前端网络安全
同源指的是:协议、端口号、域名必须一致。他是浏览器的一个用于隔离潜在恶意文件的重要安全机制。限制了从同一个源加载的文档或脚本,与另一个源的资源进行交互。同源策略主要限制了三个方面:当前域下的js脚本不能够访问其他域下的cookie、localStorage和indexDB。当前域下的js脚本不能够访
记burp suite安装全过程
burp suite安装全过程,中途遇到了BurpLoaderKeygen打不开,run没反应,license key was not recognized,8080端口被占用,https://burp打不开,edge打不开网页,“你的连接不是专用连接”等一系列问题,多番查阅各位大佬的教程终于全部解
网络安全工程师面试题汇总
以下为信息安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,没有填答案是希望大家如果不懂能自己动手找到答案,祝各位都能找到满意的工作~注:做这个List的目标不是很全,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。TODO LIST。
XXE漏洞详解与利用
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
网络安全——网络层IPSec安全协议(4)
在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
SQL 注入(SQL Injection)学习心得
网工小白学习安全心得,学习web渗透第一章sql注入,本文仅仅简单介绍了SQL注入的流程,SQL注入的原理,以一次完整的字符型SQL注入流程为例,其余三种都是基于这个思路,只是应对于不同的防护用不同的手段。思路重点在于明白最终想要的是数据库中的内容,怎么一步步去获得里面的数据。
ctfhsow web入门 命令执行大全
全网最全命令执行方法
OSCP练习:vulhub靶机pinkys-palace-v1
在/var/www/html/littlesecrets-main/ultrasecretadminf1l35 发现rsa密钥.ultrasecret。账密为pinkymanage/3pinkysaf33pinkysaf3,ssh登录。发现8080,但是403,31337端口是http代理 ,646
解决kali linux用户文件权限不够
一. 文件权限讲解 如图中所示,蓝框中为文件权限,红框中为文件属主,绿框中为文件大小,红框与绿框之间的一排root意为文件属组(组为用户的容器) 如蓝框中所示,每一排字符由10个字符组成,而每排首字母意为文件类型,如“-”意为普通文件,“d”意为目录 而每一排的后9位字符又均分为三组,
BP使用之爆破获取密码
bp爆破
FastJson远程代码执行漏洞基于JNDI反弹shell使用
在FastJson组件1.2.24及之前版本存在远程代码执行漏洞(CVE-2017-18349)。本文讲解的是基于JNDI的反弹shell操作。
一次完整的渗透测试流程
渗透测试并没有一个标准的定义,一般通用的说法是,渗透测试是指一家单位授权另一家单位或个人模拟攻击者入侵来评估计算机系统安全的行为,过程中被授权单位工程师或攻击者个人利用自己所掌握的知识对授权系统进行渗透,发现存在的安全隐患及漏洞,然后编写报告交付给最开始授权单位。最开始授权单位根据提供的报告,安排相
文件包含漏洞利用和防御
文件包含漏洞利用和防御 文件包含漏洞 PHP相关函数 PHP伪协议文件包含漏洞使用函数包含指定文件的代码,没对函数的参数进行过滤,可被用户控制包含恶意文件并执行代码 漏洞分类 本地文件包含:目录遍历、任意文件读取、包含日志文件getshell、图片马getshell、伪
CNVD-2022-10207:向日葵RCE
CNVD-2022-10207:向日葵RCE
国产之光Yakit——POC模拟神器
Yakit 是一个高度集成化的 Yak 语言安全能力的安全测试平台,使用 Yakit,可以做到:1. 类 Burpsuite 的 MITM 劫持操作台2. 查看所有劫持到的请求的历史记录以及分析请求的参数3. 全球第一个可视化的 Web 模糊测试工具:Web Fuzzer4. Yak Cloud I
Web漏洞扫描篇-Nessus使用
Nessus是一种漏洞扫描器,个人和组织广泛使用它来识别和修复计算机系统中的漏洞。Nessus可以扫描广泛的漏洞,包括缺少补丁、弱密码和配置错误的系统,它可以扫描单个系统或整个网络上的漏洞。Nessus可以在各种平台上运行,包括Windows、Linux和MacOS。要使用Nessus,您需要在连接
【burpsuite抓包问题合集】【六种解决方法】第一种:连接配置问题,拦截不到任何包;第二种:设置问题,抓不到部分包
burpsuite抓包异常问题,归类的明明白白了
网络安全——网络层安全协议(3)
本章本章讲解继续讲解本章将会继续讲解网络层的安全协议,IPSec采用的安全技术。
hw蓝队初级面试总结
1、sql注入原理、分类、绕过原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。分类:我们可以把sql注入直接的
