光速入门呢大二:web
giantbranch·2017-04-08 21:34

PentesterLab渗透演练平台

https://www.blackh4t.org/archives/1143.htmlhttp://www.91ri.org/5958.htmlwebforpentester是国外安全研究者开发的的一款web
擒贼先擒王·2017-04-02 11:09

渗透测试(一):DVWA安装

DVWA全称DamnVulnerabilityWebApplication,是开源的Web渗透测试演练系统。在GitHub可以找到相应的源码。
HumphreyHu·2017-04-01 12:44

Web渗透测试学习路线图

原文:http://www.zhihu.com/question/21914899Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透
Kyogre6105·2016-10-12 13:44

WEB渗透测试之三大漏扫神器

通过踩点和查点,已经能确定渗透的目标网站。接下来可以选择使用漏扫工具进行初步的检测,可以极大的提高工作的效率。功欲善其事必先利其器,下面介绍三款适用于企业级漏洞扫描的软件1.AWVSAWVS(AcunetixWebWulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序、国内
帽子不够白·2016-10-04 11:56

WEB渗透测试之查点

通过踩点可了解到我们要进行的渗透测试的网站是怎么样的结构,识别了网站域名等目标范围清单。接下来的查点,是对目标的WEBSERVER,服务器语言,开源程序框架、名单,敏感文件或功能点等网站技术整体做一个详细更为充分的探查。为何查点:查点技术获得目标具体所使用的各种技术框架,可以精确获得目标现存的甚至未来所存在的隐患,例如发现目标所用论坛为discuz3.0版本号,根据公开漏洞,可以直接进行攻击,如果
帽子不够白·2016-10-03 17:16

WEB渗透测试之踩点

之前的工作太繁忙了就没时间更新博客,今天开始我来讲讲WEB渗透测试的事情关于踩点:对于一个专业的白帽子来说,在开始真正的渗透测试之前,必须完成渗透测试的的信息收集。
帽子不够白·2016-10-03 17:58

CSRF 详解与攻防实战

本文从属于笔者的信息安全实战中Web渗透测试实战系列文章。建议先阅读下MartinFowler的网络安全基础。
王下邀月熊_Chevalier·2016-09-21 00:00

安全类网站推荐

安全之路任重道远,仍需努力。国内https://www.t00ls.nett00ls是国内比较低调的民间组织,论坛质量较高。http://www.80vul.com黑哥所在团队,博客内容质量很好。
jiary5201314·2016-04-24 14:00

Web渗透测试求职问答大全

0x00前言如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/http://tool.chinaz.com/#输
煜铭2011·2016-04-21 16:47

Web渗透测试求职问答大全

0x00前言   如果我们要面试一个渗透测试工程师,其中一些经典的问题是必要会被问到的,所以本文就这些方面进行一个比较基础的总结,希望这些总结会对大家面试有所帮助。更重要的是,本文将非常非常具体地分析每一个步骤、所需的工具、思路等等0x02常见问答1拿到一个待检测的站,你觉得应该先做什么?答:1IP域名类查询:http://www.aizhan.com/ http://tool.chinaz.co
qq_29277155·2016-04-21 16:00

Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码

目录KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者usb启动盘破解windows密码..........................................
xuehuayipianyipian·2016-02-01 08:51

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜1.工具包下载地址(请加QQ群:web渗透图书交流群436519159)获取2.购买图书赠送论坛注册码,价值100元。
simeon2005·2015-12-21 20:51

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜

关于《安全之路-web渗透技术及实战案例解析》第二版工具下载等相关事宜1.工具包下载地址(请加QQ群:web渗透图书交流群436519159)获取2.购买图书赠送论坛注册码,价值100元。
simeon2005·2015-12-21 20:51

关于《安全之路-web***技术及实战案例解析》第二版工具下载等相关事宜

关于《安全之路-web***技术及实战案例解析》第二版工具下载等相关事宜1.工具包下载地址(请加QQ群:web***图书交流群436519159)获取2.购买图书赠送论坛注册码,价值100元。
simeon2005·2015-12-21 20:51
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他