随笔分类 - web安全学习
写一些自己关于web安全方面的学习和见解
摘要:在做测试的过程中,总会扫描端口看主机开了那些协议,看到这些协议以后进一步的测试就是找这些协议存在什么漏洞,下面是对一些常见协议漏洞的一个总结。 1.FTP服务 默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议) 服务简介:FTP(文件传输协议)的作用是提高文件的共享性和可
阅读全文
摘要:一.sql注入产生的原因 sql注入用一句概况就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。 要利用sql
阅读全文
摘要:在进行内网渗透的时候,最长遇到的一种环境就是域环境,这几天一直在看域环境的渗透,但感觉还是云里雾里,不知道要如何下手,先把自己看到的记录下来,如果有大佬欢迎来交流。 1.信息的收集 ipconfig /all 看主机的IP地址,子网掩码,网关和dns服务器,多数情况下,DNS服务器有可能也是其中一台
阅读全文
摘要:在往常的测试过程中,有时费劲千辛万苦终于拿到了上传权限,美滋滋的上传了一句话,下一步的操作就是拿出菜刀连接,却发现菜刀失效了(没有被狗查杀和waf拦截,搞不懂为什么菜刀不能连接)。菜刀不行以后只能通过其它方式-通过nc反弹一个shell。 nc是netcat的简写,有着网络界瑞士军刀的美誉。通过执行
阅读全文
摘要:先来说一下什么是会话管理?在绝大多数web应用程序中,会话管理机制是一个基本的安全组件。它帮助应用程序从大量不同的请求中确认特定的用户,并处理它收集的关于用户与应用程序交互状态的数据。会话管理在应用程序执行登陆功能时显得特别重要,因为它可在用户通过请求提交他们的证书后,持续向应用程序保证任何用户身份
阅读全文
摘要:验证机制是应用程序防御恶意攻击的中心机制。它处于防御未授权的最前沿,如果用户能够突破那些防御,他们通常能够控制应用程序的全部功能,自由访问其中的数据。缺乏安全稳定的验证机制,其他核心安全机制(如回话管理和访问控制)都无法有效实施。 web应用程序常用的验证机制有: 1) 基于HTML表单的验证(最常
阅读全文
摘要:我们在使用web应用程序时,经常会遇到一些在客户端所做的限制,例如,我们在注册用户时要求输入格式正确的邮箱。然而在客户端所做的限制都是不安全的,这次就来说一下如何绕过客户端的限制。 1. 通过客户端传送数据 通过客户端向服务器段传送数据主要通过下面的方式实现: 隐藏表单字段(1.保存HTML页面的源
阅读全文
摘要:影响web安全的主要因素就是用户输入的不可控,这篇文章就从一个宏观的角度来分析一下如何去保证一个应用程序的安全。 为了保证web安全,首先就是要分析应用程序中那些方面容易遭受到攻击,然后根据分析结果在制定具体的安全方案。web应用程序的基本安全问题(所有用户的输入都是不可信的)致使应用程序实施大量安
阅读全文
摘要:在开始学习web安全技术以前,首先要清楚的就是到底什么是web安全? 正如我们所知web是World Wide Web的简称,被称为万维网;万维网是由很多的站点构成的,我们可以通过浏览器来检索站点上所提供的资源。最开始的web应用都是由静态的页面组成的,仅仅向用户提供一些文档的展示。如今的万维网已经
阅读全文
浙公网安备 33010602011771号