随笔分类 - 安全测试系列
主要从三个维度-学习-进阶
1)接口安全漏洞扫描、注入测试
2)客户端安全测试
3)移动端app隐私合规测试
摘要:4.1 暴力破解测试 4.1.1 测试原理和方法暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号与密码。一般分为以下三种情况:·在已知账号的情况下,加载密码字典针对密码进行穷举测试;·在未知账号的情况下,加载账号字典,并结合密码字典进行穷举
阅读全文
摘要:一、linux提前安装好docker 二、安装过程 一键安装 docker pull citizenstig/nowasp 端口映射 docker run -d -p 9009:80 citizenstig/nowasp 最后浏览器访问即可(你的IP) http://IP地址:9009/index.
阅读全文
摘要:一、描述 顾名思义,文件上传就是利用服务器对上传文件时存在的漏洞来实现上传任意文件,通过自己编写的文件内容让服务器执行文件内容达到可控的目的,但文件的上传往往回有各种各样的过滤,以下将演示upload-labs的关卡: 二、关卡 1、pass-01 尝试把webshell传入到服务器,发现服务器对文
阅读全文
摘要:upload-labs漏洞靶场搭建步骤 1、下载:可以在GitHub上下载相关源码。下载网址为https://github.com/c0ny1/upload-labs,点击此处下载压缩包。 2、下载完成后将解压后的目录文件sqli-labs-master复制到 D:\phpStudy\WWW 下 3
阅读全文
摘要:1、声明 本文所介绍的内容仅用于学习和交流,严禁利用文中技术进行非法行为。由于传播、利用本文所提供的信息和技术而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 2、sqli-labs介绍 sqli-labs是一个开源且非常有学习价值的SQL注入靶场,基本上涉及到
阅读全文
摘要:一.靶场是什么,靶场的搭建 在学习web安全的过程中,靶场是必不可少的,毕竟在计算机界,任何理论知识都不如实操 靶场就是人为提供的带有安全漏洞的服务,每一个学习者都可以在本地快速搭建来实操,回溯漏洞的发生原理以及操作方式。DVWA靶场呢就是一个可以通过浏览器访问的拥有可视化页面的web靶场。下面就通
阅读全文
摘要:一、安装 nmap.com.cn #中文 nmap.org #英文 安装时将所有选项全部勾选即可。 会自动安装抓包插件(npcap)及添加环境变量。 运行: 打开cmd,输入nmap 运行成功 二、常用命令详解 1、TCP Connect()扫描 通过试图与主机相应的TCP端口建立一个完整的TCP连
阅读全文
摘要:1、正则表达式的介绍 2、正则表达式的语法 一、正则表达式的介绍 正则表达式的介绍 · 正则表达式,又称规则表达式,通过一种特殊的语言来挑选符合条件的数据 · 在代码中简写,regex、regexp、RE · 计算机科学的一个概念,通常被用来检索、替换那些符合某个模式(规则)的文本 正则表达式的特点
阅读全文
摘要:PHP获取表单 · $_GET数组获取GET方式提交的内容 · $_POST数组获取POST方式提交的内容 · $_COOKIE数组获取COOKIE · $_REQUEST数组获取GET|POST|COOKIE 示例: 1、GET数组获取GET方式提交的内容 HTML 表单: <!DOCTYPE h
阅读全文
浙公网安备 33010602011771号