web漏洞

Nginx平滑升级

线上环境nginx的版本为1.6.3,收到Web漏洞检测:显示:NGINX版本过低,存在整数溢出漏洞(CVE-2017-7529)影响范围:Nginx0.5.6-1.13.2决定升级nginx1.6.3
梅梅呐·2023-01-29 12:01

TryHackMe-NahamStore(常见web漏洞 大杂烩)

这个房间很有意思,涵盖了许多常见web漏洞设置要开始挑战,您需要在/etc/hosts或c:\windows\system3
Sugobet·2023-01-24 18:53

我的第一次真实对国外某购物平台web漏洞挖掘

(真实世界)我的第一次真实对国外某购物平台web漏洞挖掘开放重定向-低危XSS-低危这两组合起来就完全不一样一点的,个人觉得比原本高一些危害:窃取用户敏感数据、用户cookie、钓鱼操作等…前言这是我第一次
Sugobet·2023-01-24 18:22

记一次攻防演练之vcenter后渗透利用

1.说明很早之前的一次攻防演练,主要是从web漏洞入手,逐渐学习vcenter后利用技术。过程由于太长,很多细节都省略了,中间踩坑、磕磕绊绊的地方太多了。。。
乌鸦安全·2023-01-18 11:13

小迪安全学习笔记--第19天web漏洞-深入WAF注入绕过

在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Pa9load,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。应用层大小写/关键词替换id=1UnIoN/**/SeLeCT1,user()Hex()bin()等价于ascii()Sleep()等价于benchmark()Mid()substring()等价于substr()@@us
铁锤2号·2023-01-14 06:17

第19篇:WEB漏洞~SQL注入~SqlMap绕过WAF

目录1.本文2.示例2.1.简要其他绕过方式学习2.1.1.IP白名单2.1.2.静态资源2.1.3.url白名单2.1.4.爬虫白名单2.2.FUZZ绕过脚本结合编写测试2.3.阿里云盾防SQL注入简要分析2.4.★安全狗+云盾SQL注入插件脚本编写补充:涉及资源1.本文作为18篇的补充,区分注入时被拦截的原因会事半功倍  在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层
廖一语山·2023-01-14 06:34

第19天-WEB漏洞-SQL注入之SQLMAP绕过WAF

在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Payload,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。数据库特性(补充)%23x%0aunion%23x%0Aselect%201,2,3%20/!44509union/%23x%0aselect%201,2,3id=1/**&id=-1%20union%20select%2
IsecNoob·2023-01-14 06:22

owasp十大web漏洞_OWASP的十大Web应用程序安全风险

owasp十大web漏洞开放Web应用程序安全性项目(OWASP)是一个全球性的非营利慈善组织,致力于改善软件的安全性。
danpu0978·2023-01-13 19:58

2022最新网络安全经典常用靶场整理推荐(含链接)

推荐几个经典靶场:DVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。
Hack0812·2023-01-06 12:26

java web 漏洞扫描工具_java编写web漏洞扫描系列 一、GET/POST

今天是java编写漏洞扫描工具系列一,在整个系列中我将以案例驱动方式进行,从基本的请求,到常规漏洞扫描,Burp插件,调用SQLmapapi,整合burp+sqlmap(Web平台),漏洞扫描平台(漏洞平台支持被动主动扫描,插件式集成支持python插件)。我的开发环境为:eclipse+jdk1.8在Web端下,基本上就是GET/POST请求,大部分漏洞的利用也是如此。将我们手工操作的流程-过程
寻古诗词网·2023-01-06 10:50

网安实训(二)| 利用Acunetix进行漏洞扫描

Windows7(靶机)中启动部署好DVWA的phpStudy步骤四:查看靶机IP地址步骤五:在控制机里利用Acunetix扫面靶机漏洞三、实验效果:扫描出靶机的各种漏洞一、实验目的Acunetix是一款Web
朔方鸟·2022-12-29 16:55

Web漏洞扫描-Appscan安装配置及扫描

软件介绍AppScan是一种Web应用程序安全扫描工具,可帮助组织识别和修复其Web应用程序中的漏洞。它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本(XSS)、SQL注入和不安全的文件上传等。AppScan可用于在开发生命周期的不同阶段扫描Web应用程序,包括设计、开发和测试阶段。它还可用于对生产Web应用程序执行持续的漏洞评估。该工具提供详细的报告,突出显示发现的漏洞,并提供如何修复这些
2013041407郭泳妍·2022-12-23 11:59

Web漏洞扫描篇-Nessus使用

软件介绍Nessus是一种漏洞扫描器,个人和组织广泛使用它来识别和修复计算机系统中的漏洞。Nessus可以扫描广泛的漏洞,包括缺少补丁、弱密码和配置错误的系统,它可以扫描单个系统或整个网络上的漏洞。Nessus可以在各种平台上运行,包括Windows、Linux和MacOS。要使用Nessus,您需要在连接到要扫描的网络的系统上下载并安装该软件。安装后,您可以创建扫描策略来指定要扫描的系统和端口,
2013041407郭泳妍·2022-12-23 11:25

【网络安全】WEB漏洞 pickchu靶场搭建:实例演示sql数字注入、目录遍历漏洞、文件下载漏洞

WEB漏洞01CTE,SRc,红蓝对抗,实战等#简要说明以上漏洞危害情况#简要说明以上漏洞等级划分#简要说明以上漏洞重点内容#简要说明以上漏洞形势问题靶场搭建:https://github.com/zhuifengshaonianhanlu
crabin_lpb·2022-12-20 13:28

Web漏洞靶场的搭建

01.Web漏洞靶场的搭建Web漏洞靶场的搭建(上)什么是Web安全?
程序员小勇·2022-12-20 13:26

Web漏洞靶场搭建(OWASP Benchmark)

#[]()Web漏洞靶场搭建(OWASPBenchmark)渗透测试切记纸上谈兵,学习渗透测试知识的过程中,我们通常需要一个包含漏洞的测试环境来进行训练。
是怼怼呀11·2022-12-20 13:56

Web 漏洞靶场收集

1.前言Web漏洞靶场对于学习Web渗透来说是一个很好的选择,也可以拿来验证扫描器的的效果,下面会给出常见的Web漏洞靶场,以供大家学习,具体的安装和搭建过程请移步相关靶场的文章。
Fudo_Yusei·2022-12-19 12:57

Web漏洞靶场搭建

前言OWASP,全称是:OpenWebApplicationSecurityProject,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。OWASP_ZAP,这是一个应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大。OWASPTOP10,这是每年的一份关于w
刚子116·2022-12-19 12:53

【网安自学/web漏洞-day01】sqli-labs第一关

Less-1**ErrorBased-String**原sql为select*fromuserswhereid=1;判断是否为字符型注入select*formuserswhereid='1’'若界面改变则为字符型注入,猜列名的数量:select*fromuserswhereid='1''orderby5--+(可以使用二分法进行);若为5的时候界面错误,4的时候界面不会报错了说明有三列猜显示的位置
Lu&Tian·2022-12-07 10:33

【网安自学/web漏洞-day02】sqli-labs第二关(改为跨站注入)

查询注入点与第一题不一样,其他都一样,所以试一试跨站注入若一个网页的注入点使用的是root用户,那么可以使用这个注入点跨库查询其他的数据库。例如:;使用sqil-labsroot用户注入进行跨库攻击:在网站后添加id=1发现显示用户名判断是否是字符注入http://127.0.0.1/sqli-labs/Less-2/?id=1’根据报错类型判断可能是int类型:http://127.0.0.1/
Lu&Tian·2022-12-07 10:33

网安学习day11(WEB漏洞

简要知识:CTF,SRC,红蓝对抗,实战等简要说明以上漏洞危害情况获取网站的数据库权限数据等,后台账号和密码----sql注入直接获取网站权限----文件上传当程序在进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。----反序列化漏洞XXE漏洞的危害有很多
m0_57485346·2022-12-07 10:01

网安学习Day14(web漏洞-SQL注入类型及提交注入)

SQL注入类型及提交注入简要明确参数类型简要明确请求方法参数字符型注入测试=>sqlilabsless56sqlilabsless5在这里插入图片描述sqlilabsless6POST数据提交注入测试=>sqlilabsless11参数JSON数据注入测试=>本地环境代码演示COOKIE数据提交注入测试=>sqlilabsless20HTTP头部参数数据注入测试=>sqlilabsless18简要
Edison.w·2022-12-07 10:29

逻辑漏洞挖掘

这类漏洞不同于常见WEB漏洞,常见WEB漏洞都可以总结为一定的范式,而逻辑漏洞不行逻辑漏洞出现的原因也是有很多种,需要有一定个人经验积累才能在代码审计过程中发现此类漏洞挖掘思路
sinat_40572875·2022-11-29 17:14

DVWA搭建

1.DVWA介绍1.1DVWA简介DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。
now ~ try·2022-11-29 15:33

《解密家用路由器0day漏洞挖掘技术》学习笔记

第一章基础准备与工具1.路由器漏洞分类密码破解漏洞简单可猜测密码:暴力破解WPS(Wi-FiProtectedSetup)技术:一键加密本质上属于使用过程中的配置问题,不着重分析Web漏洞家用路由器带有
zxyccm·2022-11-26 22:34

WEB漏洞-XSS跨站之WAF绕过

什么是httponly如果你在cookie中设置了httponly熟悉,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击当目标设置了httponly,读取不了用户的cookie时,如果用户习惯点击浏览器中的保存密码,也可以通过xss读取浏览器中用户保存的账号密码常规WAF绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过工具XSStrike
深白色耳机·2022-11-26 19:35

DVWA通关教程(上)

简介:DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。本教程将以DVWA为例,演示常见的web漏洞的利用和攻击。
zxl2605·2022-11-23 11:50

WEB漏洞篇——跨站脚本攻击(XSS)

目录一、XSS简述1.1什么是XSS1.2XSS分类1.3DOMXSS漏洞演示二、XSS攻击进阶2.1初探XSSPayload2.2强大的XSSPayload2.3XSS攻击平台2.4XSSWorm2.5XSS构造技巧2.6反射型XSS利用技巧-回旋镖2.7FlashXSS2.8JavaScript开放框架三、XSS防御3.1HttpOnly3.2输入检查3.3输出检查3.4正确地防御XSS3.5
菜鸟小权权·2022-11-09 03:52

web漏洞“小迪安全课堂笔记”反序列化PHP&JAVA

小迪安全课堂笔记反序列化PHP思维导图php反序列化PHP反序列化热身题-无类问题-本地CTF反序列化小真题-无类执行-实例CTF反序列化练习题-有类魔术方法触发-本地网鼎杯2020青龙大真题-有类魔术方法触发-实例JAVA思维导图序列化和反序列化Java反序列化及命令执行代码测试WebGoat_Javaweb靶场反序列化测试2020-网鼎杯-朱雀组-Web-think_java真题复现PHP思维
rechd·2022-11-08 19:38

web漏洞“小迪安全课堂笔记”XXE&XML

小迪安全课堂笔记XXE&XML思维导图XMLXXEXML与HTML的主要差异pikachu靶场xml数据传输测试-回显,玩法,协议,引入xxe-lab靶场登陆框xml数据传输测试-检测发现CTF-Vulnhub-XXE安全真题复现-检测,利用,拓展,实战CTF-Jarvis-OJ-Web-XXE安全真题复现-数据请求格式xxe安全漏洞自动化注射脚本工具-XXEinjector(Ruby)xxe漏洞
rechd·2022-11-08 19:38

《小迪网络安全笔记》 第十二节:WEB漏洞-SQL注入之简要SQL注入

前言在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。注:左边的比右边的难,学习顺序为从右向左。一、忍者安全测试系统使用说明二、上述思维导图简要说明操作系统:windows和linux对大小写敏感
风冷晨·2022-11-07 11:53

2019年密码与安全新技术讲座-课程总结报告

一、教师讲座内容总结讲座一、Web安全与内容安全在本次讲座中,张健毅老师首先讲述了信息技术的发展阶段,接着讲了信息化发展凸显的信息安全问题,之后重点讲解了Web应用安全,包括常见的Web漏洞,如SQL注入
weixin_30606669·2022-10-24 07:19

Web漏洞之文件包含漏洞

公众号:黑客菌分享更多技术文章,欢迎关注一起探讨学习一、文件包含漏洞概述1、漏洞介绍程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。在通过PHP的函数引入
渗透测试老鸟-九青·2022-10-10 10:06

web漏洞扫描器原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描器

既然我们要讲解的是Web漏洞扫描器,那么就先假设是AMFoverHTTP(这里并不需要你了解AMF,你只需要知道AMF是一种数据格式类型就行)。假设我们需要测试一个AMF格式数据的SQL注入问题,那
weixin_39941721·2022-10-10 10:32

web漏洞扫描器原理_漏洞扫描技巧篇——Web漏洞扫描器

既然我们要讲解的是Web漏洞扫描器,那么就先假设是AMFoverHTTP(这里并不需要你了解AMF,你只需要知道AMF是一种数据格式类型就行)假设我们需要测试一个AMF格式数据的SQL注入问题,
weixin_39980809·2022-10-10 10:02

常用Web漏洞扫描工具汇总

转载自:http://fairysoftware.com/web_lou_dong_sao_miao.html1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。2、OWASPZed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz
傲节·2022-10-08 17:34

常见web漏洞描述及修复建议

文章目录1、Apache样例文件泄漏漏洞描述修复建议2、弱口令漏洞描述修复建议3、明文传输登录口令漏洞描述修复建议4、暴力破解漏洞描述修复建议5、SQL注入漏洞漏洞描述修复建议6、跨站脚本攻击(xss)漏洞漏洞描述修复建议7、目标服务器启用了不安全HTTP方法漏洞描述修复建议8、任意文件上传漏洞描述修复建议9、测试页面泄漏在外网漏洞描述修复建议10、目录浏览漏洞描述修复建议11、phpinfo信息
星球守护者·2022-09-28 07:51

渗透测试相关工具

acunetixWVS——web漏洞扫描器nmap:扫描器hydra:hydra是一个自动化的爆破工具,暴力破解弱密码,是一个支持众多协议的爆破工具sqlmap:sql注入工具appscan:web漏洞
weixin_43778463·2022-09-22 14:58

网络安全笔记-POC与EXP的Python实现

定制EXP漏洞利用之Python实现以Web漏洞为主基础知识:requests模块requests模块详解requests是使用Apache2licensed许可证的HTTP库。用python编写。
二手卡西欧·2022-09-21 09:04

web漏洞-CSRF及SSRF漏洞

web漏洞-CSRF及SSRF漏洞CSRF:在引导用户访问的恶意网页中植入恶意请求包(例如转账请求),当用户在登录手机银行时同时访问恶意网页,就会执行该恶意请求。
je1emy0uan·2022-09-06 17:47

漏洞扫描工具(一)

它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。
攻防小白·2022-09-05 16:40

AWVS简介

简介自动化的Web漏洞扫描工具可以扫描任何通过web浏览器和遵循http/https规则的web站点原理基于漏洞匹配方法,通过网络爬虫测试网站安全,检测流行漏洞开启kali:开启awvs:serviceacunetix_trialstart
.*晚风·2022-09-02 17:44

web漏洞扫描之AWVS

简介本篇文章是在基于kali中安装,windows安装awvs可以参照此博客AWVS是一个自动化的web漏洞扫描工具,它可以扫描任何通过web浏览器访问和遵循HTTP/HTTPS规则的web站点。
poggioxay·2022-09-02 17:43

Awvs详细使用教程

Awvs的是一款非常好用的web漏洞扫描工具,他的扫描速度比较快,可以自己选择扫描速度,比较灵活。Awvs分为老的版本和新版本,下面我介绍的是新版本的功能和用法。
内网漫游-网安人的梦·2022-09-02 17:42

Find-Vulnerability 自动化探测扫描工具简介

F-vuln(全称:Find-Vulnerability)是一款自动化探测扫描工具,主要适用于日常安全服务、渗透测试人员和RedTeam红队人员使用它集合的功能包括:存活IP探测、开放端口探测、web服务探测、web
ICML0X824·2022-08-24 11:00

常见的Web漏洞——XXE(外部实体注入)

XML和DTD基础XML是可扩展性标记语言,类似HTML的标记语言,但标签是自定义的。DTD是文档类型定义,用来为XML文档定义语义约束,可以在xml文件中声明,也可以在外部引用。XML文件结构:DTD部分(可选)Test支持的协议上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有DTD引用和实体声明DTD内部声明:DTD外部引用:DTD内部实体声明:DTD外部实体声明:]>&name;
江左盟宗主·2022-08-20 18:52

【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-4

目录第17天:WEB漏洞-SQL注入之二次,加解密,DNS等注入第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1.堆叠查询注入2.安全狗3.FUZZ测试4.其他第19天:WEB漏洞-SQL注入之
youngerll·2022-08-18 10:46

web漏洞“小迪安全课堂笔记”文件操作安全,文件上传

文件上传小迪安全笔记思维导图利用思路什么是文件上传漏洞?文件上传漏洞有哪些危害?文件上传漏洞如何查找及判断?文件上传漏洞有哪些需要注意的地方?关于文件上传漏洞在实际应用中的说明?案例前端验证后端后缀名:黑名单.htaccess文件上传漏洞空格绕过点绕过::$DATA源码过滤后缀名:白名单(比黑名单安全)%00截断0x00文件类型——MIME文件包含漏洞内容及其他文件头逻辑安全:二次渲染逻辑安全:条
rechd·2022-08-18 10:12

漏洞扫描

Kali包含一些针对Web应用或特定Web漏洞的漏洞扫描器。这一章中,我们会涉及到一些在渗透测试者
weixin_30642561·2022-08-05 13:53

web安全 浅谈sql注入

WEB漏洞SQL注入注入思路Mysql注入信息收集收集用户名,版本,数据库名等等为后续做铺垫数据注入1).低版本注入:暴力猜解,用ascII码进行猜字段等等2).高版本注入:在mysql5以上的版本存在
勒亦砾·2022-08-05 13:52
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他