随笔分类 -  网络安全

渗透学习笔记(三)--SQL注入学习(一)
摘要:使用靶场为sqli靶场 例题为GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) sql注入常见攻击思路 1:寻找到SQL注入的位置 2:判断服务器类型和后台数据库类型 3:针对不同的服务器和数据库特点进行SQL注入攻击 常见流程 阅读全文
posted @ 2022-01-17 21:53 CK_0ff 阅读(99) 评论(0) 推荐(0)
护网笔记(十二)--代码执行漏洞
摘要:代码执行漏洞 概述 在Web应用中有时候程序员为了考虑灵活性,简洁性,会在代码调用eval函数(PHP函数)去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。 相关函数 eval() //字符串作为php代码执行 assert() pre 阅读全文
posted @ 2022-01-16 19:57 CK_0ff 阅读(292) 评论(0) 推荐(0)
护网笔记(十一)--反序列化
摘要:本部分碍于本人相关基础薄弱,暂只能做简单的记录,更详细的讲解和复现练习之后会补充。 反序列化 序列化 序列化是将对象状态转换为可保持或可传输的格式的过程。 与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。 序列化: ​ 对象 >字符串 反序列化: ​ 字符串 阅读全文
posted @ 2022-01-15 21:06 CK_0ff 阅读(130) 评论(0) 推荐(0)
护网笔记(十)--CSRF&SSRF漏洞
摘要:本篇靶场: pikachu CSRF CSRF(Cross-Site Requester Forgery,跨站请求伪造)它是一种常见的WEB攻击方式,很多开发者对它很陌生。它在2007年曾被列为互联网20大安全隐患之一。即使大名鼎鼎的Gmail,在2007年底也存在CSRF漏洞,从而被黑客利用造成巨 阅读全文
posted @ 2022-01-14 22:58 CK_0ff 阅读(529) 评论(0) 推荐(0)
护网笔记(九)--文件上传漏洞
摘要:文件上传漏洞简介 本文所使用靶场: upload-labs 上传文件的时候,如果服务器端脚本语言(PHP),未对上传的文件进行严格的验证和过滤,就有可能上传恶意的脚本文件,从而控制整个网站,甚至是服务器。 两个要求: 1. 你能上传 2. 服务器能按照你的要求解析, 比如你上传一个php脚本文件,服 阅读全文
posted @ 2022-01-13 22:05 CK_0ff 阅读(379) 评论(0) 推荐(1)
护网笔记(八)-- XSS漏洞利用
摘要:浏览器同源策略 概述 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同": (1)协议相同 ​ (2)域名相同 ​ (3)端口相同 举例如下: 阅读全文
posted @ 2022-01-12 23:04 CK_0ff 阅读(965) 评论(0) 推荐(0)
护网笔记(七)-- SQL注入(二)
摘要:布尔盲注(Boolean-based blind SQL Injection) 利用前提: ​ 页面上没有显示位,也没有输出SQL语句执行错误信息。 ​ 只能通过页面返回正常不正常来判断 ​ 优点: ​ 不需要显示位,不需要出错信息。 ​ 缺点: ​ 速度慢,耗费大量时间 学习盲注之前先复习下下面几 阅读全文
posted @ 2022-01-11 16:13 CK_0ff 阅读(494) 评论(0) 推荐(0)
护网笔记(六)-- SQL注入(一)
摘要:基础知识 可参考 https://www.cnblogs.com/Ck-0ff/p/15777962.html https://www.cnblogs.com/Ck-0ff/p/15783745.html SQL注入 原理 SQL 注入(SQL Injection)是发生在 Web 程序中数据库层的 阅读全文
posted @ 2022-01-10 21:23 CK_0ff 阅读(182) 评论(0) 推荐(0)
渗透学习笔记(二)--数据包
摘要:网站解析 网站搭建参考博客: https://www.cnblogs.com/GodSince/p/12010184.html HTTP/S数据包 包(Packet)是TCP/IP协议通信传输中的数据单位,一般也称“数据包”。 TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的 阅读全文
posted @ 2022-01-10 11:32 CK_0ff 阅读(472) 评论(0) 推荐(0)
护网笔记(五)--数据库基础
摘要:数据库的知识很多,本博文只记录了一部分基础的知识与操作。 数据库 数据库就是存储数据的仓库,其本质是一个文件系统,数据按照特定的格式将数据存储起来,用户可以对数据库中的数据进行增加,修改,删除及查询操作。 数据库管理系统(DataBase Management System,DBMS):指一种操作和 阅读全文
posted @ 2022-01-08 20:55 CK_0ff 阅读(171) 评论(0) 推荐(0)
渗透学习笔记(一)-- 基础概念
摘要:声明: 本文内容均来自互联网,旨在提高网络安全水平,请遵守网络安全法规,不要将技术用于非法用途。本文严禁转载。 基础名词 域名与DNS 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时 阅读全文
posted @ 2022-01-08 12:34 CK_0ff 阅读(169) 评论(0) 推荐(0)
护网笔记(四)-Linux基础及入侵排查
摘要:声明: 本文内容均来自互联网,旨在提高网络安全水平,请遵守网络安全法规,不要将技术用于非法用途。本文严禁转载。 Linux 介绍 选择Linux的原因: 低风险:使用闭源软件无疑把命运交付给他人,一旦封闭的源代码没有人来维护,您将进退维谷。而且相较于商业软件公司,开源社区很少存在倒闭的问题。并且,源 阅读全文
posted @ 2022-01-07 22:53 CK_0ff 阅读(444) 评论(0) 推荐(0)
护网笔记(三)-Windows基础、常见服务和入侵排查
摘要:声明: 本文内容均来自互联网,旨在提高网络安全水平,请遵守网络安全法规,不要将技术用于非法用途。本文严禁转载。 计算机组成 计算机硬件: 控制器 运算器 控制器+运算器 == CPU 存储器: 内存 外存 输入设备 输出设备 CPU 中央处理器,主要负责复杂的计算和处理,在一定范围上控制并管理其他硬 阅读全文
posted @ 2022-01-06 09:46 CK_0ff 阅读(656) 评论(0) 推荐(0)
护网笔记(二)-计算机网络基础
摘要:本部分仅为计算机网络的基础知识,已有计网基础可直接跳过。 OIS分层模型 Open Systems Interconnection(OSI)定义了一个网络框架:其以层为单位实现了各种协议,同时会将控制权逐层传递。 目前OSI主要作为教学工具被使用,其在概念上将计算机网络结构按逻辑顺序划分为7层。 1 阅读全文
posted @ 2022-01-05 15:39 CK_0ff 阅读(331) 评论(0) 推荐(0)
护网笔记(一)- eNSP基本使用
摘要:声明: 本文内容均来自互联网,旨在提高网络安全水平,请遵守网络安全法规,不要将技术用于非法用途。本文严禁转载。 eNSP 华为模拟器eNSP, 可参考官方文档 https://support.huawei.com/enterprise/zh/data-communication/ensp-pid-9 阅读全文
posted @ 2022-01-05 14:00 CK_0ff 阅读(2613) 评论(0) 推荐(0)