Web 攻防之业务安全:商品金额篡改 测试
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
XSS(跨站脚本攻击)原理详解(内含攻击实例)
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码
目录遍历漏洞原理、解决方案
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务
【vulhub漏洞复现】redis 4-unacc 未授权访问漏洞
一、漏洞详情Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴
给你一个登录页面,你该如何做渗透测试呢?
当遇到只有一个登录页面的时候该如何做渗透测试呢?
sqlmap自动化漏洞利用(DVWA初、中、高)
sqlmap自动化漏洞利用(DVWA)
网络安全实验室3.脚本关
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
shiro反序列化漏洞学习(工具+原理+复现)
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成
Microsoft系统漏洞修复
近期收到服务器系统漏洞扫描,发现很多关于Microsoft本身的系统漏洞。有很多新手不知道怎么去修复系统漏洞,害怕一旦修复出问题,自己要担责。我这里讲解下怎么准备的去寻找漏洞,并把它修复的过程。我已下列的漏洞为例:IIS "IP and domain restrictions" 绕过漏洞(CVE-2
[GXYCTF 2019]Ping Ping Ping
前言最近在学习ssrf漏洞,这个漏洞的综合性还是挺强的。在网上看了大佬的文章总结的很详细。在此基础就通过实践相结合,更加深入的理解ssrf的具体操作。SSRF漏洞有一些函数比如
SQL注入非常详细总结
个人觉得还是很详细,对你一定帮助。也是我自己花了不少时间总结的。
SQL注入的注入点找法
1,注入点首先观察搜索框的地址是否是有与数据库交互,例如html这种几乎是不存在注入的所以要先判断是否有交互。2,交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//www.xxx.com/index.php?id=1这种很大程度存在注入当然有些注入点不会这
ctfshow web入门 命令执行 web29~web77 web118~web124
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、
SSTI简单总结和例题
SSTI简单总结和例题CISCN 2019华东南]Double Secret和[护网杯 2018]easy_tornado
简单的CTF web密码爆破
ctf中简单的爆破以及BurpUnlimited的使用
OWASP TOP10 大主流漏洞原理和防范措施,易理解版
关于近些年OWSAP十大主流漏洞改动,原理及防范措施,对新手及其友好,容易理解易上手
小白怎么系统的自学计算机科学和黑客技术?
我把csdn上有关自学网络安全、零基础入门网络安全的回答大致都浏览了一遍,最大的感受就是“太复杂”,新手看了之后只会更迷茫
ctfshow新手杯wp
最近国庆在疯玩的时候抽空做了几题,简单记录一下。
【网络安全】Content Security Policy (CSP) 介绍
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
