摘要:
水平越权 A用户和B用户属于同一级别用户,但各自不能操作对方个人信息。A用户如果越权操作B用户个人信息的情况称为水行越权操作 三个用户 lucy/lili/kobe 密码都为123456 随便登录其中一个用户lucy 可以看到地址栏里 “url为op1_mem.php?username=lucy&s 阅读全文
摘要:
一、静态web页面: 1、在静态Web程序中,客户端使用Web浏览器(IE、FireFox等)经过网络(Network)连接到服务器上,使用HTTP协议发起一个请求(Request),告诉服务器我现在需要得到哪个页面,所有的请求交给Web服务器,之后WEB服务器根据用户的需要,从文件系统(存放了所有 阅读全文
摘要:
一:攻击篇 1.攻击工具 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动网络攻击。 例如在2016年美国东海岸断网事件中,黑客组织控制了大量的联网摄像头用于发动网络攻击,这些摄像头则可被称为“肉鸡”。 僵尸网络 僵尸网络 阅读全文
摘要:
脚本:动态网站(asp,php,jsp), linux, python 网站:静态网站(与后台交互比较少,如html) 动态网站(使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作) http协议 :(Hyper 阅读全文
摘要:
网站的基本组成 一个web网站一般是由以下几个部分组成的:操作系统、服务、脚本编程语言、数据库。1、操作系统:Windows、Linux(区分的话看大小写)服务器一般都是以这两种系统类型为主了,个人电脑系统的话,就还有Mac等。2、搭建平台服务:IIS、Apache、Tomcat、Nginx3、脚本 阅读全文
摘要:
先随便输入账号和密码、验证码,来判断前端是否对验证码进行判断对错 先随便输入账号和密码不输入验证码,来判断前端是否允许验证码留空 先随便输入账号和密码,输入正确的验证码,来判断账号和密码是否存在 1、先随便输入账号和密码、验证码,用bury抓包 抓到的包 2、用快捷键ctrl+l把抓到的数据包弄到l 阅读全文
摘要:
先打开靶场,然后打开你的十米大砍刀burp,再把浏览器代理给配置好,开搞 1、先随便输入帐号和密码,用burp抓包 2、burp抓到包后用快捷键ctrl+l打开Intruder 3、确定 4、选择cluster bomb攻击方式,然后把原来的&删除掉,再把账号和密码add& 5、分别上传账号和密码的 阅读全文
摘要:
win+IIS+ASP+ACCESS第二种搭建方式 安装 控制面板”,依次选“添加/删除程序”, 添加/删除Windows组件 在应用程序服务器前打钩、点击详细信息 将“Internet信息服务(IIS)”前的小钩去掉(如有),重新勾选中后,点击下面的详细信息 然后添加IIS组件中的Web、FTP、 阅读全文
摘要:
搭建类型win+IIs+asp+access(一) 第一步首先保证虚拟机的系统软盘是连接状态,如下图状态即可 第二步: 第三步: 第四步: 第五步: 第六步:这个时候就会自动搜索软盘里面的数据自动安装IIS,如果第一步没做好这里会报错。 第七步: 第八步:把源码放在默认网站文件夹之中即可,现在里面有 阅读全文