摘要:1.1 P1 概念名词 1.1.1什么是域名? l 域名:是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 什么是二级域名多级域名? l 二级域名:分两种 l 在国际顶级域名下的二级域名 l 国际顶级域名下二级域名,
阅读全文
posted @ 2021-09-13 23:53
随笔分类 - 安全测试
摘要:11-1.逻辑漏洞-订单金额任意修改1)逻辑漏洞介绍逻辑漏洞挖掘一直是安全测试中"经久不衰"的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。在存在功能性
阅读全文
posted @ 2021-05-27 00:26
摘要:1)kali系统上输入ifconfig,结果显示为127.0.0.1 答:本地的VMware DHCP Service服务被禁,打开VMware软件--编辑--虚拟网络设置--DHCP--开始--应用--确定,或者重新启动kali系统。
阅读全文
posted @ 2021-04-27 01:01
摘要:10-1.暴力破解介绍1)暴力破解原理暴力破解是使用用户自定义字典文件中的内容与验证程序交互,从而在枚举过程中得到正确数据。案例:1、破解用户名、密码2、破解验证码 - 之前四位数的手机验证码在未进行任何防护措施,导致被枚举出来由此得暴力破解的基础1、应用程序或服务器未进行限制2、具有内容涵盖全面的
阅读全文
posted @ 2021-04-26 23:36
摘要:9-1.命令执行介绍1)命令执行漏洞原理命令执行漏洞定义:WEB应用程序接收用户输入,拼接到要执行的系统命令中执行。产生原因:1、用户输入未过滤或净化;2、拼接到系统命令中执行。2)PHP下命令执行函数在PHP中具有执行系统命令功能的函数如下等:1、system2、exec3、shell_exec4
阅读全文
posted @ 2021-04-24 23:54
摘要:8-1.XML快速入门1)XML介绍及用途XML被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。XML允许创作者定义自己的标签和自己的文档结构。<?xml version="1.0" encoding="UTF-8"?><note><to>Tove</to
阅读全文
posted @ 2021-04-09 00:04
摘要:7-1.SSRF漏洞原理介绍1)SSRF漏洞定义SSRF(服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF的目标就是与外部隔离的内网资源。2)SSRF漏洞原理SSRF形成原因:服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制。主要方式:1、对外
阅读全文
posted @ 2021-04-08 00:51
摘要:5-1CSRF原理介绍1)CSRF漏洞定义跨站请求伪造XSS与CSRF区别:1、XSS利用站点内的信任用户,盗取cookie;2、CSRF通过伪装成受信任的用户请求受信任的网站。2)CSRF漏洞原理利用目标用户的合法身份,以目标用户的名义执行某些非法操作。例如:简单转账案例初始化链接:http://
阅读全文
posted @ 2020-12-22 08:12
摘要:2-1 SQL注入原理1)语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后再运行时直接由使用该语言的计算机执行这些指令。在解释型语言中,如果程序与用户进行交互。用户就可以构造特殊的输入来拼
阅读全文
posted @ 2020-11-16 00:34
摘要:Upload-labs靶场 Pass-01:一、绕过JS验证1、BurpSuite剔除响应JS 对于JS前端验证,直接删除掉JS代码之后就可以绕过JS验证。 BurpSuite中Proxy-->Options-->Remove all JavaScript2、浏览器审计工具剔除JS 利用浏览器的审查
阅读全文
posted @ 2020-10-17 08:15
浙公网安备 33010602011771号