上一页 1 2 3 4 5 6 ··· 11 下一页
2020年5月25日
OWASP TOP 10 web安全威胁---D.XML外部实体(XXE)
摘要: D.XML外部实体(XXE) 原理: 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 也就是说服务器端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 漏洞产生原因: XML文档格式的第二部分DTD存在XXE漏洞。 阅读全文
posted @ 2020-05-25 14:55 强霸卓奇霸 阅读(258) 评论(0) 推荐(0)
OWASP TOP 10 web安全威胁---A.注入攻击
摘要: A.注入攻击 A1.SQL注入 原理: 当应用程序将用户输入的内容拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。 判断是否存在SQL注入漏洞语句: and 1=2/and 1=1 SQL注入分类: 数字型 字符型 报错注入 布尔型盲注 基于时间的盲注 宽字节注入: addsla 阅读全文
posted @ 2020-05-25 14:39 强霸卓奇霸 阅读(366) 评论(0) 推荐(0)
Apache如何关闭目录索引
摘要: 要实现禁止Apache显示目录索引,只需将 Option 中的 Indexes 去掉即可。 1.修改目录配置: 只需要将上面代码中的 Indexes 去掉,就可以禁止 Apache 显示该目录结构。用户就不会看到该目录下的文件和子目录列表了。Indexes 的作用就是当该目录下没有 index.ht 阅读全文
posted @ 2020-05-25 09:38 强霸卓奇霸 阅读(758) 评论(0) 推荐(0)
2020年5月22日
网络安全渗透第10节课笔记
摘要: XSS攻击威胁 DOM型XSS与反射型XSS区别: 与反射型XSS相比,DOM型XSS的区别就在于XSS代码并不需要服务器解析响应的直接参与,触发XSS靠的是浏览器的DOM解析。 反射型用? DOM型用# DOM型XSS在表单提交的参数不会发送至服务器,而是对浏览器本身文档的修改。 XSS防御思路: 阅读全文
posted @ 2020-05-22 21:24 强霸卓奇霸 阅读(364) 评论(0) 推荐(0)
2020年5月15日
网络安全渗透第7节课笔记
摘要: php文件上传 文件上传过程: 页面通过post方式上传文件到服务器。 服务器通过$_FILES取得上传文件的变量内容。 文件临时存储在服务器中,位置为tmp_name定义。 服务器通过move_uploaded file(file,newload)将临时存储文件保存到指定目录。 文件上传完成。 文 阅读全文
posted @ 2020-05-15 18:50 强霸卓奇霸 阅读(206) 评论(0) 推荐(0)
2020年5月10日
渗透测试---webshell与上传漏洞~中间件解析及其他上传
摘要: IIS6.0解析漏洞: Apache2.0-2.2未知扩展名解析漏洞: Apache.htaccess配置文件: 该文件默认开启,启用和关闭在httpd.conf文件中配置。 配置文件解析利用: Nginx解析漏洞: 文本编辑器漏洞: 详解链接:https://blog.csdn.net/u0117 阅读全文
posted @ 2020-05-10 17:30 强霸卓奇霸 阅读(337) 评论(0) 推荐(0)
2020年5月9日
渗透测试---webshell与上传漏洞~文件上传漏洞与防御思路
摘要: php文件上传源代码: 前端上传页面:upfile.php 上传处理程序:upload.php php文件上传过程分析: 文件长传检测控制方法:(绕过方法) 通过JavaScript检测文件扩展名(上传时改为jpg,绕过前端,再抓包改为php) 服务器端检测文件传输类型content-type(上传 阅读全文
posted @ 2020-05-09 19:28 强霸卓奇霸 阅读(987) 评论(0) 推荐(0)
渗透测试---webshell与上传漏洞~webshell与一句话变形
摘要: 一句话检测工具: 安全狗 Waf D盾 构造一句话经典函数eval和assert: Eval 函数中参数是字符。 <?php eval($_POST['zjj']);?> Assert 函数中参数是表达式或函数。 <?php assert($_POST['zjj']);?> <?php $_POST 阅读全文
posted @ 2020-05-09 18:52 强霸卓奇霸 阅读(408) 评论(0) 推荐(0)
渗透测试---SQL注入~sql-labs演示
摘要: 手机如何使用burpsuite进行代理: 手机端和电脑端需要连接同一无线网。 在电脑端查看无线网卡的ip地址。 双击无线适配器,在详细信息中查看: 打开电脑端的burpsuite,在代理中添加ip地址,并开一个没有被占用的端口号,选择运行。 手机中选择连接的无线网,设置中选择手动代理。 代理服务器主 阅读全文
posted @ 2020-05-09 16:01 强霸卓奇霸 阅读(228) 评论(0) 推荐(0)
渗透测试---SQL注入~SQLmap工具基本实用
摘要: Pangolin(穿山甲) SQLmap 需要在python27的环境下运行。 打开sqlmap命令行,如果python27没有装在环境变量中,需要先敲python调用,再输入sqlmap命令。 常用命令: 1.判断当前用户是否是dba:python sqlmap.py -u "url" --is- 阅读全文
posted @ 2020-05-09 12:57 强霸卓奇霸 阅读(504) 评论(0) 推荐(0)
上一页 1 2 3 4 5 6 ··· 11 下一页
https://blog-static.cnblogs.com/files/xiaokang01/js.js 这是添加的文件的链接 color="240,230,140" 粒子的颜色设置 opacity="1" 粒子的透明度 count="75" 粒子的个数