web渗透笔记总结

Web渗透测试概述及常见web安全漏洞

一、web渗透测试概述安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络安全的一种评估方法。Web渗透测试——只针对web应用的渗透测试。
佳期如顭·2020-08-02 14:33

如何进行Web渗透测试

Web渗透测试可以从以下几个方面考虑:1.SQLInjection(SQL注入)(1)如何进行SQL注入测试?
weixin_34365417·2020-08-02 14:16

从几个方向进行Web渗透测试

1.SQLInjection(SQL注入)(1)如何进行SQL注入测试?首先找到带有参数传递的URL页面,如搜索页面,登录页面,提交评论页面等等。对于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递,在和的标签中间的每一个参数传递都有可能被利用。12345678910111213Gamefinder当你找不到有输入行为的页面时,可以尝试找一些带有
weixin_34301307·2020-08-02 14:43

WEB渗透【8】CSRF攻击与防御

一.CSRF是什么?CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。二.CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账..
司徒荆·2020-08-02 13:52

web渗透测试-从入门到放弃-04XSS-Cookie获取/钓鱼

GET型XSS利用:cookie获取用户与站点用户——>访问XSS页面,触发脚本——>存在XSS漏洞的站点(pikachu)http://127.0.0.1(在触发脚本的同时,脚本会将窃取的cookies数据发送到攻击者搭建接受cookie的后台网站:http://192.168.10.130/pikachu/pkxss)用户document.location='http://192.168.10
精神小火子·2020-08-02 13:39

web渗透--52--异常信息泄漏

1、漏洞名称:未自定义统一错误页面导致信息泄露,抛出异常信息泄露,错误详情信息泄漏2、漏洞描述:JBOSS默认配置会有一个后台漏洞,漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压。如果压缩包里含有webshell文件,是直接可以解析的。3、检测方法1、通过web扫描工具对网站扫描可得到结果。2、或者通过手工,去尝试打开一些不存在
随 亦·2020-08-02 12:07

web渗透--51--WebSockets安全测试

1、WebSockets概述传统的HTTP协议只允许每个TCP连接一个请求/响应,这是一个半双工的交互模式。HTML5WebSockets允许客户端/服务器建立一个“全双工”通信通道,从而允许客户端和服务器真正实现异步通信。WebSocket通过HTTP进行初始的“升级”握手,从那时起,所有通信都通过TCP通道并使用frames。源服务器负责验证在初始的HTTPWebSocket握手中的源标头,如
随 亦·2020-08-02 12:07

web渗透--2--web安全原则(下)

六、敏感数据保护原则1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制,普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问,则需将帐户文件/数据与口令文件/数据分开。2、在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须
随 亦·2020-08-02 12:07

web渗透--17--任意文件下载

1、漏洞描述目录遍历(任意文件下载)漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,
随 亦·2020-08-02 12:07

web渗透--0--写在开始

记得最开始学习安全渗透的时候,啊D、明小子虽然已经日薄西山,但还是有很多人在用,不得不说它真的很好用,不过到了现在随着各种安全理念融入代码层,这些自动化工具都已经没有用武之地了。回顾博主的渗透学习历程,由于一直是一个人在摸石头过河,也是走了很多弯路。从自学完基础课程之后,先是捣鼓了几个月逆向,又捣鼓了几个月python,后来会用扫描器后开始用扫描器撸SQL注入,基本都是傻瓜式的一把梭,再后来觉得这
随 亦·2020-08-02 12:41

Access数据库审计工具mdbtools

在数据取证和Web渗透中,经常会遇到该类型的数据库文件。KaliLinux内置了专用工具集mdbtools。该工具集提供了一个交互接口,安全人员可以使用精简的SQL语句查询数据库中的数据。
大学霸IT达人·2020-08-01 12:17

寒假学习 第15天 (linux 高级编程) 笔记 总结

寒假学习第15天(linux高级编程)笔记总结接着昨天一、进程2.创建进程(1)intsystem(constchar*command);(2)FILE*popen(constchar*command,
billvsme·2020-08-01 11:48

CentOS7.3学习笔记总结(五十一)

watch命令:executeaprogramperiodically,showingoutputfullscreen,定期执行程序,全屏显示输出,也就是说周期性地执行给定的指令,一全屏方式输出显示。watch命令可以帮助检测一个命令的运行结果,这样就可以不用手动以便以便的运行命令了。语法:watch[options]command常用选项:-d:高亮显示指令输出信息的不同之处-n:指定命令执行的
知行知行·2020-08-01 08:02

又一神器!万能网站密码爆破工具

Web渗透测试中有一个关键的测试项:密码爆破。
民工哥·2020-08-01 07:56

《通往财富自由之路》专栏导图笔记总结(21~30)

温故而知新,让我们一同重读笑来老师的专栏《通往财富自由之路》。第0~10个概念详见以下链接:https://www.jianshu.com/p/2bd7e950ae1e第11~20个概念详见以下链接:https://www.jianshu.com/p/d854b0526a6a以下为第21~30个概念,让我们一起复盘。第二十一个概念:避险投资的刚需是避险第二十二个概念:资本差异尊重资本量级的差异第二
薛衡·2020-08-01 04:49

Java注解与反射深入浅出完整学习笔记(附完整案例代码以及内存加载机制)

本篇学习笔记总结自bilibiliup主【狂神说】系列视频:【狂神说Java】注解和反射视频作者公众号:狂神说1、注解1.1、注解入门1.1.1、什么是注解Annotation是Java5.0开始引入的新技术
Neillllll^·2020-07-31 22:42

Redis

文章是阅读笔记总结参考:硬核!16000字Redis面试知识点总结,建议收藏!为什么一定要有redis?
多问为什么,坚持跑步·2020-07-31 16:22

操统期末笔记总结

Chapter12Mass-storageStructurediskschedulingalgorithmsFCFSSSTF通用,效率一般SCAN电梯算法C-SCAN走到头会迅速折回LOOKSCAN和C-SCAN适合磁盘负载重时low-levelformatting见名词解释RAIDStructure可用空间16T,使用4T的硬盘,各种RAID级别需要用几个RAID级别需要用的硬盘数0418273
不存在的里皮·2020-07-31 16:01

22张深度学习精炼图笔记总结

最近在做笔记查阅内容,迈微电子研发社7月28日首发这个总结太美观了,真是棒!吴恩达在推特上展示了一份由TessFerrandez完成的深度学习专项课程信息图,这套信息图优美地记录了深度学习课程的知识与亮点。因此它不仅仅适合初学者了解深度学习,还适合机器学习从业者和研究者复习基本概念。这不仅仅是一份课程笔记,同时还是一套信息图与备忘录。从深度学习基础、卷积网络和循环网络三个方面介绍该笔记.一、深度学
机器学习算法那些事·2020-07-31 15:56

kali系统Web渗透之一:收集信息

工欲善其事,必先利其器。为了高效地渗透,安装kali系统无疑是一个好主意。看看系统菜单就知道附带了多少专业工具了。渗透工作一般都有一个前提条件,就是要有全面的目标主机/站点信息,越全面越好,最好包含站长本人祖宗十九代和七大姑八大姨的信息。言归正传,接下来先开始收集信息。1.收集域名持有人/管理员的信息最准确的途径当然是去域名注册商那里查。可在终端执行whois命令查询,如果不够详细,最好直接浏览器
六吨代码·2020-07-31 12:42

mitmproxy(代理)——中间人攻击的神器

一、前言httpproxy在web渗透上占据着非常重要的地位,这方面的工具也非常多,像burpsuite,Fiddler,Charles简直每个搞web的必备神器,还有历史比较久远的paros,webscarab
whackw·2020-07-31 11:55

柒姑娘周复盘

但效率不高,英语单词发音不准2.本周完成图书阅读3本,没有读书笔记总结3.泛学新媒体
小柒姐姐·2020-07-31 11:27

Web前端第一阶段笔记总结(2018-8-14-2018-8-23)

【学习内容,目标】理解什么是web,什么是前端,软件架构分类,以及网站的分类项目开发的流程(一个完整的项目,并不是一个人的页面)简单使用PS中切片,裁剪,抠图等功能使用XMind梳理网站业务流程使用Axure进行原型图的设计,目的了解网页的基本结构,为html学习打基础建立审美观,从网站布局结构配色方面分析【什么是web应用】1、什么是web?详细web本意是蜘蛛网和网的意思,在互联网中是需要用浏
西瓜涼了夏天·2020-07-30 21:04

GOF 面向对象 23 种设计模式详解

GOF设计模式笔记总结自GOF的《DesignPatterns-ElementsofReusableObject-OrientedSoftware》,ErichGamma、RichardHelm、RalphJohnson
Al_assad·2020-07-30 21:52

Kali linux 学习笔记(四十二)Web渗透——扫描工具之Arachni 2020.3.19

前言Arachni一个功能完整的模块化高性能Ruby框架,旨在帮助渗透测试人员和管理员评估现代Web应用程序的安全性。它是免费的,其源代码公开并可供审阅。它是多平台的,支持所有主要操作系统(MSWindows,MacOSX和Linux),并通过便携式软件包进行分发,以便即时部署。它涵盖了大量的用例,从简单的命令行扫描器实用程序到全球高性能扫描器网格,允许脚本审计的Ruby库,到多用户多扫描Web协
思源湖的鱼·2020-07-30 18:06

第三章-Susan-笔记总结

这一章主要介绍常见的指数基金品种和指数进阶,在今后的投资过程中也可以作为工具章节过来翻阅。指数基金分类a.宽基指数:在选股票的时候..并不限制必须投资哪些行业..b.行业指数:在选股票的时候..要求只能投资特定行业的股票..2.常见宽基指数:上证50指数沪深300指数中证500指数创业板指数红利指数基本面指数央视财经50指数恒生指数H股指数上证50AH优选纳斯达克100指数标普500指数其他指数(
SusanLin·2020-07-30 14:44

go函数(方法)返回值是有返回值的函数

晚上被别人问了类似的问题,特意写个笔记总结一下,下次谁问我我就直接转发…QAQ才疏学浅,博文标题也不知道该怎么描述我想表达的意思,来段程序吧:packagemainimport"fmt"funcTest
弃更内容请谨慎查看·2020-07-30 13:53

22张深度学习精炼图笔记总结

点击上方“迈微电子研发社”,选择“星标★”公众号重磅干货,第一时间送达最近在做笔记查阅内容,觉得这个总结太美观了,真是棒!吴恩达在推特上展示了一份由TessFerrandez完成的深度学习专项课程信息图,这套信息图优美地记录了深度学习课程的知识与亮点。因此它不仅仅适合初学者了解深度学习,还适合机器学习从业者和研究者复习基本概念。这不仅仅是一份课程笔记,同时还是一套信息图与备忘录。从深度学习基础、卷
Charmve·2020-07-30 13:24

Jvm笔记总结(八):虚拟机类加载机制

Jvm笔记总结(八):虚拟机类加载机制PS:本文乃学习整理参考而来,目录参考[Jvm系列目录]概述虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的
请叫我晁盖_·2020-07-30 12:15

机器学习--Logistic回归讲解

1.引言看了Stanford的AndrewNg老师的机器学习公开课中关于LogisticRegression的讲解,然后又看了《机器学习实战》中的LogisticRegression部分,写下此篇学习笔记总结一下
六毛吧·2020-07-30 12:17

TI 的《环路补偿很容易》视频教程 笔记总结及拓展

一、资源TI精品视频教程–《环路补偿很容易》二、零极点分类及分析2.1、单个极点总结(2019-9-16):环路补偿之单极点分析----以“反相放大器”为例分析在极点处会有-20dB/10倍频程的的斜率,意味着随着频率的增加而衰减的速度在经历极点后,相位会有90度的下降2.2、单个零点总结(2019-9-17):环路补偿之单零点分析----以“反相放大器”为例分析在单零点处,特点如下:在零点处会有
Gl-Young·2020-07-30 12:55

跟恶魔奶爸学英语 20小时快速掌握英语核心秘诀笔记总结

跟恶魔奶爸学英语20小时快速掌握英语核心秘诀1.英语简单句的造句规则和基本语法概念英语单词分为虚词和实词虚词:介词,连词实词:名词,动词,形容词,副词句子成分:主谓宾系动词->主语+系动词+表语(主系表句型)4大类系动词1.be动词:amisare和它们对应的过去将来时态在be动词之后,有3大类表语:名词、形容词、地点副词名词作表语:be动词翻译成汉语“是”形容词作表语:be动词不会被翻译,直接被
每天净瞎搞·2020-07-30 09:21

基于W3C的javascript的学习笔记总结--学习笔记

JS基础知识1、javascript的重要性是因特网上最流行的脚本语言,被用来改进设计、验证表单、创建cookie等应用。2、浏览器解析和之间的javascript现在不必加type="text/javascript"3、js可以放在head中,可以放在body中,也可以放在外部文件,用4、请使用document.write()仅仅向文档输出写内容。如果在文档已完成加载后执行document.wr
liuyang_lunan·2020-07-30 08:39

百度AI studio平台学习笔记

百度Paddlepaddle深度学习学习营笔记总结自学深度学习过程开始了解到百度深度学习AIStuidio平台时,不是它终于出现的感觉,而是我终于等到它的感觉。
yuanbao103320·2020-07-30 06:55

第01天C语言(00)笔记总结

1、应用右键+option键显示强制退出2、control+空白键搜索应用3、显示隐藏文件夹10.9之前显示:defaultswritecom.apple.finderAppleShowAllFiles-booltrue隐藏:defaultswritecom.apple.finderAppleShowAllFiles-boolfalse10.9之后defaultswritecom.apple.fi
liyuhong·2020-07-30 04:41

文件上传漏洞绕过技巧

文件上传漏洞绕过技巧一、文件上传漏洞介绍通常web站点会有用户注册功能,而当用户登入之后大多数情况下都会存在类似头像上传、附件上传一类的功能,这些功能点往往存在上传验证方式不严格的安全缺陷,是在web渗透中非常关键的突破口
weixin_34088838·2020-07-30 03:15

Android 性能优化 之谈谈Java内存区域

最近一年副业主要在学习投资和技能学习,把以前学习内存分析的一些笔记总结发出来,写了很多笔记总结都没有写完就又忙着了,最近再次总结复习学习一遍,还有提醒各位同学一定要学会投资。。
fuchenxuan·2020-07-30 02:23

合天——SQL注入实验一

实例一通过网址:10.1.1.11:81进入web渗透测试实验打开在后面加'%20and%20’1'%20=%20'1(%20是空格的编码)可以看出左右两边不一样,说明存在注入,接下来开始猜测字段数目在
南吕十七·2020-07-29 23:04

web渗透笔记之文件上传漏洞

前端代码逻辑绕过文件内容检测文件包含、文件备份容器及语言特性畸形报文系统特性SQLI方面上传文件时WAF检测点:1)请求的url,url是否合法2)Boundary边界,通过Boundary边界确定内容来检测内容3)MIME类型,即content-type4)文件扩展名5)文件内容文件上传后导致的常见安全问题一般有:1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代
yida223·2020-07-29 23:26

Effective C++ 读书笔记总结

EffectiveC++读书笔记总结一、书本目录让自己习惯C++条款01:视C++为一个语言联邦条款02:尽量以const,enums,inline替换#define条款03:尽可能使用const条款04
Baymax_yan·2020-07-29 23:54

Web渗透——SQL注入之基于错误的

0x00前言sql注入是top10中的一个,是需要好好学习的一个漏洞。0x01知识点1.注入原理注入攻击的更远在于,程序命令和用户数据之前没有进行校验,使得攻击者有机会将程序命令当做用户输入的数据交给web程序,为所欲为。简之:接受相关参数未经处理直接带入数据库查询操作。2.GET基于单引号的错误2.1单引号型首先来看一下正常测试,输入ID之后进行测试,返回正常对网址进行单引号后缀产生了错误。爆出
Bubble_zhu·2020-07-29 22:40

《Effective C++》与《More Effective C++》笔记总结

1.对于常量,最好使用const对象或enums替代#defines2.对于类似宏的函数,最好使用Templateinline替代#defines3.如果const出现在*左边,表示data是常量;如果const出现在*右边,表示pointer是常量chargreeting="Hello"constchar*p=greeting;//constdatachar*constp=greeting;//
npzhaoyun·2020-07-29 21:54

SQL注入学习一

要系统学习SQL注入了,主要以安全牛课堂上的Kali实战-Web渗透为主要学习资料。
Elvirajia·2020-07-29 19:03

Python【习题】质数(素数):判断质数

人生苦短,我用Python环境:Windows1064-bit,python==3.6.4,PyCharmCE==2018.1声明:学习资源来自于网络,这里是自己学习笔记总结与分享,每篇内容会随着学习的深入进行更新
彼岸的渔夫·2020-07-29 17:10

第三章-Susan-笔记总结

这一章主要介绍常见的指数基金品种和指数进阶,在今后的投资过程中也可以作为工具章节过来翻阅。指数基金分类a.宽基指数:在选股票的时候..并不限制必须投资哪些行业..b.行业指数:在选股票的时候..要求只能投资特定行业的股票..2.常见宽基指数:上证50指数沪深300指数中证500指数创业板指数红利指数基本面指数央视财经50指数恒生指数H股指数上证50AH优选纳斯达克100指数标普500指数其他指数(
SusanLin·2020-07-29 17:37

IO流笔记总结

I/O流:IO操作数据信息的输入输出File类:操作文件或文件夹的创建删除改名等操作creatNewFile()创建文件E:/abd.txtmkdir()创建文件夹E:/abdmkdirs()创建多层文件夹E:/abd/bbb/aadelete();//删除最后面的文件E:/abd/bbb/aa删aa只能删除文件或空的文件夹isDirectory()是否是文件夹trueisFile()是否是文件l
浮生岁月·2020-07-29 17:57

web渗透--64--常见的WAF绕过方法

本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法一、网络架构层一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。具体方法如下:1、查找相关的二级域名及同一域名注册者的其他域名解析记录。2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如:windows可以执行命令:nslookup-qt=mxbaidu.comLin
随 亦·2020-07-29 12:35

Kali Linux Web 渗透测试视频教程— 第十三课-密码破解

KaliLinuxWeb渗透测试—第十三课-密码破解文/玄魂目录KaliLinuxWeb渗透测试—第十三课-密码破解...........................................
weixin_34356310·2020-07-29 12:44

Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码...

KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者usb启动盘破解windows密码文/玄魂目录KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者
weixin_34101229·2020-07-29 12:16

jQuery学习笔记总结

1绝对定位(abs)与相对定位(relative)区别是相对定位参照自己的位置进行移动(当然需要设置topleft这些生效)并且原来的位置保留着偏移后会把其它的层遮罩住绝对定位就是的参照位置就不像相对那样是自己了至于是哪个就看它的上级或上上级有没有定位了也就是有没有position:relative或position:fixed等吧当要绝对定位的层设好要参照位置的层后就可以用topleft这些来定
技术达人丶小强·2020-07-29 11:30
上一页 33 34 35 36 37 38 39 40 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他