2023年6月4日
小迪安全web学习笔记(12)
摘要: 1、SQL注入数据库类型提交方法数据类型查询方法回显/盲注注入扩展WAF绕过防御方案 2、mySQL简单注入危害:SQL注入可操控数据简易代码分析原理:通过参数传递把恶意代码传入sql语句中,让后面的代码显现出来。需要学习php、html、mySQL语句的基础知识去理解 3、post注入的地方是输入 阅读全文
posted @ 2023-06-04 17:18 神夜十三香 阅读(77) 评论(0) 推荐(1)
小迪安全web学习笔记(11)
摘要: 1、web漏洞-必懂知识点数据库的语句 2、地址:网站域名、文件夹( 目录)、文件参数名 、 参数值 3、目录遍历漏洞跨目录文件的读取: /../../../文件名需要知道目录结构(怎样知道):工具扫描 爬行 通过网页源代码读 4、漏洞等级和危害高危:SQL注入 文件上传 文件包含 代码执行 未授权 阅读全文
posted @ 2023-06-04 17:17 神夜十三香 阅读(88) 评论(0) 推荐(1)
小迪安全web学习笔记(10)
摘要: 1、信息收集-资产信息github监控 通过第三方软件监控你设定的最新漏洞信息并推送ctcms监控seo优化 2、子域名挖掘 3、补天漏洞响应平台用来攻击漏洞赚钱的平台。 4、python脚本用来完成GitHub的监控,用信息搜集过程中得到得名称代入进脚本中运行,再下载推送得程序脚本再把它拖到相应得 阅读全文
posted @ 2023-06-04 17:17 神夜十三香 阅读(39) 评论(0) 推荐(1)
小迪安全web学习笔记(9)
摘要: 1、信息收集APP及其他资产APK:安卓应用程序包 2、某IP无web框架下的第三方测试一阵扫描端口接口 3、端口扫描工具速度:mas准确度:Nmap扫描ip用黑暗引擎:zoomeye 子域名查看 旁注查询 4、类似域名接口查,查备案信息shodanfofa 阅读全文
posted @ 2023-06-04 17:16 神夜十三香 阅读(7) 评论(0) 推荐(1)
小迪安全web学习笔记(8)
摘要: 1、信息收集在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路就是从信息收集这里开始。 2、信息收集过程有无web 有CDN 国外请求 接口查询 黑暗引擎 阅读全文
posted @ 2023-06-04 17:16 神夜十三香 阅读(67) 评论(0) 推荐(1)
2023年5月29日
Linux常见命令汇总
摘要: Linux常用命令 1、Linux系统简介开源免费使用,技术支持:主要是字符模式,命令行界面操作,更加稳定。 2、为啥学?负责搭建和维护,后端服务器搭建硬件服务器 云服务器远程链接的工具Xshell 3、xshell链接 4、Linux目录结构层级式的树状目录结构"/" 根目录"~" 表示当前目录的 阅读全文
posted @ 2023-05-29 17:46 神夜十三香 阅读(53) 评论(0) 推荐(0)
2023年5月21日
小迪安全web学习笔记(7)
摘要: 1、信息收集-CDN绕过CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,(使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。) 阅读全文
posted @ 2023-05-21 11:48 神夜十三香 阅读(28) 评论(0) 推荐(1)
小迪安全web学习笔记(6)
摘要: 1、加密编译算法在渗透测试中,常见的密码等敏感信息会采用加密处理,因此要了解常见的加密方式。 2、超级加解密转换工具自己下载很好用 3、常见加密编码MD5,SHA,ASc,进制,时间戳,URL,BASE64,Unescape,AES,DES等等 4、常见解密方法枚举,自定义逆向算法,可逆向 密文类似 阅读全文
posted @ 2023-05-21 11:47 神夜十三香 阅读(51) 评论(0) 推荐(1)
小迪安全web学习笔记(5)
摘要: 1、系统及数据库除搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到WEB或服务器的安全,导致网站或服务器权限的获取。 2、顺序(1)操作系统:windows、linux(2)web:【1】网站源码【2】搭建平台【3】数据库(3)app:An 阅读全文
posted @ 2023-05-21 11:46 神夜十三香 阅读(32) 评论(0) 推荐(1)
小迪安全web学习笔记(4)
摘要: 1、web源码扩展WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口 2、web源码的目录结构(1)后台目录 admin(后台)(2)模板目录 template(模板文件)(3)数据库目录 date(数据)(4)数据库配置文件 inclose(配置) conn C 阅读全文
posted @ 2023-05-21 11:45 神夜十三香 阅读(131) 评论(0) 推荐(1)