05 2020 档案

kali中安装漏洞靶场Vulhub(超详细)
摘要:前言 我们都知道,在学习网络安全的过程中,搭建漏洞靶场有着至关重要的作用。复现各种漏洞,能更好的理解漏洞产生的原因,提高自己的学习能力。下面我在kali中演示如何详细安装漏洞靶场Vulhub。 什么是Vulhub? Vulhub是一个基于docker和docker compose的漏洞环境集合,进入 阅读全文
posted @ 2020-05-24 20:22 小艾搞安全 阅读(14612) 评论(5) 推荐(4)
kali下一些代理工具的简单描述
摘要:前言 最近几天了解了kali中一些代理工具的基本使用,做一个小小的总结,kali操作系统的官网为 "www.kali.org" ,感兴趣的可以去官网下载镜像,如何安装这里就不在讲解了,百度有很多教程。新手这里推荐直接在官网下载虚拟机版本的,这样就省去了安装配置。虚拟机可以直接打开。 Mitmprox 阅读全文
posted @ 2020-05-22 02:11 小艾搞安全 阅读(2337) 评论(0) 推荐(1)
逻辑漏洞之越权漏洞
摘要:前言 上一篇文章中,对逻辑漏洞进行了简单的描述,这篇文章简单的说一说逻辑漏洞中的越权漏洞。 参考文献《黑客攻防技术宝典Web实战篇第二版》 什么是越权漏洞? 顾名思义,越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说,就是用户A可以通过某种方式查看到用户B的个人信息,或者可以查看管理 阅读全文
posted @ 2020-05-15 19:41 小艾搞安全 阅读(1901) 评论(0) 推荐(1)
逻辑漏洞的原理及分析
摘要:前言 之前的文章都是写的SQL注入,命令执行,文件上传等一步到位的高危漏洞原理及防御,接下来说一说逻辑漏洞,因为现在工具的大量使用,之前的那些主流漏洞,很难被轻易利用了,逻辑漏洞不一样,工具不会思考,所以应用程序有逻辑缺陷,工具很难发现,需要人为去挖掘,接下来就简单说一说,如何来进行逻辑漏洞的挖掘。 阅读全文
posted @ 2020-05-09 19:04 小艾搞安全 阅读(3433) 评论(0) 推荐(1)
Struts Scan工具的使用
摘要:前言 最近看了关于Struts2漏洞,参考文章 https://www.freebuf.com/vuls/168609.html,这篇文章里对Struts2的漏洞及原理进行了详细的讲解。自己也从网上找了个Struts Scan工具脚本。原作者用python2.x写的,下载地址 https://git 阅读全文
posted @ 2020-05-08 22:31 小艾搞安全 阅读(2184) 评论(1) 推荐(1)
DVWA-对Command Injection(命令注入)的简单演示与分析
摘要:前言 上一篇文章中,对命令注入进行了简单的分析,有兴趣的可以去看一看,文章地址 https://www.cnblogs.com/lxfweb/p/12828754.html,今天这篇文章以DVWA的Command Injection(命令注入)模块为例进行演示与分析,本地搭建DVWA程序可以看这篇文 阅读全文
posted @ 2020-05-05 17:10 小艾搞安全 阅读(796) 评论(0) 推荐(0)
PHP命令执行学习总结
摘要:前言 最近学习了PHP命令执行,内容比较多,把自己学到的总结下来,加深理解,水平有限,欢迎大佬斧正。 什么是PHP命令注入攻击? Command Injection,即命令注入攻击,是指由于Web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至Web应用程序 阅读全文
posted @ 2020-05-04 23:06 小艾搞安全 阅读(1022) 评论(0) 推荐(0)
验证码安全问题学习总结
摘要:前言 这几天学习了验证码安全的相关内容,在这里做一个总结,把一些的知识点巩固一下,水平有限,大神勿喷。可以参考这篇文章,总结了大部分验证码安全实例,地址 https://blog.csdn.net/Dome_/article/details/90738377 验证码作用 一,防止恶意破解密码、刷票、 阅读全文
posted @ 2020-05-03 11:28 小艾搞安全 阅读(1007) 评论(0) 推荐(0)