E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
web漏洞
Web漏洞
-CSRF漏洞
CSRF漏洞介绍:CSRF(Cross-SiteRequestForgery),中文名称:跨站请求伪造,是一种劫持用户在当前已登录的Web应用程序上执行非本意操作一种攻击.原理:攻击者利用目标用户的身份,执行某些非法的操作跨站点的请求:请求的来源可以是非本站请求是伪造的:请求的发出不是用户的本意。攻击者先让受害者登录一个需要权限验证的网站,当用户完成验证后,权限凭证会被保存到本地,下次发送请求时会
Ays.Ie
·
2023-08-08 20:01
web漏洞
csrf
网络安全
web安全
web漏洞
--csrf
csrf:跨站点请求伪造方向:特权操作、依靠cookie的会话、确定执行所需要的参数我认为类似钓鱼,过程:攻击者盗用了你的身份,以你的名义发送恶意请求。原理:用户登录正常网站a,服务器发送cookie值给客户,保存在浏览器,攻击者创建恶意网站b,将恶意代码植入到网站中,b收到用户请求后,将恶意代码执行,定向到正常网站,从中获取cookie伪造信息等相关操作方式:创建web页面,植入恶意代码,向有漏
Gachei
·
2023-08-08 20:27
web安全
网络安全
Web漏洞
-CSRF
Web漏洞
-CSRF一、预备概念二、CSRF跨站请求伪造(1)原理(2)需要满足的条件(3)DVWA中的实验(4)防御CSRF一、预备概念Cookie:放在客户端Cookie的两个重要属性:Domain
糯叽叽吖
·
2023-08-08 20:56
Web安全
web
csrf
第29天-
WEB漏洞
-CSRF及SSRF漏洞案例讲解
CSRFCSRF漏洞原理CSRF(Cross-siterequestforgery)跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击。CSRF离不开Cookie,并不是说要获取Cookie,而是利用浏览器保存已有的Cookie数据来做跳转,而XSS恶意代码执行是辅助CSRF去执行,当然,XSS还有可能有其它用
IsecNoob
·
2023-08-08 13:42
前端
csrf
安全
fscan:一键自动化、全方位漏洞扫描的开源工具
它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、
web漏洞
扫描、netbios探测、域控识别等功能。
开源前哨
·
2023-08-08 10:01
外网渗透信息收集&漏洞挖掘
企业信息收集之域名信息收集2.1、通过域名找到公司2.2、通过公司找到域名3.3、收集每个域名的⼦域名三、企业信息信息收集之移动资产3.1、移动端APP收集3.2、微信⼩程序收集四、信息收集流程`漏洞挖掘`一、常⻅的
web
月亮今天也很亮
·
2023-08-05 12:36
学习
web安全
漏洞挖掘
从
web漏洞
到linux权限提升
从
web漏洞
到linux权限提升一、Linux系统介绍与使用二、Linux权限说明2.1、文件权限2.2、linux文件、目录权限说明三、权限提升一、Linux系统介绍与使用linux-全称GNU/Linux
月亮今天也很亮
·
2023-08-05 12:36
web安全
学习
linux
权限提升
Linux搭建pikachu靶场(以centos为例)
Linux搭建pikachu靶场Pikachu是一个使用PHP语言编写的
Web漏洞
测试靶场。
dumplings。
·
2023-08-04 10:20
Linux相关
linux
centos
网络安全
业务逻辑漏洞之支付逻辑漏洞
业务逻辑漏洞之支付逻辑漏洞一、漏洞挖掘介绍二、
Web漏洞
产生的原因三、业务逻辑简述四、常见业务逻辑漏洞的功能点五、支付逻辑漏洞5.1、漏洞背景5.2、产生原因5.3、测试方法六、挖到这些漏洞有什么用?
月亮今天也很亮
·
2023-08-04 09:50
web安全
学习
网络
业务逻辑
支付逻辑
Vulmap和struts-scan联合使用
介绍Vulmap是一款
web漏洞
扫描和验证工具,可对webapps进行漏洞扫描,并且具备漏洞利用功能,目前支持的webapps包括activemq,flink,shiro,solr,struts2,tomcat
十三2
·
2023-08-02 17:20
vumlmap
2021-08-16(发暗月的计划)
基础第三天数据库学习七课WEB安全07php安全开发博客系统第四天基础知识6课第五天信息收集6课第六天穷举篇13课第七天文件上传漏洞11课第八天SQL注入篇24课(要看2020的)WEB安全14XSS篇WEB安全15常见
WEB
杨某人要学习
·
2023-08-01 00:50
web漏洞
-java安全(41)
这个重点是讲关于java的代码审计,看这些漏洞是怎么在java代码里面产生的。#Javaweb代码分析-目录遍历安全问题这个漏洞原因前面文章有,这次我们看看这个漏洞如何在代码中产生的,打开靶场解题思路就是通过文件上传,上传文件把它应该正常上传的路径进行修改,更改他的上传路径。查看页面源码我们正常上传一个文件,看一下他的储存路径就是箭头指向的对方。这关的过关思路就是把这个文件上传到其他目录下面去。而
上线之叁
·
2023-07-31 00:34
java
开发语言
pikachu靶场搭建及问题解决
xp.cn)pikachu靶场:https://github.com/zhuifengshaonianhanlu/pikachuPHP、Apache环境中部署pikachu说明:pikachu是一款开源的练习
web
Tuzi11---bfwy
·
2023-07-29 05:31
开发语言
php
奇安信2023HVV面试笔记
1、说一下你的渗透测试经历2、谈一谈你理解比较深的两个
web漏洞
(我答了
admin and root
·
2023-07-26 18:50
面试
笔记
职场和发展
【安全day_01】
1伪装2捆绑3免杀4上线@软件打包流程基础模块(html/js/php/python/java/mysql/redis/linux相关/shell/iptables/awk)@安全基础目录
web漏洞
模块
柠檬三号
·
2023-07-26 02:58
安全
安全
SQL注入的优化和绕过
SQL注入的优化和绕过:0x00~介绍SQL注入毫无疑问是最危险的
Web漏洞
之一,因为我们将所有信息都存储在数据库中。
CanMeng
·
2023-07-23 08:02
2023年网络安全面试题:详细答案解析与最佳实践分享
主要的
Web漏洞
Sql注入原
正经人_____
·
2023-07-21 18:16
网络安全
web安全
安全
Web漏洞
扫描工具 - 安全工具篇
Web漏洞
常用扫描器有:1、Owasp-zap;2、AWVS;3、Appscan;4、Nikto;5、BurpsuiteOwasp-zap漏洞扫描器OWASP-ZAP是OWAS
DreamsonMa
·
2023-07-21 16:11
几个好玩的
web漏洞
测试平台
支持环境lnmp,环境搭建phpstudy漏洞测试平台下载皮卡丘:https://github.com/zhuifengshaonianhanlu/pikachuDoraBox:https://github.com/gh0stkey/DoraBoxPikachu上的漏洞类型列表如下:BurtForce(暴力破解漏洞)XSS(跨站脚本漏洞)CSRF(跨站请求伪造)SQL-Inject(SQL注入漏洞
kepler404
·
2023-07-21 09:37
喜讯|智安网络实力上榜《嘶吼2023网络安全产业图谱》17个细分领域
智安网络凭借在网络安全行业领先的产品实力、专业的安全服务水平及多年累积的行业经验,成功入选渗透测试、重保支持、演练保障、零信任、堡垒机、Web应用防护(WAF)、
Web漏洞
扫描与监控、网页防篡改、勒索病毒专项防护
智安网络
·
2023-07-18 21:43
web安全
网络
安全
DVWA之SQL注入
一.DVWA介绍1.1DVWA简介DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的
web漏洞
如sql注入,XSS,密码破解等常见漏洞。
bp粉
·
2023-07-14 13:59
面试
学习路线
阿里巴巴
sql
安全
数据库
servlet
jvm
pikachu靶场之XSS学习笔记
XSS漏洞一直被评估为
web漏洞
中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
Mbys_Lettuce
·
2023-07-14 12:30
pikachu靶场学习笔记
xss
学习
前端
2022-12-07
一站式解决web应用核心安全痛点专业:具备独家自研规则+AI深度学习+主动防御的多重防护规则,且支持灵活自定义规则稳定:多线路节点容灾,智能最优路径,毫秒级响应,最高可支持百万QPS业务接入防护及时:最新
web
darkvm美美
·
2023-07-13 23:23
常见高危端口及其利用方式
21ftp22SSH23Telnet25SMTP53DNS69TFTP80web80-89web110POP3135RPC139NETBIOS143IMAP161SNMP389LDAP443SSL心脏滴血以及一些
web
sam.li
·
2023-06-23 19:26
Web安全
安全漏洞
安全
web漏洞
之文件上传漏洞
文章目录一、漏洞原因二、漏洞危害三、漏洞利用1.三个条件2.利用方式3.绕过方式a.绕过JS验证①BP绕过②F12绕过③菜刀上传实操b.绕过MIME-Type验证c.绕过黑名单验证①直接修改后缀名绕过②htaccess绕过(有拦截)③大小写绕过(有拦截)④空格绕过⑤.号绕过⑥特殊符号绕过⑦路径拼接绕过d.Linuxwebshell测试工具Webacooweevely四、文件上传漏洞防护措施五、文件
wutiangui
·
2023-06-22 10:59
前端
web安全
网络
web漏洞
-反序列化之PHP&JAVA全解(上)(37)
这个很重要为什么会产生这个东西:序列化之后便于我们对象的传输和保存,这个作用就是为了数据的传递和格式的转换,我们称之为序列化。在这给过程中,会涉及到一种叫做有类和无类的情况,开发里面经常看到的一个东西,我们称之为类,类对象,存在类的话,在类里面有一些内置的魔术方法,如果有类用到反序列化这个操作,就会触发到里面的魔术方法,有时候在不经意之间就会和其他漏洞相互组合。无类情况,没有在代码写类,就不会触发
上线之叁
·
2023-06-19 23:13
java
开发语言
fscan安装配置(windows、linux系统)
它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、
web漏洞
扫描、netbios探测、域控识别等功能。
寂寞的槟榔丶
·
2023-06-19 16:16
系统
fscan
windows
linux
运维
web漏洞
-逻辑越权之登录脆弱支付篡改(34)
这节课是这两个内容,登录的内容会讲不完,会有一小点部分,在别的课将,#登录应用功能点产生的安全问题只要有登录功能都可以检测(排除之前讲过的)1.登陆点的暴力破口(很好理解2.http/https传输,这个两个网站协议,对于登录点有不一样的地方3.cookie脆弱点验证,如果是cookie验证,在验证方面有些问题就可以尝试4.session型验证固定点测试,5.验证密文比对安全测试,先来看一下第一点
上线之叁
·
2023-06-18 00:21
网络
基于
web漏洞
扫描及分析系统设计_kaic
基于
web漏洞
扫描及分析系统设计摘要随着信息技术的发展和网络应用在我国的普及,针对我国境内信息系统的恶意网络攻击也越来越多,并且随着黑客攻击技术的不断地更新,网络犯罪行为变得越来越难以应对,用户日常访问的网站是否安全对于普通网民而言难以辨别
开心工作室_kaic
·
2023-06-17 23:18
计算机文章
毕业设计
web安全
网络
安全
java
数据库
矩阵
线性代数
web漏洞
-缺少X-Frame-Options标头
漏洞描述X-Frame-OptionsHTTP响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。属于一种具有迷惑性高、利用难度中等、攻击方式单一的攻击手法。漏洞危害当X-Frame-OptionsHTTP响应头丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、
lzylbp
·
2023-06-17 05:38
web漏洞
安全
web安全
Web安全:bWAPP 靶场搭建.(集成了各种常见漏洞和最新漏洞的开源Web应用程序)
Web安全:bWAPP靶场搭建.bWAPP是一个集成了了常见漏洞的web应用程序,目的是作为漏洞测试的演练场,帮助安全爱好者,开发人员和学生发现和防止
Web漏洞
。
半个西瓜.
·
2023-06-16 22:01
渗透测试
领域.
#
靶场搭建领域.
Web安全
领域.
web安全
安全
网络
网络安全
最新黑客网站(包含国内国外)
它有助于安全爱好者及研究人员发现和防止
web漏洞
http://www.itsecgames.com/http://www.itsecgames.com/2、DamnVulnerableiOSApp(DVIA
林代码er
·
2023-06-15 11:50
hack
web安全
【网络安全】web渗透漏洞靶场收集
包含了常见的
web漏洞
(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。
网络安全-生
·
2023-06-14 15:56
学习路线
计算机
网络安全技能树
安全
网络安全
笔记
经验分享
web安全
web漏洞
-逻辑越权之水平垂直越权全解(33)
他是业务逻辑层面,和一些业务方便应用的安全问题,这个是因为代码层面没用考虑到的逻辑关系所造成的安全问题,越权是其中一个比较关键的问题。登录是指在登录这里出现了安全问题,业务等等今天只说越权。越权漏洞分为水平和垂直,假如我们在用户a这里,如果有用户越权漏洞,我们就可以访问到用户b,c,d这里去,同级别的用户,我们称之为水平越权。垂直越权,我们用普通用户权限,可以去享用比我们高级的权限,这种就是垂直越
上线之叁
·
2023-06-11 21:03
安全
通过边界代理一路打到三层内网+后渗透通用手法
外网进内网通常就是通过
web漏洞
拿取shell内网的很大一部分信息收集是围绕网络拓扑图展开的。可以社工运维或者google找一下。
渗透测试中心
·
2023-06-10 02:17
网络
linux
服务器
运维
使用较广泛的安全测试工具有哪些?
一.
Web漏洞
扫描工具——AppScan,AppScan是IBM公司开发的一款Web应用安全测试工具,它采用黑盒测试方式,可以扫描常见的Web应用安全漏洞。AppScan的扫描过程分为以下3个流程。
泽众云测试
·
2023-06-09 19:47
测试类型
安全测试
安全
测试工具
Web漏洞
-SSRF漏洞(详细)
SSRF漏洞介绍:SSRF(Server-SideRequestForgery):服务器端请求伪造,该漏洞通常由攻击者构造的请求传递给服务端,服务器端对传回的请求未作特殊处理直接执行而造成的。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做
Ays.Ie
·
2023-06-09 10:13
web漏洞
服务器
网络
web安全
网络安全
WEB漏洞
-反序列化之PHP&JAVA
免责声明:本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。一、P
Rnan-prince
·
2023-06-07 18:45
PHP
渗透测试
网络安全
java
php
序列化
反序列化
2020小迪培训(第18天WEB 漏洞-WAF 绕过注入)
WEB漏洞
-WAF绕过注入前言知识点市面上常见的waf产品列表分析-wafw00f阿里云盾,安全狗,宝塔部分bypasssqlinjectpayload原理:?
是阿明呐
·
2023-06-07 18:06
2020小迪培训
安全
渗透测试---基本知识储备
二、需要的知识基础:计算机基础、网络基础、常见的
web漏洞
、渗透测试三、渗透测试基本步骤1、前期交互2、信息收集3、漏洞探测4、渗透攻击5、后渗透攻击6、信息整理7、渗透测试报告四、什么是IP地址是电子设备
爱笑的傻子43
·
2023-06-07 17:43
安全
web安全
设备告警的分析研判——
Web漏洞
的分析检测(WAF/IPS)
Web安全逻辑安全研究员根据漏洞的形成原因分析漏洞payload根据payload在流量中的表现形式定义检测方法(算法、规则等)进行测试通过测试后发布到产品Web安全分析前置条件需要读懂payload的能力需要有一定的流量分析能力进行Web安全分析的原因Web安全分析是通过对安全产品的安全事件进行分析,确认当前站点的安全性Web安全分析的目的事件的产生来源于漏洞的利用方法,通过对时间的分析检查We
永恒之蓝1489
·
2023-06-07 11:02
蓝队安全工程师学习
安全
web安全
自研分布式
web漏洞
扫描平台WDScanner
WDScanner为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,Tide安全团队(www.tidesec.net)开发了一套简单易用的分布式
web漏洞
检测系统WDScanner
苍简
·
2023-06-06 23:17
5.1 -
Web漏洞
- XSS漏洞详解
「作者简介」:CSDNtop100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》XSS漏洞一、什么是XSS?二、XSS概述三、靶场练习四、XSS使用步骤五、XSS攻击类型六、XSS流量特征七、XSS的危害八、XSS的防御1、实体转换2、字符过滤一、什么是XSS?首先,我们通过一个案例来认识一下XSS:1)下面这几行PH
士别三日wyx
·
2023-06-06 22:11
《网络安全入门到精通》
web安全
网络安全
人工智能
ai
vulnhub 靶机 Jangow: 1.0.1
文章目录前言一、安装Jangow:1.0.1靶机二、Web部分三、提权部分四、
web漏洞
代码分析前言难度:简单,本文使用VirtualBox打开,下载地址:https://download.vulnhub.com
Mauro_K
·
2023-04-21 01:32
靶机
网络安全
Linux本地提权漏洞复现与检测思路
但本地提权漏洞并不像其他
web漏洞
一样,可以直接pull一个docker镜像就ok了,提权的洞复杂在于配置环境,基本都是在虚拟机里复现,一个镜像的大小基本都是上G的,镜像安装时间又长,每个洞要求的kernnel
xju_lr
·
2023-04-19 12:30
内核
linux
docker
java
ubuntu
权限提升:网站漏洞(提权思路.)
权限提升:网站漏洞权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过
Web漏洞
拿到的是Web进程的权限,往往Web服务都是以一个权限很低的账号启动的,因此通过Webshell
半个西瓜.
·
2023-04-19 12:25
渗透测试
领域.
内网安全
领域.
#
权限提升
维持
领域.
安全
web安全
网络安全
系统安全
Web漏洞
学习手册
Web漏洞
学习手册随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注
私ははいしゃ敗者です
·
2023-04-16 20:02
Web漏洞
学习
安全
web安全
web漏洞
-web文件操作之文件下载与文件读取超详细全解
目录一、导图二、引入三、简单实验四、真实案例(禁止进行非法操作)五、RoarCTF文件读取真复现六、百度杯Zone真题复现七、小米路由器-文件读取漏洞真实测试一、导图二、引入文件被解析——>文件包含漏洞显示源代码——>文件读取漏洞提示文件下载——>文件下载漏洞三、简单实验1.打开pikachu靶场。2.打开下面的页面。3.在这个页面下,当我们迪点击某一张图片的时候,网站就会将点击的图片进行下载。4
ranzi.
·
2023-04-16 04:41
安全
web安全
网络安全
后端
中间件
Kali搭建DVWA——Web靶场
▣博主主站地址:微笑涛声【www.cztcms.cn】一.DVWA介绍1、DVWA简介DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的
web漏洞
如sql注入,XSS,密码破解等常见漏洞
微笑涛声
·
2023-04-13 04:00
网络安全
linux
DVWA
靶机
Web漏洞
-文件包含漏洞超详细全解(附实例)
目录一、导图二、文件包含漏洞1.脚本代码2.原理演示3.漏洞成因4.检测方法5.类型分类三、本地文件包含漏洞的利用四、远程文件包含漏洞的利用五、协议的玩法六、南邮杯CTF实例七、i春秋百度杯实例八、某CMS文件包含漏洞实例一、导图二、文件包含漏洞1.脚本代码文件包含各个脚本代码。ASP,ASPX,JSP,PHP等2.原理演示(1)创建一个名为include.php的php文件,文件内的代码如下图所
ranzi.
·
2023-04-12 15:06
php
web安全
文件包含漏洞
网络安全
后端
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他