摘要:
这套主机加固方案很简单,一步一步按着顺序来弄就可以,部分步骤还配有相关图片。可以先用虚拟机来做一次加固,以防弄错后不好恢复。记得弄个快照,以防万一。下次有空写个win7暴力破解~ 1. 配置管理 1.1用户策略 注意:在对Windows系统加固之前先新建一个临时的系统管理员账号;用来恢复加固中可能出 阅读全文
摘要:
XSS的简单过滤和绕过 程序猿用一些函数将构成xss代码的一些关键字符给过滤了。但是,道高一尺魔高一丈,虽然过滤了,还是可以尝试进行过滤绕过,以达到XSS攻击的目的。 最简单的是输入<script> alert(7)</script> 弹出7 一:区分大小写过滤标签 可以使用大小写绕过 <scrip 阅读全文
摘要:
信息收集: Google搜索: DNS域名信息收集:需要收集域名对应的ip、域名注册人、DNS记录、子域名等。 1)是否存在CDN(http://ping.chinaz.com/或https://ping.aizhan.com/)IP地址不唯一,如果多个IP分布在不同地区那就是采用了CDN,要绕过C 阅读全文
摘要:
一些基本的Windows命令往往可以识别木马的蛛丝马迹,而且在保护网络安全上起到很大的作用。 检测网络连接 如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用 Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式 阅读全文
摘要:
给你一个网站你是如何来渗透测试的? 在获取书面授权的前提下。1)信息收集,1,获取域名的whois信息,获取注册者邮箱姓名电话等。2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比 阅读全文
摘要:
一、php简介 PHP超文本预处理器。是嵌入HTML文件中的服务器脚本程序。 PHP代码标记:<?php …. ?> PHP文件的扩展名:.php PHP文件的执行:必须从域名开始访问 PHP每条语句必须以英文(;)结束 二、php基础语法 ① php变量 php变量必须以”$”开头,例如:$nam 阅读全文
摘要:
XSS(跨站脚本)漏洞是什么? 在网页中插入恶意的js脚本,由于网站没对其过滤,当用户浏览时,就会触发脚本,造成XSS攻击 XSS分类? 1.反射型 用户输入的注入代通过浏览器传入到服务器后,又被目标服务器反射回来,在浏览器中解析并执行。 2.存储型 用户输入的注入代码,通过浏览器传入到服务器后,被 阅读全文
摘要:
SQL是什么? 结构化查询语句 SQL注入是什么? 是一种将SQL 语句插入或添加到用户输入的参数中,这些参数传递到后台服务器,加以解析并执行 造成注入的原因/原理? 1.对用户输入的参数没有进行严格过滤(如过滤单双引号 尖括号等),就被带到数据库执行,造成了SQL注入 2.使用了字符串拼接的方式构 阅读全文
摘要:
俗话说只要思路宽,绕狗绕的欢。前段时间我有尝试着用以下的方法绕狗,效果还不错。不过这方法呢也许这段时间可以绕过,过段时间可能就失效了,大家还是要多去尝试找到更多的方法。 举例-->整型注入 绕过WAF 绕过方法: 就是修改大小写 加%0a 或%0d去绕过(%0a是换行,%0d是回车) 如: and 阅读全文