摘要:
# 防火墙 ## iptables 疏通和堵 > 进行路由选择前处理的数据包:prerouting > > 处理流入的数据包:input > > 处理流出的数据包:output > > 处理转发的数据包:forward > > 进行路由选择后处理的数据包:POSTROUTING 允许, 拒绝, 允许 阅读全文
posted @ 2023-07-18 21:12
i苏沐辰
阅读(83)
评论(0)
推荐(0)
摘要:
# XSS 漏洞(js代码可控) XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻 阅读全文
posted @ 2023-07-18 20:49
i苏沐辰
阅读(83)
评论(0)
推荐(0)
摘要:
# CSRF与SSRF ## CSRF(跨站请求伪造) 跨站请求伪造(Cross-site request forgery,CSRF),它强制终端用户在当前对其进行身份 验证后的Web应用程序上执行非本意的操作。CSRF攻击的着重点在伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的 阅读全文
posted @ 2023-07-18 20:34
i苏沐辰
阅读(74)
评论(0)
推荐(0)
摘要:
# 暴力破解 见名思意,就是利用非常暴力的使用方法进行破解想要的东西(如账号密码等); 通过穷举各个密码,进行一次次破解尝试,如果成功,就找到了对应的密码,并成功提示,找不到,则继续尝试下一次。 ## 环境模拟 打开burp抓包软件 
评论(0)
推荐(0)
摘要:
## XXE漏洞 XXE(XML External Entity Injection),即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时, 没有禁止外部实体的加载 ,导致可加载恶意外部文件,造成文件读取、命令执行、攻击内网网站等危害。 攻击者通过向服务器注入指定的xml实 阅读全文
posted @ 2023-07-18 17:44
i苏沐辰
阅读(47)
评论(0)
推荐(0)
摘要:
# sql注入 ## sql 注入原理 针对 SQL 的攻击行为可以描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为,其成因可以归结为以下两个原因叠加造成的: 1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句。 2 阅读全文
posted @ 2023-07-18 15:56
i苏沐辰
阅读(55)
评论(0)
推荐(0)
浙公网安备 33010602011771号